Pinlig lydhull i Google-sikkerheten

Pinlig lydhull i Google-sikkerheten

Ti tilfeldige ord var nok til å forbigå Googles CAPTCHA-test.

CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart – er et system som er ment å begrense maskinell registrering av for eksempel epost-kontoer til bruk i nettsvindel.

En rekke nettsider benytter ofte et system med tilfeldige bokstaver og tall fra et bilde med masse streker og kluss på, som skal forvirre maskinene, men som er tydelig nok til at mennesker skal få gjennomført registreringen.

Så også Google. Men for de som er synshemmet finnes det en lydversjon. Det spilles av en lydsnutt, og du må deretter taste inn ordene som ble sagt.

Nå har Google fikset en feil i sin lyd-CAPTCHA. Feilen ble beskrevet i epostlisten Full Disclosure mandag denne uken, og ifølge beskrivelsen medførte hullet at hvem som helst kunne forbigå lydversjonen av testen ved å skrive ti tilfeldige ord.

Google x10

Ifølge Harry Strongburg som offentliggjorde feilen i epostlisten, kunne man for eksempel forbigå testen ved å skrive ”google google google google google google google google google google”, uavhengig av hva CAPTCHA-funksjonen opprinnelig ville ha av input.

Han snublet over det hele da han nylig skrev inn hva han mistenkte var feil svar fra den knapt hørbare CAPTCHA-beskjeden.

- Jeg klikket på det, skrev inn hva det hørtes ut som, og det funket. Fascinert av dette prøvde jeg igjen med en annen setning med samme lengde. Til min overraskelse virket det igjen, sier han til Computerworlds nyhetstjeneste .

Fikset

Men Google har altså vært kjapt frempå for å fikse et hele.

- Vi fikset et hull i vår lyd-CAPTCHA tirsdag natt på noen få timer. Lyd-CAPTCHA fungerer som normalt, sier talsperson Jay Nancarrow.

I teorien kunne nettskurkene ha brukt hullet til å kjapt skape tusener av kontoer. Kjeltringer har tidligere brukt Gmail til å sende søppelpost, og blogger og Google Groups har blitt brukt til å spre ondsinnet programvare.

Les om: