CAPTHAs, ou teste de Turing público totalmente automatizado para diferenciar computadores de humanos, pode ser muito chato às vezes, mas, em termos de segurança online, eles são um mal necessário. Infelizmente, Os serviços CAPTCHA do Google e do Facebook foram divididos por três pesquisadores de segurança. Seu trabalho foi recentemente apresentado durante a Black Hat Asia 2016.
Suphannee Sivakorn, Jason Polakis, e Angelos D. Keromytis conseguiu projetar um ataque automatizado que pode quebrar com sucesso o CAPTCHA do Google e do Facebook. Para ter sucesso, o trio de especialistas aplicou vários "truques" para derrotar os serviços CAPTCHA. Eles também usaram o aprendizado de máquina para descobrir a resposta certa do CAPTCHA. A precisão que eles alcançaram está em um nível mais alto do que as tentativas e estudos anteriores.
A derrota de 'areia CAPTCHAs
Os pesquisadores afirmam que o serviço reCaptcha oferecido pelo Google, é o serviço de captcha mais amplamente usado, e foi adotado por muitos sites populares para evitar que bots automatizados conduzam atividades nefastas. ”
ReCAPTCHA do Google
Eles não esperavam que seu experimento fosse tão bem-sucedido quanto acabou sendo. Ao quebrar o sistema reCAPTCHA do Google, eles registraram uma taxa de sucesso de 70.78 por cento. A partir do tempo médio de resolução de CAPTCHA, foi estimado em 19.2 segundos.
Sistema CAPTCHA do Facebook
Os pesquisadores obtiveram melhores resultados no CAPTCHA do Facebook - uma taxa de sucesso de 83.5 por cento em mais de 200 CAPTCHAs. Por que eles tiveram mais sucesso com o Facebook? O motivo é bastante simples e óbvio - a rede social usa imagens com melhor resolução e exibe objetos de categorias reconhecíveis.
Em comparação, As imagens do Google estão com resolução mais baixa, que são análogos um ao outro. Isso tornaria a classificação automática de imagens mais desafiadora.
Além da parte técnica do ataque aos CAPTCHAs do Google e do Facebook, os pesquisadores também levaram em consideração as necessidades financeiras para realizar tais ataques. Como se vê, o ataque automatizado é financeiramente razoável - custaria apenas cibercriminosos $110 um dia por endereço IP para quebrar códigos CAPTCHA.
O que o Facebook e o Google disseram?
Claro, a equipe de pesquisa entrou em contato com o Google e o Facebook antes de divulgar sua descoberta. Surpreendentemente, apenas o Google respondeu e, em seguida, tomou algumas medidas para tornar seu mecanismo reCAPTCHA mais difícil de quebrar. O Facebook ainda não fez nada para tornar seus CAPTCHAs melhores ainda.
Isso é o que a equipe diz:
Divulgamos um relatório com nossas descobertas e recomendações ao Google, em um esforço para ajudá-los a tornar o reCaptcha mais robusto para ataques automatizados. Seguindo nossa divulgação, O reCaptcha alterou as salvaguardas e o processo de análise de risco para mitigar nossos ataques de coleta de tokens em grande escala. Eles também removeram a flexibilidade da solução e a imagem de amostra do captcha de imagem para reduzir a precisão do ataque. Também informamos o Facebook, mas não foram notificados de quaisquer mudanças. No geral, Esperamos que compartilhar nossas descobertas ajude a iniciar a discussão muito necessária entre os pesquisadores e a indústria sobre o futuro dos captchas.
Dê uma olhada em o relatório original.