Onderzoekers kraken captcha's Facebook en Google

[Captain Kirk]

Onderzoekers zijn erin geslaagd om de captcha's van Facebook en Google met grote nauwkeurigheid te kraken. De captcha's moeten het geautomatiseerd aanmaken van accounts voorkomen. Google hanteert een systeem waarbij letters moeten worden overgetypt, terwijl Facebook met afbeeldingen werkt.

Gebruikers moeten in dit geval verschillende afbeeldingen over één onderwerp kiezen. Onderzoekers van de Columbia Universiteit slaagden er echter in om een aanval te ontwikkelen waarbij ze de captcha van Google in 70,8% van de gevallen geautomatiseerd wisten te kraken. De aanval op de captcha's van Facebook leverde zelfs een succespercentage van 83,5% op.

Het grotere succes bij de Facebookcaptcha's is volgens de onderzoekers te verklaren door de hogere resolutie van de afbeeldingen die Facebook gebruikt en het feit dat ze ongerelateerde afbeeldingen gebruiken. Een captcha-challenge waarbij gebruikers een gitaar moeten kiezen bevat ook afbeeldingen van dieren, waardoor de verkeerde opties eenvoudiger zijn te negeren.

Kosten

Voor het tweede deel van hun onderzoek brachten de onderzoekers de opbrengsten van hun aanval in kaart. Doordat het oplossen van captcha's steeds lastiger is geworden zijn er verschillende diensten verschenen waarbij mensen worden betaald voor het oplossen van captcha's. Zo is er een bedrijf dat 2 dollar voor 1000 opgeloste captcha's rekent. Met deze verkoopprijs zou de geautomatiseerde aanval van de onderzoekers 104 tot 110 dollar per dag per ip-adres kunnen opleveren.

De onderzoekers besloten Facebook en Google voor de publicatie van hun onderzoeksrapport (pdf) te waarschuwen. Google nam daarop verschillende maatregelen om de captcha's tegen de geautomatiseerde aanvallen te beschermen. Facebook liet echter niets over eventuele aanpassingen of verbeteringen horen.

 

 

bron: security.nl