Sony – Captchas auf Webseiten von Mensch und Maschine auslesbar
Alexander Trust, den 13. Juli 2011Wir erinnern uns noch alle daran, dass im April das PlayStation Network gehackt wurde, und dass in der Folge unter anderem die Gruppe LulzSec einige Sony-Webseiten aufs Korn nahm. Nun hat Andrew Hintz auf Google Plus einen Beitrag formuliert, in dem er zeigt, dass Sony die CAPTCHA-Technik überhaupt nicht verstanden zu haben scheint.
Normalerweise geht es bei CAPTCHAs darum, Missbrauch in Form von maschinengenerierten Kommentaren oder Logins durch Computer statt echte Menschen zu verhindern. Andrew Hintz zeigt nun aber im Rahmen einer Kurs-Arbeit an der Universität von Texas, dass Sony es Mensch und Maschine äußerst leicht macht, CAPTCHAs zu umgehen. Wie er anhand eines Screenshots des Quellcodes nachweisen kann, verwendet Sony keine moderne Sicherheitstechnik, sondern hinterlässt Hinweise zur Auflösung des CAPTCHAs im Quellcode.
Für gewöhnlich, erklärt Hintz (engl.), benutzt man ein verschleiertes Bild, das angezeigt wird und von Maschinen nicht interpretiert werden kann, weil sie selbst über das Erkennen von Mustern im Bild nur schwer Hinweise auf die Buchstaben oder Ziffern im CAPTCHA auffinden können. Er hat in seinen Untersuchungen herausgefunden, dass dennoch viele der heute üblichen CAPTCHA-Techniken mithilfe der Kombination der Gauss-Kanten-Erkennung und einer XOR-Differenz-Analyse entschlüsselt werden könnten, wenn man vorhandene Zeichen kennt.
Sony allerdings packt die Zeichen in den Quelltext und nutzt nur JavaScript um diese ein wenig entstellt wirken zu lassen. Durch das Markieren der einzelnen Zeichen im Browser und mit Hilfsmitteln, die Chrome oder Firefox bieten, um den Quelltext zu untersuchen, findet man die Stelle, an der die Zeichen im Quelltext abgelegt sind. In der regen Diskussion unter dem Beitrag von Hintz hat einer der Kommentatoren (Stefanos Harhalakis) sogar einen Hinweis gegeben, auf welche Weise man das CAPTCHA sogar als ganzes Wort angezeigt bekommt. Und einige Kommentare danach werden dann in Form von PHP- oder Javascript-Quellcode kleine, einzeilige Programme veröffentlicht, die das CAPTCHA der Sony-Seiten auslesen. – Leider kann man bei G+ aktuell nicht direkt auf Kommentare verlinken. Ich habe bereits Feedback dazu abgegeben, ansonsten hätte ich natürlich Links zu den entsprechenden Kommentaren angeboten.