CAPTHAs, of volledig geautomatiseerd Public Turing test om computers en mensen uit elkaar, kan soms behoorlijk vervelend zijn, maar, op het gebied van online beveiliging, ze zijn een noodzakelijk kwaad. Helaas, Google en Facebook CAPTCHA diensten zijn uitgesplitst naar drie security onderzoekers. Hun werk werd onlangs gepresenteerd tijdens de Black Hat-Azië 2016.
Suphannee Sivakorn, Jason Polakis, en Angelos D. Keromytis in geslaagd om een geautomatiseerde aanval die met succes de CAPTCHA van Google en Facebook kan breken ontwerpen. Om te slagen, de expert trio toegepaste verschillende “trucs” om de CAPTCHA diensten te verslaan. Zij gebruikten ook machine learning te achterhalen van de juiste CAPTCHA antwoord. De precisie zij bewerkstelligd op een hoger niveau dan eerdere pogingen en studies.
De nederlaag van ‘S en ‘S CAPTCHA's
De onderzoekers zeggen dat de reCaptcha dienst aangeboden door Google, is de meest gebruikte captcha dienst, en is door vele populaire websites aangenomen om te voorkomen dat geautomatiseerde bots uit het uitvoeren van misdadige activiteiten.”
Google's reCAPTCHA
Ze had niet verwacht dat hun experiment zo succesvol te zijn als het bleek te zijn. Terwijl het afbreken van Google's reCAPTCHA systeem, namen ze een slagingspercentage van 70.78 procent. Met ingang van de gemiddelde oplossen van CAPTCHA tijd, Het werd geschat op 19.2 seconden.
Facebook CAPTCHA systeem
De onderzoekers lieten betere resultaten op Facebook CAPTCHA - een slagingspercentage van 83.5 procent meer dan 200 CAPTCHA's. Waarom waren ze meer succes met Facebook? De reden is heel simpel en voor de hand liggende - het sociale netwerk maakt gebruik van beelden met een betere resolutie en toont voorwerpen uit herkenbaar zijn.
In vergelijking, Google's beelden zijn met een lagere resolutie, die analoog zijn aan elkaar. Dit zou de automatische afbeelding indeling uitdagender.
Naast het technische gedeelte van de aanval op de CAPTCHA's van Google en Facebook, de onderzoekers ook rekening gehouden met de financiële behoeften dergelijke aanvallen uit te voeren. Zoals het blijkt, de geautomatiseerde aanval is financieel klinkt - het zou alleen kost cyber criminelen $110 per dag per IP-adres om CAPTCHA-codes te breken.
What Did Facebook en Google Say?
Natuurlijk, het onderzoeksteam contact opgenomen met Google en Facebook voorafgaand aan het gaan publiek met hun ontdekking. Verrassend, alleen Google gereageerd en vervolgens nam een aantal maatregelen om hun reCAPTCHA mechanisme moeilijker te breken. Facebook heeft niets gedaan om hun CAPTCHA's nog beter te maken.
Dit is wat het team zegt:
We hebben een rapport met onze bevindingen en aanbevelingen aan Google onthuld, in een poging om hen te helpen bij het maken reCaptcha meer robuuste geautomatiseerde aanvallen. Na onze openbaarmaking, reCaptcha veranderde de veiligheidscontrole en de risicoanalyse proces om onze token harvesting aanvallen op grote schaal te beperken. Ze verwijderden de oplossing ook flexibiliteit en voorbeeldopname uit het beeld captcha voor het verminderen van de nauwkeurigheid van de aanval. We hebben ook op de hoogte Facebook, maar nog niet in kennis gesteld van eventuele wijzigingen. Overall, we hopen dat het delen van onze bevindingen zullen helpen inleiding van de broodnodige discussie tussen onderzoekers en de industrie met betrekking tot de toekomst van captcha's.
Kijk even naar het oorspronkelijke rapport.