Onderzoeker vindt manier om Googles reCAPTCHA te omzeilen
De CAPTCHA-oplossing van Google wordt op zeer veel websites gebruikt om misbruik door bots te voorkomen, maar onderzoeker Andres Riancho ontdekte begin dit jaar een manier om de maatregel op bepaalde websites te omzeilen.
ReCAPTCHA vraagt bijvoorbeeld aan gebruikers om uit verschillende afbeeldingen de soortgelijke afbeeldingen te selecteren. Zodra de gebruiker dit heeft gedaan en op "verifiëren" klikt wordt er een http-verzoek naar de website gestuurd. Om het antwoord van de gebruiker te controleren stuurt de website een verzoek naar de programmeerinterface (API) van reCAPTCHA met het antwoord van de gebruiker. De website moet zich hiervoor bij de reCAPTCHA-API authenticeren en een gegenereerde hash versturen. Is het antwoord van de gebruiker correct, dan laat de API dit aan de website weten.
Riancho ontdekte dat reCAPTCHA via "HTTP Parameter Pollution" te omzeilen is. Hierbij worden de http-parameters van een webapplicatie "vervuild" zodat een aanvaller de invoervalidatie kan omzeilen of fouten binnen de applicatie kan veroorzaken. Voor het uitvoeren van de aanval op reCAPTCHA waren echter twee vereisten. Ten eerste moest de webapplicatie of website een HTTP parameter pollution kwetsbaarheid in de reCAPTCHA-implementatie hebben. Iets wat bij zo'n 60 procent van de implementaties van reCAPTCHA het geval bleek te zijn.
Ten tweede moest de webapplicatie een url op een bepaalde manier genereren waarbij de antwoordparameter eerst kwam. Iets wat Riancho bij 5 tot 10 procent van de reCAPTCHA-implementaties aantrof. Volgens de onderzoeker zorgden deze vereisten ervoor dat zo'n 3 procent van de websites die reCAPTCHA gebruikt kwetsbaar was. Dit lijkt een klein percentage, maar gezien de populariteit van reCAPTCHA gaat het om veel websites. Riancho waarschuwde Google op 29 januari. Een dag later stelde de techgigant dat reCAPTCHA naar behoren werkte. De onderzoeker vroeg Google om de bugmelding nog eens te lezen, waarna het bedrijf de kwetsbaarheid bevestigde. Op 25 maart kwam Google met een update voor het probleem. Voor zijn bugmelding ontving Riancho 500 dollar, dat hij aan een goed doel doneerde.
Lig altijd overhoop met dat ding als ik weer eens verkeersborden moet aanklikken... en dat moet altijd een keer of 3.
Lig altijd overhoop met dat ding als ik weer eens verkeersborden moet aanklikken... en dat moet altijd een keer of 3.
En Google maar data verzamelen met al die 'mooie' tooling voor website en zo.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.