ReCAPTCHA do Google e derrotado por pesquisadores de segurança

Um grupo de pesquisadores de segurança descobriu grandes falhas na tecnologia reCAPTCHA do Google.

Vamos começar com a origem da palavra 'captcha'. Acontece que captcha é um acrônimo para Teste de Turing Público Completamente Automatizado para distinguir Computadores e Humanos. A ideia por trás da tecnologia captcha (e por trás do teste de Turing original também) é simples: é um teste que os humanos podem passar, mas os bots online não. O captcha geralmente vem na forma de uma imagem de texto distorcida que deve ser redigitada para verificar se você não é um computador.

 

A tecnologia Captcha é importante porque fornece segurança simples e prática para uma variedade de coisas diferentes, como proteger o registro de sites, evitar spam de comentários em blogs, garantir que apenas humanos votem em enquetes online e muito mais. Sem a tecnologia de captcha, os spammers poderiam abusar dessas situações configurando várias contas, deixando um número ridículo de comentários ou votando um número ilimitado de vezes na mesma enquete.

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

 

As primeiras versões do captcha eram relativamente fáceis de serem contornadas pelos computadores. Isso resultou em uma corrida armamentista entre hackers e desenvolvedores de captcha. Depois que o primeiro trouxe uma nova versão do captcha, o último viria com uma versão mais nova e mais forte.

 

Em algum momento, o Google subiu ao palco e lançou seu reCAPTCHA, que agora é considerado não oficialmente um padrão de captcha. Ele usa não apenas texto distorcido, mas também imagens e é considerado um dos serviços de captcha mais poderosos. A tecnologia reCAPTCHA do Google é usada pelo próprio Google, Facebook e muitos outros sites como meio de proteção contra spam e abuso. Na verdade, o reCAPTCHA é o provedor de captcha mais popular do mundo.

 

Infelizmente, parece que a tecnologia pode não ser tão infalível quanto se pensava.

 

Pesquisadores de segurança da Columbia University descobriram falhas na tecnologia reCAPTCHA do Google que abrem a porta para que os hackers influenciem a análise de risco, contornem as restrições e implantem ataques em grande escala.

 

Os pesquisadores afirmaram que foram capazes de projetar um ataque de baixo custo que resolveu com sucesso mais de 70% dos desafios do reCAPTCHA de imagem, e cada desafio levou em média apenas 19 segundos para ser resolvido. Eles também aplicaram o sistema ao captcha de imagem do Facebook e encontraram um nível de precisão de 83,5%. Acredita-se que a maior precisão no Facebook seja resultado do fato de as imagens do Facebook serem de maior resolução.

 

O sistema usava técnicas que permitiam ignorar cookies e tokens e usava o aprendizado de máquina como forma de adivinhar corretamente as imagens. A parte engraçada é que esse sistema de quebra de reCAPTCHA é alimentado pela própria busca reversa de imagens do Google. Mas também pode funcionar offline.

 

“No entanto, nosso sistema de quebra de captcha totalmente offline é comparável a um serviço de solução profissional em precisão e duração de ataque, com o benefício adicional de não incorrer em nenhum custo para o invasor”, afirmaram os pesquisadores, enfatizando a simplicidade e o custo-benefício do este ataque particular.

 

Antes que as descobertas fossem tornadas públicas, os pesquisadores alertaram o Google e o Facebook para informá-los dessas possíveis falhas. Eles afirmaram que o Google respondeu tentando melhorar a segurança do reCAPTCHA, mas o Facebook não parece ter tomado medidas para melhorar.

 

Os pesquisadores acreditam que os hackers podem cobrar razoavelmente $ 2 por 1000 captchas resolvidos e, como resultado, podem ganhar mais de $ 100 por dia. Eles poderiam ganhar ainda mais se lançassem vários ataques ao mesmo tempo ou utilizassem técnicas adicionais.

 

A pesquisa mostra que ainda há muito a ser feito no mundo da segurança cibernética, mas também dá a chance para muitas empresas, como o Google, de avançar e olhar mais ativamente para suas medidas de segurança atuais. O Google já demonstrou interesse em fortalecer sua segurança e, com sorte, outros sites não ficam muito atrás.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

5136 Blog Postagens

Comentários