CAPTHAs, o completamente prueba de Turing pública y automática para contar máquinas y humanos, puede ser bastante molesto a veces, pero, en términos de seguridad en línea, que son un mal necesario. Desafortunadamente, servicios de CAPTCHA de Facebook de Google y de se han desglosado por tres investigadores de seguridad. Su trabajo fue presentado recientemente durante Sombrero Negro Asia 2016.
Suphannee Sivakorn, Jason Polakis, y Angelos D. Keromytis logró diseñar un ataque automatizado que puede romper con éxito el CAPTCHA de Google y Facebook. Para tener éxito, el trío experto aplicado diversos “trucos” para derrotar a los servicios de CAPTCHA. También utilizaron la máquina de aprendizaje de averiguar la respuesta correcta de CAPTCHA. La precisión que lograron está a un nivel más alto que los anteriores intentos y estudios.
La derrota de ‘S y ‘S letras cifradas
Los investigadores dicen que el servicio ofrecido por Google reCaptcha, es el servicio de código de imagen más utilizado, y ha sido adoptado por muchos sitios web populares para la prevención de los robots automatizados de llevar a cabo actividades nefastas “.
reCAPTCHA de Google
No esperaban que su experimento a ser tan exitoso como resultó ser. Mientras que la descomposición del sistema reCAPTCHA de Google, que registraron una tasa de éxito de 70.78 ciento. A partir de la media hora la solución de CAPTCHA, se estima en 19.2 segundos.
sistema de CAPTCHA de Facebook
Los investigadores obtuvieron mejores resultados en CAPTCHA Facebook - una tasa de éxito de 83.5 ciento en más de 200 CAPTCHA. ¿Por qué eran más éxito con Facebook? La razón es muy simple y obvia - la red social utiliza imágenes con una mejor resolución y muestra los objetos de categorías reconocibles.
En comparación, imágenes de Google son de menor resolución, que son análogas a la otra. Esto haría que la clasificación automática de imágenes más desafiante.
Además de la parte técnica de ataque a los CAPTCHA de Facebook de Google y de, los investigadores también tomaron en consideración las necesidades financieras para llevar a cabo este tipo de ataques. Pues resulta que, el ataque automatizado es financieramente suena - sólo costaría ladrones cibernéticos $110 un día por dirección de IP para romper códigos CAPTCHA.
¿Qué hizo Facebook y Google Say?
Por supuesto, el equipo de investigación en contacto con Google y Facebook antes de hacer público su descubrimiento. Asombrosamente, Sólo Google respondió y luego tomó algunas medidas para hacer que su mecanismo de reCAPTCHA más difícil de romper. Facebook no ha hecho nada para que sus letras cifradas mejor aún.
Esto es lo que dice el equipo:
Hemos dado a conocer un informe con nuestras conclusiones y recomendaciones a Google, en un esfuerzo para ayudar en la toma de reCaptcha más robusto a ataques automatizados. A raíz de la divulgación, reCaptcha altera las garantías y el proceso de análisis de riesgos para mitigar los ataques a gran escala de recolección símbolo. También quitaron la imagen muestra la flexibilidad y la solución de la imagen captcha para reducir la precisión del ataque. También hemos informado a Facebook, pero no se han notificado de cualquier cambio. En general, Esperamos que el compartir nuestros hallazgos ayudará a iniciar la necesaria discusión entre los investigadores y la industria con respecto al futuro de los captchas.
Mira esto el informe original.