Captchas sind ein schwieriges Thema: Sind sie zu einfach konstruiert, kommt jeder drittklassige Bot durch. Sind die Buchstaben stark verdreht, verzerrt und verziert sind sie oftmals auch für den Menschen nur mit größter Mühe lesbar und für sehbehinderte schonmal gar nicht. Aus diesem Grunde gibt es auch bei reCAPTCHA Audio-Captchas – und eben diese wurden jetzt fast geknackt.
Die Hacker-Gruppe Defcon Group 949 hatte sich mit Google Captcha-System beschäftigt und versucht dieses zu knacken. Doch statt ihren Skripten das lesen und parsen der generierten Wörter beizubringen, haben sie einfach auf das Audio-Captcha zurückgegriffen und dieses „geknackt“. Wie die Gruppe herausgefunden hat, benutzt Google dafür nämlich nur ganze 58 englische Begriffe.
Diese 58 Begriffe mussten dem System nun einfach nur beigebracht werden und schon war die Tür offen – bzw. wäre offen gewesen. Denn gerade (um genau zu sein 1 Stunde vor der Präsentation!) als die Gruppe ihr System präsentieren und reCAPTCHA den Hacked-Stempel aufdrücken wollte hat Google kurzerhand eine Änderung vorgenommen.
Die Begriffe sind immer noch die gleichen, aber dafür werden diese jetzt mit einem rauschen und für Algorithmen schwer herauszufilternden Störgeräuschen hinterlegt. Wie die Gruppe noch herausgefunden hat, handelt es sich dabei um verschiedenste Radio-Sendungen. Und obwohl der Hack daneben ging, ist das Video – welches in einem leicht angeheiterten Zustand entstanden ist – sehenswert 😉
[heise]