CAPTHAs, o completamente automatizzato di test di Turing pubblico per raccontare Computers and Humans Apart, può essere piuttosto fastidioso a volte, ma, in termini di sicurezza online, essi sono un male necessario. Sfortunatamente, servizi CAPTCHA di Google e Facebook sono stati suddivisi da tre ricercatori di sicurezza. Il loro lavoro è stato recentemente presentato durante il Black Hat Asia 2016.
Suphannee Sivakorn, Jason Polakis, e Angelos D. Keromytis è riuscito a progettare un attacco automatizzato che può rompere con successo il CAPTCHA di Google e Facebook. Per avere successo, il trio esperto applicato vari “trucchi” per sconfiggere i servizi CAPTCHA. Hanno anche usato l'apprendimento automatico per capire la risposta giusta CAPTCHA. La precisione hanno compiuto è a un livello superiore rispetto ai precedenti tentativi e studi.
La sconfitta di ‘S e ‘S CAPTCHA
I ricercatori dicono che il servizio offerto da Google reCAPTCHA, è il servizio più utilizzato captcha, ed è stato adottato da molti siti web popolari per prevenire i bot automatici di condurre attività nefaste “.
reCAPTCHA di Google
Non si aspettavano il loro esperimento di essere il più successo come si è scoperto essere. Mentre abbattendo sistema reCAPTCHA di Google, hanno registrato un tasso di successo di 70.78 per cento. A partire dal tempo medio di CAPTCHA solving, è stato stimato a 19.2 secondi.
il sistema CAPTCHA di Facebook
I ricercatori hanno ottenuto risultati migliori su Facebook CAPTCHA - un tasso di successo di 83.5 per cento in più di 200 CAPTCHA. Perché erano più successo con Facebook? Il motivo è abbastanza semplice e ovvio - il social network usi le immagini con una risoluzione migliore e visualizza gli oggetti da categorie riconoscibili.
In confronto, immagini di Google sono con risoluzione più bassa, che sono analoghe tra loro. Ciò renderebbe la classificazione automatica delle immagini più impegnativo.
Oltre alla parte tecnica di attacco su CAPTCHA di Google e Facebook, i ricercatori hanno anche preso in considerazione le esigenze finanziarie per effettuare tali attacchi. Come risulta, l'attacco automatizzato è finanziariamente suona - sarebbe solo truffatori costi informatici $110 al giorno per ogni indirizzo IP per rompere i codici CAPTCHA.
Che cosa ha fatto Facebook e Google Say?
Naturalmente, il team di ricerca ha contattato Google e Facebook prima di andare pubblico con la loro scoperta. sorprendentemente, solo Google ha risposto e poi ha preso alcune misure per rendere il loro meccanismo di reCAPTCHA più difficile da rompere. Facebook non ha fatto nulla per rendere i loro CAPTCHA meglio ancora.
Questo è ciò che dice la squadra:
Abbiamo divulgato un rapporto con i nostri risultati e le raccomandazioni a Google, nel tentativo di aiutarli a rendere più robusto reCaptcha agli attacchi automatizzati. Seguendo la nostra divulgazione, reCaptcha alterato le garanzie e il processo di analisi del rischio per mitigare i nostri attacchi su larga scala di token di raccolta. Hanno anche rimosso la flessibilità soluzione e l'immagine campione dalla captcha immagine per ridurre la precisione del attacco. Abbiamo anche informato Facebook, ma non sono state notificate eventuali modifiche. Complessivamente, ci auguriamo che condividere le nostre scoperte aiuterà avviare la discussione tanto necessaria tra i ricercatori e l'industria riguardanti il futuro del captcha.
Dai un'occhiata a il report originale.