Τρεις ερευνητές ασφαλείας επινόησαν μια νέα αυτοματοποιημένη επίθεση που μπορεί να σπάσει τα συστήματα CAPTCHA χρησιμοποιούνται από την Google και το Facebook.
Οι ερευνητές χρησιμοποίησαν ένα μεγάλο αριθμό παραγόντων, για να πραγματοποιήσουν την επίθεσή τους, και να παρακάμψουν τα μέτρα ασφαλείας της CAPTCHA (cookies, tokens). Χρησιμοποίησαν τη μηχανική μάθηση για να “μαντέψουν” τη σωστή εικόνα CAPTCHΑ με πολύ υψηλό βαθμό ακρίβειας.
Τα αποτελέσματα αυτής της νέας επίθεσης ήταν πολύ καλύτερα από ό, τι αναμενόταν. Στο σύστημα reCAPTCHΑ της Google, οι ερευνητές σημείωσαν ποσοστό επιτυχίας 70,78% σε πάνω από 2.235 CAPTCHΑs. Ο μέσος χρόνος επίλυσης των CAPTCHΑ ήταν τα 19,2 δευτερόλεπτα.
Στο Facebook, οι ερευνητές είχαν καλύτερο ποσοστό επιτυχίας όπου έπιασαν ένα 83,5% σε πάνω από 200 CAPTCHΑs.
Το καλύτερο ποσοστό ακρίβειας στην επίλυση του Facebook CΑPTCHΑs πηγάζει από το γεγονός ότι το κοινωνικό δίκτυο χρησιμοποιεί εικόνες με υψηλότερη ανάλυση, και απεικονίζει αντικείμενα από διαφορετικές κατηγορίες. Η Google, από την άλλη πλευρά, χρησιμοποιεί φωτογραφίες χαμηλής ποιότητας, που πάντα σχετίζονται μεταξύ τους, γεγονός που καθιστά την αυτόματη ταξινόμηση εικόνων πολύ πιο δύσκολη.
Οι ερευνητές έδωσαν στις εταιρείες Google και Facebook τα ευρήματα της μελέτης τους, και αναφέρουν ότι η Google έλαβε ορισμένα μέτρα για να σκληρύνει την ασφάλεια του reCAPTCHΑ, ενώ το Facebook δεν τους έχει απαντήσει ακόμα.
Οι ερευνητές είναι οι: Suphannee Sivakorn, Jason Polakis, και Angelos D. Keromytis και η έρευνα τους ονομάζεται I Am Robot: (Deep) Learning to Break Semantic Image CAPTCHΑs, και είναι διαθέσιμη στη σελίδα του τμήματος Επιστήμης Υπολογιστών του Πανεπιστημίου της Κολούμπια. Ένα άλλο αντίγραφο είναι επίσης διαθέσιμο μέσω του Black Hat Asia 2016 όπου παρουσιάστηκε η επίθεση.