Sicherheit
Googles ReCaptcha geknackt - jedenfalls fast
von
Thorsten
Eggeling - 31.05.2012
Hackern von Defcon Group 949 ist es gelungen, den als sicher geltenden Captcha-Schutz von Google zu 99 Prozent zu hacken. Doch kurz vor der Präsentation machte Google dem Team einen Strich durch die Rechnung.
Captchas sind Bilderrätsel, die in erster Linie zur Unterscheidung von Mensch und Maschine dienen. Sie werden seit langem von zahlreichen Webdiensten genutzt, um beispielsweise automatisierte Anmeldungen bei E-Mail-Anbietern oder Online-Foren zu verhindern und Spam zu vermeiden. Die Nutzer müssen die im Captcha-Bild in unterschiedlichen Schriftarten dargestellten Zeichen erkennen und dann in das dafür vorgesehene Feld eintippen. Diese Art von Bilderkennung ist oft schon für Menschen schwierig. Für Rechner ist dies aufgrund der Komplexität der Captchas nahezu unmöglich.
Allerdings sind auch sehbehinderte Menschen meist nicht in der Lage die Captchas zu lösen. Google bietet daher bei seinem Verfahren mit dem Namen ReCaptcha zusätzlich eine Audio-Ausgabe an. Nach einem Klick auf das Lautsprecher-Symbol hört der Nutzer Wörter, die er erkennen und dann zur Bestätigung in das Eingabefeld eintippen muss. Hintergrundgeräusche und unterschiedliche Stimmlagen sollen eine automatische Spracherkennung unmöglich machen.
Bis vor kurzem war der Wortschatz der Audio-Version auf nur 58 englischsprachige Wörter begrenzt und die Hintergrundgeräusche stammten von immer den gleichen, wiederkehrenden Radiosendungen. Und genau hier erkannten die Hacker eine Schwachstelle. Sie entwickelten auf Basis maschinellen Lernens ein Skript mit dem Namen Stiltwalker. Damit blendeten sie die Störgeräusche aus und konnten dann stolze 99 Prozent aller ReCaptchas entschlüsseln.
Auf der Sicherheitskonferenz Layer One in Los Angeles am letzten Wochenende wollte das DC 949 Research Team das Stiltwalker-Script vorstellen. Dort wartete ein äußerst interessiertes Publikum gespannt auf die Präsentation des Hacks. Doch etwa eine Stunde vor der Präsentation machte Google der Gruppe einen Strich durch die Rechnung. Der Konzern hatte offenbar davon Wind bekommen und gerade noch rechtzeitig, ein paar Veränderungen in ReCaptcha vorgenommen. Damit war das Skript unwirksam. Das hielt die Mitglieder von DC 949 aber nicht davon ab, ihren Vortrag trotzdem zu halten. Die Herren auf der Bühne hatten aber ihren Spaß, für den möglicherweise auch der Konsum alkoholischer Getränke verantwortlich war. Genauere Einblicke erlaubt das Video der DC-949-Präsentation.
