Forscher umgeht Googles reCaptcha mit Googles eigener Spracherkennung

Ein Sicherheitsforscher hat eine Methode entwickelt, um automatische Antworten für Googles reCaptcha zu erstellen. Details und Beispielcode seines Angriffs hat er auf GitHub veröffentlicht. Die Sicherheitsfunktion, die Websites vor Spam und Eingaben durch Bots schützen soll, umgeht der Forscher nach eigenen Angaben mithilfe von Googles Spracherkennungsdienst.

Die Schwachstelle entdeckte der Forscher, der sich East-EE nennt, im vergangenen Jahr. Ihm zufolge wurde sie bisher noch nicht gepatcht. Unklar ist allerdings, ob er Google im Vorfeld seiner Veröffentlichung über den Fehler informierte.

Die Audio-Aufgabe von Googles reCaptcha lässt sich unter Umständen mit einem Skript automatisch lösen (Screenshot: East-EE).Websitebetreiber nutzen reCaptcha, um sicherzustellen, dass Personen und nicht Skripte oder Bots ihre Angebote nutzen. Beispielsweise vor dem Versand eines Kontaktformulars muss ein Nutzer eine von drei möglichen reCaptcha-Aufgaben lösen. Entweder müssen Teile eines Bilds erkannt, zu einer Überschrift passende Aussagen ausgewählt oder eine per Audio wiedergegebene Zahlfolge eingetippt werden.

Letzteres erledigt das von East-EE erstellte Python-Skript automatisch. Demnach ist es möglich, die Audiodatei herunterzuladen, um sie ins WAV-Format zu konvertieren und an Googles Spracherkennungs-API zu übergeben. „Es gibt eine großartige Python-Bibliothek namens ‚SpeechRecognition‘, um Sprache zu erkennen, die verschiedene Engines und APIs unterstützt, online und offline“, schreibt der Forscher in seinem Blog. „Wir werden die Implementierung dieser Bibliothek der Google Speech Recognition API nutzen.“

Dadurch sei es möglich, die WAV-Audiodatei an die Spracherkennung zu senden, die als Ergebnis die erkannte Zahlenfolge liefere. „Dieses Ergebnis ist die Lösung der Audio-Aufgabe“, ergänzte East-EE. Ein einfaches Copy and Paste der Zahlenfolge in das reCaptcha-Eingabefeld sowie ein Klick auf die Schaltfläche „Bestätigen“ umgehe schließlich die Sicherheitsabfrage.

Google zufolge richtet sich die Audio-Aufgabe in erster Linie an Nutzer mit verminderter Sehfähigkeit. reCaptcha soll in der Lage sein, Bots zu erkennen, die die Audio-Aufgabe lösen wollen. „Bots wiederum erhalten ein wesentlich schwierigeres Audio-Captcha, um sie zu blockieren.“ In einem Nachtrag zu seinem Blogeintrag weist East-EE darauf hin, dass er sein Skript inzwischen an diese schwierigeren Audio-Aufgaben angepasst habe, die Erfolgsquote jedoch geringer sei als bei den einfachen Audio-Aufgaben.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Sam Pudwell, Silicon.co.uk]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago