Googles Recaptcha beinahe geknackt
Auf einer Sicherheitskonferenz haben Hacker ein Skript demonstriert, das Googles Recaptchas mit einer Trefferquote von 99 Prozent knacken konnte. Richtig glücklich waren sie dabei jedoch nicht.
- Ronald Eikenberg
Hacker haben ein Skript entwickelt, das Googles Recaptcha-System mit einer Trefferquote von über 99 Prozent knacken konnte. Ihre Forschungsergebnisse präsentierten sie kürzlich auf der Sicherheitskonferenz Layer One in Los Angeles – allerdings leicht frustriert, denn Google hat Recaptcha rund eine Stunde vor der Vorführung nachgebessert.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Recaptcha gilt als eines der sichersten Verfahren, um Menschen von Maschinen zu unterscheiden. Durch die Eingabe der für Programme schwer lesbaren Zeichenketten können Anbieter von Webdiensten sicherstellen, dass etwa Registrierungsformulare nicht massenhaft von Spam-Bots ausgefüllt werden. Das Stiltwalker getaufte Skript der Hacker versucht sich jedoch nicht an der Eingabe der Zeichen, sondern analysiert die Audiofassung der Captchas, die Google für sehbehinderte Menschen bereitstellt.
(Bild: Google)
Dabei nutzt Stiltwalker unter anderem Methoden des Maschinellen Lernens. Aber auch der geringe Wortschatz der Computerstimme spielte den Hackern zu: Während die Text-Captchas sehr komplex sind und einen großen Pool an Wörtern in verschiedenen Schriftvariationen mitbringen, nutzte Google bei den Audio-Captchas lediglich 58 verschiedene englischsprachige Wörter.
Um die automatischen Analysen zu erschweren, blendet Google ein Hintergrundmurmeln ein, das für "elektronische Ohren" schwer herauszufiltern ist. Die Hacker fanden heraus, dass es sich dabei um Mitschnitte von Radiosendungen handelt, die immer wieder zum Einsatz kommen.
Durch die Änderungen, die Google kurz vor der Präsentation an Recaptcha vorgenommen hat, läuft Stiltwalker nun ins Leere. Das macht den Vortrag der drei Hacker jedoch nicht weniger unterhaltsam. (rei)
