Nach der Defcon

Googles ReCAPTCHA wiederholt geknackt

Google bietet mit ReCAPTCHA einen Dienst zum Absichern von Benutzerregistrierungen gegen automatische Anmeldungen durch Bots an. Doch auch nach mehreren Nachbesserungen ist der Schutz alles andere als perfekt, wie ein Sicherheitsforscher meint.

Chad Houck hat auf der Hacker-Konferenz Defcon, die regelmäßig im Anschluss an die BlackHat-Konferenz in Las Vegas stattfindet, demonstriert, wie sich ReCAPTCHA austricksen lässt. Er hatte seine Erkenntnisse bereits im Vorfeld der Defcon veröffentlicht. Google hatte daraufhin bereits einige Korrekturen vorgenommen, um die publik gemachten Fehler zu beseitigen. Doch Houck hat nachgelegt und kann ReCAPTCHA nach eigenen Angaben immer noch in 30 Prozent der Fälle knacken.

ReCAPTCHA ist ein für die Registrierung neuer Benutzer von Web-Diensten eingesetzter Schutz vor Spammer-Bots. Ein CAPTCHA, meist in Form verzerrter Abbildungen von Text, soll eine Unterscheidung zwischen Menschen und Maschinen ermöglichen. ReCAPTCHA präsentiert dem Benutzer zwei Wörter, die durch grafische Manipulation verzerrt sind.

Eines davon ist das eigentliche CAPTCHA, das andere ist ein Wort aus Googles Projekt zum Digitalisieren von Büchern. Damit helfen die Benutzer bei der Korrektur von Wörtern aus eingescannten Büchern, die Googles OCR-Software nicht eindeutig erkannt hat. ReCAPTCHA wurde ursprünglich von der Carnegy-Mellon-Universität entwickelt.

Houck meint, die Schwachstellen in ReCAPTCHA seien durch das Funktionsprinzip bedingt. Die Software dahinter gehe davon aus, dass jemand, der das erste Wort korrekt eingibt, auch das zweite Wort richtig erkannt hat. Houcks selbst entwickelte Algorithmen können die Textverzerrungen so weit glätten, dass der Text für eine OCR-Software lesbar wird. Google hat nach eigenen Angaben bislang keine Angriffe festgestellt, die Houcks veröffentlichte Algorithmen nutzen.