Ein Sicherheitsforscher hat eine Methode entwickelt, um automatische Antworten für Googles reCaptcha zu erstellen. Details und Beispielcode seines Angriffs hat er auf GitHub veröffentlicht. Die Sicherheitsfunktion, die Websites vor Spam und Eingaben durch Bots schützen soll, umgeht der Forscher nach eigenen Angaben mithilfe von Googles Spracherkennungsdienst.
Die Schwachstelle entdeckte der Forscher, der sich East-EE nennt, im vergangenen Jahr. Ihm zufolge wurde sie bisher noch nicht gepatcht. Unklar ist allerdings, ob er Google im Vorfeld seiner Veröffentlichung über den Fehler informierte.
Websitebetreiber nutzen reCaptcha, um sicherzustellen, dass Personen und nicht Skripte oder Bots ihre Angebote nutzen. Beispielsweise vor dem Versand eines Kontaktformulars muss ein Nutzer eine von drei möglichen reCaptcha-Aufgaben lösen. Entweder müssen Teile eines Bilds erkannt, zu einer Überschrift passende Aussagen ausgewählt oder eine per Audio wiedergegebene Zahlfolge eingetippt werden.
Letzteres erledigt das von East-EE erstellte Python-Skript automatisch. Demnach ist es möglich, die Audiodatei herunterzuladen, um sie ins WAV-Format zu konvertieren und an Googles Spracherkennungs-API zu übergeben. „Es gibt eine großartige Python-Bibliothek namens ‚SpeechRecognition‘, um Sprache zu erkennen, die verschiedene Engines und APIs unterstützt, online und offline“, schreibt der Forscher in seinem Blog. „Wir werden die Implementierung dieser Bibliothek der Google Speech Recognition API nutzen.“
Dadurch sei es möglich, die WAV-Audiodatei an die Spracherkennung zu senden, die als Ergebnis die erkannte Zahlenfolge liefere. „Dieses Ergebnis ist die Lösung der Audio-Aufgabe“, ergänzte East-EE. Ein einfaches Copy and Paste der Zahlenfolge in das reCaptcha-Eingabefeld sowie ein Klick auf die Schaltfläche „Bestätigen“ umgehe schließlich die Sicherheitsabfrage.
Google zufolge richtet sich die Audio-Aufgabe in erster Linie an Nutzer mit verminderter Sehfähigkeit. reCaptcha soll in der Lage sein, Bots zu erkennen, die die Audio-Aufgabe lösen wollen. „Bots wiederum erhalten ein wesentlich schwierigeres Audio-Captcha, um sie zu blockieren.“ In einem Nachtrag zu seinem Blogeintrag weist East-EE darauf hin, dass er sein Skript inzwischen an diese schwierigeren Audio-Aufgaben angepasst habe, die Erfolgsquote jedoch geringer sei als bei den einfachen Audio-Aufgaben.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Sam Pudwell, Silicon.co.uk]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…