Audio-Captchas ausgetrickst
Die Sound-Captchas des web-basierten Forums Simple Machines 1.1.2 sollen sich relativ leicht aushebeln lassen.
Laut eines auf dem Sicherheitsportal SecurityTracker veröffentlichten Fehlerberichts sollen im web-basierten Forum Simple Machines 1.1.2 zwei Schwachstellen stecken. Durch die erste Schwachstelle soll es möglich sein, den auf Sound-Captchas beruhenden Registrierungsschutz auszuhebeln. Captchas erschweren die automatische Registrierung an Internet-Diensten, um etwa den groß angelegten Missbrauch von Foren durch Spammer einzudämmen. Üblich sind grafische Captchas, bei denen teilweise stark verzerrte und von automatischen Programmen nur schwer erkennbare Buchstaben dargestellt werden, deren Eingabe für weitere Schritte zwingend erforderlich ist.
Alternativ gibt es auch Audio-Captchas, bei denen etwa der PC Buchstaben vorliest oder ein Geräusch abspielt, zu dem dann der Anwender den passenden Begriff, etwa Flugzeug, Auto, et cetera eingeben muss. Kennt der Spammer allerdings den Satz an Geräuschen, kann er durch den einfachen Vergleich der WAV-Dateien mit einem Programm schnell das richtige Captcha herausfinden. Dem veröffentlichten Fehlerbericht ist ein Tool angefügt, das dies demonstrieren soll. Außerdem soll es möglich sein, während des Schreibens oder Bearbeitens eines Foreneintrags eigenen PHP-Code auszuführen. Nähere Angaben macht der Fehlerbericht dazu allerdings nicht.
Siehe dazu auch:
- Simple Machines Forum Bugs Let Remote Users Execute Arbitrary Code or Bypass the Sound-Based CAPTCHA Function , Fehlerbericht von SecurityTracker
(dab)
