Forscher umgeht Googles reCaptcha mit Googles eigener Spracherkennung

Die herunterladbaren reCaptcha-Audio-Aufgaben übergibt er an Googles Spracherkennung. Sie wandelt die gesprochene Zahlenfolge in Text um. Ein Python-Skript des Forschers führt alle notwendigen Schritte automatisch aus.

Ein Sicherheitsforscher hat eine Methode entwickelt, um automatische Antworten für Googles reCaptcha zu erstellen. Details und Beispielcode seines Angriffs hat er auf GitHub veröffentlicht. Die Sicherheitsfunktion, die Websites vor Spam und Eingaben durch Bots schützen soll, umgeht der Forscher nach eigenen Angaben mithilfe von Googles Spracherkennungsdienst.

Die Schwachstelle entdeckte der Forscher, der sich East-EE nennt, im vergangenen Jahr. Ihm zufolge wurde sie bisher noch nicht gepatcht. Unklar ist allerdings, ob er Google im Vorfeld seiner Veröffentlichung über den Fehler informierte.

Die Audio-Aufgabe von Googles reCaptcha lässt sich unter Umständen mit einem Skript automatisch lösen (Screenshot: East-EE).Die Audio-Aufgabe von Googles reCaptcha lässt sich unter Umständen mit einem Skript automatisch lösen (Screenshot: East-EE).Websitebetreiber nutzen reCaptcha, um sicherzustellen, dass Personen und nicht Skripte oder Bots ihre Angebote nutzen. Beispielsweise vor dem Versand eines Kontaktformulars muss ein Nutzer eine von drei möglichen reCaptcha-Aufgaben lösen. Entweder müssen Teile eines Bilds erkannt, zu einer Überschrift passende Aussagen ausgewählt oder eine per Audio wiedergegebene Zahlfolge eingetippt werden.

Letzteres erledigt das von East-EE erstellte Python-Skript automatisch. Demnach ist es möglich, die Audiodatei herunterzuladen, um sie ins WAV-Format zu konvertieren und an Googles Spracherkennungs-API zu übergeben. „Es gibt eine großartige Python-Bibliothek namens ‚SpeechRecognition‘, um Sprache zu erkennen, die verschiedene Engines und APIs unterstützt, online und offline“, schreibt der Forscher in seinem Blog. „Wir werden die Implementierung dieser Bibliothek der Google Speech Recognition API nutzen.“

Dadurch sei es möglich, die WAV-Audiodatei an die Spracherkennung zu senden, die als Ergebnis die erkannte Zahlenfolge liefere. „Dieses Ergebnis ist die Lösung der Audio-Aufgabe“, ergänzte East-EE. Ein einfaches Copy and Paste der Zahlenfolge in das reCaptcha-Eingabefeld sowie ein Klick auf die Schaltfläche „Bestätigen“ umgehe schließlich die Sicherheitsabfrage.

Google zufolge richtet sich die Audio-Aufgabe in erster Linie an Nutzer mit verminderter Sehfähigkeit. reCaptcha soll in der Lage sein, Bots zu erkennen, die die Audio-Aufgabe lösen wollen. „Bots wiederum erhalten ein wesentlich schwierigeres Audio-Captcha, um sie zu blockieren.“ In einem Nachtrag zu seinem Blogeintrag weist East-EE darauf hin, dass er sein Skript inzwischen an diese schwierigeren Audio-Aufgaben angepasst habe, die Erfolgsquote jedoch geringer sei als bei den einfachen Audio-Aufgaben.

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

[mit Material von Sam Pudwell, Silicon.co.uk]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Google, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forscher umgeht Googles reCaptcha mit Googles eigener Spracherkennung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *