CAPTHAs, oder vollständig automatisiert öffentlichen Turing-Test Neben Computer und Menschen zu sagen,, kann ziemlich lästig sein, manchmal, aber, in Bezug auf die Online-Sicherheit, sie sind ein notwendiges Übel. Leider, Google und Facebook-CAPTCHA Dienste wurden von drei Sicherheitsexperten aufgeschlüsselt. Ihre Arbeit wurde vor kurzem während der Black Hat Asien vorgestellt 2016.
Suphannee Sivakorn, Jason Polakis, und Angelos D. Keromytis verwaltet einen automatisierten Angriff zu entwerfen, die erfolgreich die CAPTCHA von Google und Facebook brechen. Um erfolgreich zu sein, der Experte Trio verschiedene „Tricks“ angewendet, um die CAPTCHA Dienste zu besiegen. Sie maschinelles Lernen auch die richtige Antwort CAPTCHA, um herauszufinden, verwendet. Die Präzision ist sie auf einem höheren Niveau erreicht, als die bisherigen Versuche und Studien.
Die Niederlage des ‚S und ‚S CAPTCHAs
Die Forscher sagen, dass der reCaptcha Service von Google, ist der am weitesten verbreiteten captcha Service, und wurde von vielen beliebten Webseiten zu verhindern, dass automatisierte Bots von der Durchführung ruchlose Aktivitäten angenommen.“
Googles reCAPTCHA
Sie hatte nicht erwartet, ihr Experiment als erfolgreich zu sein, wie es stellte sich heraus,. Während Abbau Googles reCAPTCHA System, nehmen sie eine Erfolgsquote von 70.78 Prozent. Wie der durchschnittlichen CAPTCHA lösen Zeit, es wurde geschätzt auf 19.2 Sekunden.
Facebook-CAPTCHA-System
Die Forscher bekamen bessere Ergebnisse auf Facebook CAPTCHA - eine Erfolgsquote von 83.5 Prozent auf mehr als 200 CAPTCHAs. Warum waren sie erfolgreicher mit Facebook? Der Grund ist ganz einfach und klar - das soziale Netzwerk verwendet, um Bilder mit einer besseren Auflösung und zeigt Objekte aus erkennbaren Kategorien.
Im Vergleich, Google Bilder sind mit geringerer Auflösung, das sind analog zueinander. Dies würde die automatische Bildklassifizierung schwieriger.
Neben dem technischen Teil des Angriffs auf Google und Facebook-CAPTCHAs, Die Forscher nahmen auch berücksichtigen, die finanziellen Bedürfnisse solche Angriffe durchzuführen. Wie sich herausstellt, die automatisierte Angriff klingt finanziell - es ist nur Cyber-Gauner kosten würde $110 pro Tag pro IP-Adresse CAPTCHA Codes zu brechen.
Was haben Facebook und Google Say?
Natürlich, das Forschungsteam kontaktiert Google und Facebook vor der Öffentlichkeit zu gehen mit ihrer Entdeckung. Überraschenderweise, nur Google reagierte und nahm dann einige Maßnahmen, um ihre reCAPTCHA Mechanismus schwieriger zu brechen. Facebook hat nichts getan, um ihre CAPTCHAs zu machen noch besser.
Das ist, was das Team sagt:
Wir haben einen Bericht mit unseren Erkenntnissen und Empfehlungen an Google offenbart, in dem Bemühen, sie bei der Herstellung reCaptcha robusten automatisierter Angriffe zu unterstützen. Nach unseren Offenlegungs, reCaptcha verändert die Garantien und die Risikoanalyse unserer großen Token Ernte Angriffe abzuschwächen. Sie nimmt auch die Lösung Flexibilität und Beispielbild aus dem Bild Captcha für den Angriff der Genauigkeit reduzieren. Wir haben auch darüber informiert, Facebook, aber wurden nicht benachrichtigt, welche Änderungen. Über alle, wir hoffen, dass unsere Ergebnisse teilen wird helfen, die dringend benötigte Diskussion zwischen Forschern und der Industrie in Bezug auf die Zukunft des Captchas zu initiieren.
Werfen Sie einen Blick auf der ursprüngliche Bericht.