Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

Google reCAPTCHA-autentisering kan kringgås med bots

Även efter att ha rättat till bristerna i dess mekanism 2018Googles reCAPTCHA är fortfarande sårbar för att utnyttjas av bots för att kringgå autentisering. Ett proof-of-concept för denna uppdaterade exploatering lades ut av en forskare, som använde verktyg för att extrahera ljudfilen för reCAPTCHA och skicka in den till Googles Speech-to-text API för att kringgå autentiseringen.

Utnyttja legitima verktyg för att kringgå autentisering

För att undvika att skapa falska konton och blockera skadlig trafik kallas ett autentiseringssystem CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) uppfanns 2014. Som namnet ser ut skulle det skilja människor och robotar åt genom att erbjuda en logisk utmaning att lösa, innan man går in på sajten.

En uppgraderad version av denna tjänst kallas reCAPTCHA förvärvades av Google 2009 och används nu av hundratusentals webbplatser. Även om det är tänkt att vara för bra användning har forskare vid University of Maryland publicerat ny forskning som heter “unCaptcha” i april 2017, där de framgångsrikt bluffade detta autentiseringsprotokoll.

reCAPTCHA har ett ljudläge som är avsett för synskadade användare, för att lyssna och knäcka den logiska frågan som ställs till dem. Forskare här har riktat in sig på detta, eftersom de använde verktyg som Selenium för att ladda ner ljudprovet från reCAPTCHAs ljudfunktion, mata det till Googles Speech-to-Text API och få det korrekta resultatet.

Denna metod var så framgångsrik att den gav 85 % av korrekta resultat och till och med främjade Google till uppgradera deras reCAPTCHA i juni 2018, för att vara säkrare när det gäller att upptäcka botarna. Ändå har samma forskare gjort det visas upp igen att utnyttja den uppdaterade, med en bättre noggrannhet på 91%!

Nu har en forskare som heter Nikolai Tschacher avslöjat sitt arbete med en
proof-of-concept att denna exploatering fortfarande är genomförbar. Även efter tre års existens misslyckas Google med att lappa det ordentligt, eftersom noggrannhetsnivåerna nu har gått upp till 97%.