UnCaptcha2: Skript umgeht Googles Audio-Captcha-Methode noch erfolgreicher
Forscher der Universität von Maryland können nach eigenen Angaben Googles überarbeitete Audio-Captchas jetzt zu 90 Prozent automatisiert lösen.
(Bild: Screenshot)
Google und Sicherheitsexperten befinden sich weiter in einem Hase-und-Igel-Wettlauf, wenn es um das Umgehen des ReCaptcha-Dienstes geht. Dieser soll durch kleine öffentliche Turing-Tests helfen, Bots von Menschen zu unterscheiden und automatisierte Angriffe auf Webseiten abzuwehren. Google stellte 2017 seine Audio-Captchas von vorgelesenen Ziffern auf Satzfetzen mit Störgeräuschen um, nachdem das vorherige Verfahren recht einfach automatisiert ausgehebelt werden konnte. Die überarbeitete und angeblich verbesserte Version ist aber offenbar noch einfacher maschinell zu "knacken".
Austricksen mit 85,2 Prozent Zielgenauigkeit
Zunächst hatten Forscher der Universität von Maryland vor anderthalb Jahren gezeigt, dass sie die Audio-Aufgaben von ReCaptcha mit einer Zielgenauigkeit von 85,2 Prozent automatisiert lösen konnten. Sie setzten dabei auf ein UnCaptcha getauftes Skript, das die vorgelesene Ziffern in kleine MP3-Dateien aufteilte und diese bei den sechs kostenlosen Spracherkennungsdiensten Google Cloud, Google Speech API, Bing, IBM Bluemix, Wit-AI8 und Sphinx eingab.
Die Ergebnisse verwandelte das Werkzeug in Zahlenabfolgen, suchte die am ehesten gleichlautenden Worte heraus und übermittelte die beste gefundene Lösung an das Google-System. Das Ganze dauerte nur 5,4 Sekunden. Dass Menschen in der Regel länger brauchen, um die Aufgabe zu bewältigen, störte ReCaptcha nicht.
Geändertes Verfahren erleichtert Angriffe
Google änderten daraufhin das Testverfahren im Lichte der Erkenntnisse ab. Die nun gesprochenen englischen kurzen Sätze sollten schwerer automatisiert erkannt und wiedergegeben werden können. Zudem wird das von den Wissenschaftlern zuvor eingesetzte Selenium Framework für automatisierte Tests von Webanwendungen nicht mehr zugelassen.
Den Forschern zufolge hat Google mit der Reaktion letztlich aber Angriffe sogar noch erleichtert. Das jetzt auf Github als Open-Source-Code veröffentlichte Skriptupdate UnCaptcha2 muss demnach nur noch eine einzige Anfrage an einen kostenlosen, öffentlich verfügbaren Dienst senden, der Text erkennt und in gesprochener Form ausgibt. Die einschlägigen Angebote von Google selbst, Microsoft und IBM hätten sich dabei am verlässlichsten erwiesen. Das Instrument verwende zudem jetzt einen "Screen Clicker" anstatt Selenium, um gewisse Pixel auf dem Bildschirm anzusteuern, wie ein Mensch durch eine Webseite zu navigieren und auf verschiedene Elemente zu klicken.
Neues Skript schafft 90 Prozent
Die Treffergenauigkeit liege bei dem überarbeiteten Skript nun bei 90 Prozent, schreiben die Experten. Das neue Verfahren zum Lösen von Audio-Captchas sei zwar noch nicht ganz so robust wie das frühere und man müsse die Benutzernamen und Passwörter für die Konten zur Inanspruchnahme der Spracherkennungsdienste neu eingeben. Es handle sich aber letztlich auch um eine Konzeptstudie, um die neuen Möglichkeiten unter Beweis zu stellen.
Das ReCaptcha-Team von Google haben die Forscher laut ihren Angaben schon im Juni darüber informiert, dass die erfolgten Updates zu der Audioversion das Verfahren "weniger sicher gemacht haben". Zu diesem Zeitpunkt hätten sie den zuständigen Mitarbeitern des Internetkonzerns auch eine voll funktionsfähige Demonstration der Angriffsmöglichkeiten gezeigt. Nach einer Google gegenüber kommunizierten sechsmonatigen Übergangsfrist habe man nun den Code für das angepasste Skript veröffentlicht und die "Gegenseite" auch darüber vorab noch einmal informiert. Einwände dagegen habe es nicht gegeben. Die Wissenschaftler gehen davon aus, dass Google den von zehntausenden Webseiten verwendeten ReCaptcha-Dienst ebenfalls bald aktualisieren und UnCaptcha2 dann in der jetzigen Form nicht mehr funktionieren wird. (axk)
