Google reCAPTCHA einfach auszuhebeln
Alexander Trust, den 24. Dezember 2014Google präsentierte vor kurzem eine neue Version seines Captchas, namens reCAPTCHA. Doch wie ShieldSquare nun mitteilt, ist das Update einfach auszuhebeln und schützt nicht vor SPAM durch Bots.
Google präsentierte mit einem Update des reCAPTCHA eine Version seiner Methode, die gleichzeitig besonders benutzerfreundlich sei und trotzdem SPAM-Bots aus Foren und Kommentar-Diskussionen fernhält. Doch wie das Sicherheitsunternehmen ShieldSquare mitteilt, verwendet Google dazu lediglich Cookies, die sehr einfach auszuhebeln sind.
reCAPTCHA über Cookies austricksen
Wenn ein Nutzer eine Webseite mit einem reCAPTCHA aufruft, wird er gebeten das Feld auszufüllen. Das Ergebnis der Antwort (richtig/falsch) wird in einem Cookie gespeichert. Besucht der Nutzer eine weitere Webseite mit einem reCAPTCHA, muss er den Schutzmechanismus nicht mehr ausfüllen. Laut ShieldSquare müsste deshalb entweder ein Bot ein funktionsfähiges Cookie in der Form beigepackt bekommen, dass zunächst ein Nutzer ein solches erstellt, oder aber via OCR-Tool selbst eines anlegen über dutzende Versuche, bis eines mal richtig ist.
SPAM-Schutz auch mit data-sitekey aushebeln
Darüber hinaus gibt es noch eine deutlich elaboriertere Methode, wie man das reCAPTCHA laut ShieldSquare austricksen könne. Und zwar indem man dem Nutzer über eine Webseite ein gefälschtes Formular präsentiert und die Übertragung nicht an das eigentliche Formular weiterleitet. Diese Methode wird auch Clickjacking oder UI Redress Attack genannt.