CAPTHAs, eller fuldstændig automatiseret Public Turing test til at fortælle Computere og mennesker Apart, kan være temmelig irriterende til tider, men, i form af online sikkerhed, de er et nødvendigt onde. Desværre, Googles og Facebooks CAPTCHA tjenester er blevet fordelt på tre sikkerhedseksperter. Deres arbejde blev for nylig præsenteret på Black Hat Asien 2016.
Suphannee Sivakorn, Jason Polakis, og Angelos D. Keromytis formået at designe en automatiseret angreb, der med held kan bryde CAPTCHA af Google og Facebook. For at få succes, eksperten trioen anvendt forskellige ”tricks” at besejre CAPTCHA tjenester. De brugte også maskinlæring at finde ud af den rigtige CAPTCHA svar. Præcisionen opnåede de er på et højere niveau end tidligere forsøg og undersøgelser.
Nederlag ’S og ’S CAPTCHA'er
Forskerne siger, at reCAPTCHA service, der tilbydes af Google, er den mest udbredte captcha tjeneste, og er blevet vedtaget af mange populære hjemmesider for at forhindre automatiserede bots fra at foretage forbryderiske aktiviteter.”
Googles reCAPTCHA
De havde ikke forvente, at deres eksperiment at være så vellykket som det viste sig at være. Mens de bryder Googles reCAPTCHA-system, de indspillede en succesrate på 70.78 procent. Som i den gennemsnitlige CAPTCHA løse tid, det blev anslået til 19.2 sekunder.
Facebooks CAPTCHA-system
Forskerne fik bedre resultater på Facebooks CAPTCHA - en succesrate på 83.5 procent på mere end 200 CAPTCHA'er. Hvorfor var de mere succesfulde med Facebook? Årsagen er ganske enkel og indlysende - det sociale netværk bruger billeder med en bedre opløsning og viser genstande fra genkendelige kategorier.
Sammenlignet med, Googles billeder er med lavere opløsning, som er analoge med hinanden. Dette ville gøre det automatisk billedet klassificering mere udfordrende.
Udover den tekniske del af angreb på Googles og Facebooks CAPTCHA'er, Forskerne tog også hensyn til de finansielle behov for at udføre sådanne angreb. Da det viser sig,, den automatiserede angreb er økonomisk lyder - det ville kun koste cyberforbrydere $110 en dag pr IP-adresse til at bryde CAPTCHA-koder.
Hvad gjorde Facebook og Google Say?
Selvfølgelig, forskerholdet kontaktede Google og Facebook forud for at gå offentligt med deres opdagelse. overraskende, kun Google reagerede og derefter tog nogle foranstaltninger for at gøre deres reCAPTCHA mekanisme sværere at bryde. Facebook har ikke gjort noget for at gøre deres CAPTCHA'er bedre endnu.
Dette er, hvad holdet står:
Vi har oplyst en rapport med vores resultater og anbefalinger til Google, i et forsøg på at hjælpe dem med at gøre reCAPTCHA mere robust over for automatiserede angreb. Efter vores afsløring, reCAPTCHA ændret de garantier og risikoanalyseprocessen at afbøde vores storstilede token høst angreb. De fjernede også den løsning fleksibilitet og prøve billede fra billedet captcha for at mindske angrebet nøjagtighed. Vi har også informeret Facebook, men er ikke blevet underrettet om eventuelle ændringer. Samlet, Vi håber, at dele vores resultater vil bidrage til at igangsætte den nødvendige diskussion mellem forskere og erhvervsliv om fremtiden for captchas.
Tag et kig på den oprindelige rapport.