Ricercatori informatici hanno sviluppato un software che bypassa facilmente i CAPTCHA audio inseriti sulle pagine di registrazione di mezza dozzina di siti popolari sfruttando le debolezze intrinseche nei metodi automatizzati atti a prevenire le frodi.
Decaptcha è un risolutore a due fasi audio-CAPTCHA che divide correttamente il puzzle con un 41 per cento di tasso di successo e 89 per cento su siti come eBay, Yahoo, Digg, Authorize.net e Microsoft’s Live.com. Il programma funziona, eliminando il rumore di fondo dai file audio, permettendo solo i caratteri parlati necessari e completano così il form.
In quasi tutti i test, Decaptcha è stato in grado di risolvere correttamente il puzzle, almeno una volta ogni 100 tentativi, rendendo la tecnica adatta per botmaster con grandi numeri di computer zombie. L’elevato tasso di successo è stato in gran parte dovuto alla facilità nel rimuovere le distorsioni del suono conosciuto come rumore di fondo, il rumore intermedio, e il rumore costante inserito sul fondo. La maggior parte dei sistemi audiodi Captha sono vulnerabili per l’attacco con eccezione di Google di proprietà Recaptcha.net, che utilizza un diverso approccio noto come rumore semantico.
“I nostri risultati indicano che i programmi audio di captcha costruiti utilizzando i metodi attuali (senza rumore semantico) sono intrinsecamente insicuri”, dicono gli scienziati in un articolo di recente pubblicazione. “Come risultato, abbiamo il sospetto che potrebbe non essere possibile progettare unCAPTCHA audio sicuro utilizzabili dagli esseri umani con i metodi attuali. E ‘quindi importante esplorare approcci alternativi”.
Decaptcha utilizza un algoritmo che devono essere modificato per ogni CAPTCHA target. La modifica richiede il test di una serie di puzzle con le risposte inserite nel programma. Alla fine, Decaptcha è stato in grado di identificare il suono nel file audio sottostante al confronto con un ampio campione di suoni già catalogati. I ricercatori hanno generato 4,2 milioni CAPTCHA audio.
I difetti in CAPTCHA, che mirano a prevenire gli script di registrazione degli account e-mail e di evitare altri attacchi automatizzati, presentando all’utente un problema che è difficile per i computer da risolvere. Gli attacchi del mondo reale contro i CAPTCHA audio di Microsoft sono già stati utilizzati dalla botnet di spam Pushdo per creare account e-mail fraudolente su Live.com. I CAPTCHA più tradizionali, che richiedono all’utente di riconoscere una parola sepolta in una immagine distorta, sono stati sconfitti con successo per anni, uno degli esempi più recenti è un attacco di riconoscimento ottico dei caratteri su Google.
L’ultima ricerca suggeriscono modifiche permanenti al CAPTCHA audio, che sono offerti per gli utenti ipovedenti.
“I nostri esperimenti con i captcha commerciali indicano che l’attuale metodologia per la costruzione di codici captcha audio potrebbero non essere rettificabili”. “Oltre Recaptcha, tutti i sistemi commerciali che abbiamo provato sono ricorsi a combinazioni di rumori costantie e regolari come le distorsioni. Tutto sommato, i computer potrebbero in realtà essere più resistenti degli esseri umani al rumore costante e regolare così che tutti i regimi che si basano su queste distorsioni saranno intrinsecamente insicuri “.
cod:2
