CAPTHAs, ou complètement automatisé test de Turing publique pour dire Ordinateurs et humains Apart, peut être assez ennuyeux parfois, mais, en termes de sécurité en ligne, ils sont un mal nécessaire. Malheureusement, CAPTCHA les services fournis par Google et Facebook ont été ventilées par trois chercheurs en sécurité. Leur travail a été récemment présenté lors de Black Hat Asie 2016.
Suphannee Sivakorn, Jason Polakis, et Angelos D. Keromytis a réussi à concevoir une attaque automatisée qui peut avec succès briser le CAPTCHA de Google et Facebook. Afin de réussir, le trio d'experts appliqué divers «trucs» pour vaincre les services de CAPTCHA. Ils ont également utilisé l'apprentissage de la machine pour trouver la réponse CAPTCHA droit. La précision qu'ils ont accompli est à un niveau plus élevé que les tentatives antérieures et les études.
La défaite de 'le sable 'De CAPTCHAs
Les chercheurs disent que le service offert par Google reCaptcha, est un service de captcha le plus largement utilisé, et a été adopté par de nombreux sites Web populaires pour empêcher les robots collecteurs automatisés de mener des activités infâmes ".
reCAPTCHA de Google
Ils ne prévoient que leur expérience soit autant de succès qu'il est avéré être. Alors que briser le système reCAPTCHA de Google, ils ont enregistré un taux de réussite 70.78 pour cent. Comme du temps CAPTCHA la résolution moyenne, il a été estimé à 19.2 secondes.
Le système de CAPTCHA Facebook
Les chercheurs ont obtenu de meilleurs résultats sur le CAPTCHA Facebook - un taux de réussite 83.5 pour cent de plus de 200 CAPTCHAs. Pourquoi étaient-ils plus de succès avec Facebook? La raison est assez simple et évidente - le réseau social utilise des images avec une meilleure résolution et affiche les objets de catégories reconnaissables.
En comparaison, Les images de Google sont en basse résolution, qui sont analogues les unes aux autres. Cela rendrait la classification automatique de l'image plus difficile.
Outre la partie technique de l'attaque sur les CAPTCHA fournis par Google et Facebook, les chercheurs ont également pris en considération les besoins financiers pour mener à bien de telles attaques. Comme il s'avère, l'attaque automatisée est financièrement sons - il ne coûterait que des cyber-escrocs $110 par jour et par adresse IP pour briser les codes CAPTCHA.
What Did Facebook et Google Say?
Bien sûr, l'équipe de recherche a contacté Google et Facebook avant de la rendre publique leur découverte. Étonnamment, que Google a répondu et a ensuite pris des mesures pour rendre leur mécanisme reCAPTCHA plus difficile à briser. Facebook n'a rien fait pour rendre leurs CAPTCHAs mieux encore.
Voici ce que dit l'équipe:
Nous avons communiqué un rapport avec nos conclusions et recommandations à Google, dans un effort pour les aider à faire reCaptcha plus robuste aux attaques automatisées. Suite à notre communication, reCaptcha modifié les garanties et le processus d'analyse des risques pour atténuer nos attaques à grande échelle de récolte jeton. Ils ont également enlevé la flexibilité de la solution et de l'image échantillon à partir de l'image captcha pour réduire la précision de l'attaque. Nous avons également informé Facebook, mais n'a pas été notifié de tout changement. Global, nous espérons que le partage de nos résultats aidera initier la discussion nécessaire entre les chercheurs et l'industrie en ce qui concerne l'avenir de captchas.
Jettes un coup d'oeil à le rapport initial.