Einem Sicherheitsforscher ist es gelungen, Googles Recaptcha zu überlisten – und zwar mit Googles eigener Spracherkennung. Die Details des erfolgreichen Angriffs stehen auf Github zur Verfügung.

Skript löst Audioaufgaben von Recaptcha

Googles Sicherheitsfeature Recaptcha dient dazu, etwa Kommentarspalten oder Kontaktformulare von Websites vor Spam und Bots zu schützen. Das Ende 2014 aktualisierte Tool arbeitet auch mit herunterladbaren Audio-Aufgaben. Einem Sicherheitsforscher, der unter dem Namen East-EE auftritt, ist es jetzt nach eigenen Angaben gelungen, diese Recaptcha-Prüfung mit einem Python-Skript zu umgehen – unter Einsatz von Googles eigener Spracherkennung.

Audioaufgabe von Recaptcha per Python-Skript ausgetrickst. (Screenshot: East-EE-Security/t3n.de)

East-EE zufolge sorgt das Skript dafür, dass die zur Verifizierung genutzte Recaptcha-Audiodatei heruntergeladen, ins WAV-Format konvertiert und anschließend an die Spracherkennungs-API von Google übergeben wird. Dazu setze er auf die Python-Bibliothek Speechrecognition, schreibt East-EE in seinem Blog. Die Spracherkennung sende dann die Lösung der Audioaufgabe, also etwa eine bestimmte Zahlenfolge. Die könne dann zur Verifizierung eingesetzt werden.

Recaptcha-Hack auch für schwierigere Aufgaben

Selbst für schwierigere Recaptcha-Aufgaben, etwa, wenn Nutzer per VPN auf die Seite zugreifen, hat der Sicherheitsforscher einen Workaround erstellt. Allerdings sei in diesen Fällen die Erfolgsquote geringer, räumt East-EE ein. Details zu seiner als „Rebreakcaptcha“ genannten Angriffsmethode und Beispielcode hat East-EE auf Github veröffentlicht.

Die Schwachstelle in Recaptcha will der Sicherheitsforscher schon im vergangenen Jahr entdeckt haben. Sie sei noch nicht durch Google gepatcht worden. Ob der Suchmaschinenbetreiber, wie in solchen Fällen üblich, vor der Veröffentlichung über die Schwachstelle informiert wurde, ist aber nicht klar.

via www.zdnet.de