Mit den eigenen Waffen geschlagen: Uncaptcha knackt reCAPTCHA mit Googles Spracherkennung (Video)

Veröffentlicht am von Jens
google 

Mit reCAPTCHA betreibt Google die populärste und nach eigenen Angaben auch sicherste Captcha-Plattform, die auf unzähligen Webseiten und Formularen zum Einsatz kommt. Sicherheitsforscher haben nun gezeigt, dass sich die Audio-Variante der Captchas aber relativ leicht knacken lässt – und das sogar mit Googles eigenen Waffen. Eine damalige Absicherung trug sogar dazu bei, dass das System noch leichter knacken wurde.


Captchas gibt es in vielen verschiedenen Formen und Schwierigkeitsstufen, wobei es stets das Ziel ist, die Waage zwischen Komfort und Sicherheit zu halten. reCAPTCHA bietet dafür verschiedene Methoden bis hin zu den unsichtbaren Captchas an, die der Nutzer gar nicht mehr mitbekommt, da er durch andere Methoden als solcher identifiziert wird. Als Fallback gibt es häufig auch noch die Audio-Captchas.

invisible-recaptcha

Die Audio-Captchas wurden einerseits vor vielen Jahren als Fallback eingeführt, sollen es aber vor allem auch sehbehinderten Menschen ermöglichen, diese Schranken zu passieren. Allerdings lässt sich diese Schranke wohl einfacher umgehen als gedacht. Sicherheitsforscher haben nun das Skript UnCaptcha 2 präsentiert, das dies theoretisch zeigt. Der Ablauf ist recht einfach: Es wird die Audiospur heruntergeladen, dann an Googles hauseigenes Speech-to-Text und Lösungen von IBM und Microsoft geschickt und der zurückgelieferte Text dann in das Feld eingetragen.

Das Ganze dauert etwas mehr als 5 Sekunden, ist im Zweifel also schneller als ein Nutzer selbst. Ärgerlich daran ist, dass Google das System vor eineinhalb Jahren eigentlich stärker abgesichert hat, aber genau das Gegenteil erreichte. Zuvor wurden einzelne Ziffern abgespielt, die von dem Skript erst zerlegt und erkannt wurden mussten – jetzt kann der gesamte Text einfach direkt durch die Erkennungssysteme gejagt werden.

Google wurde bereits vor 6 Monaten (!) darüber informiert, hat aber bisher nichts geändert und eher passiv reagiert. Nach dem Ablauf der Halbjahresfrist haben die Forscher das System nun veröffentlicht. Ob Google nun nachbessert wird wohl auch davon abhängen, ob eine solche Umgehung auch tatsächlich in der Praxis eingesetzt wird.



We contacted the Recaptcha team in June 2018 to alert them that the updates to the Recaptcha system made it less secure, and a formal issue was opened on June 27th, 2018. We demonstrated a fully functional version of this attack soon thereafter. We chose to wait 6 months after the initial disclosure to give the Recaptcha team time to address the underlying architectural issues in the Recaptcha system. The Recaptcha team is aware of this attack vector, and have confirmed they are okay with us releasing this code, despite its current success rate.


 
» UnCaptcha 2

[heise]


Teile diesen Artikel:

Facebook twitter Pocket Pocket