De CAPTCHA-oplossing van Google wordt op zeer veel websites gebruikt om misbruik door bots te voorkomen, maar onderzoeker Andres Riancho ontdekte begin dit jaar een manier om de maatregel op bepaalde websites te omzeilen.
ReCAPTCHA vraagt bijvoorbeeld aan gebruikers om uit verschillende afbeeldingen de soortgelijke afbeeldingen te selecteren. Zodra de gebruiker dit heeft gedaan en op "verifiëren" klikt wordt er een http-verzoek naar de website gestuurd. Om het antwoord van de gebruiker te controleren stuurt de website een verzoek naar de programmeerinterface (API) van reCAPTCHA met het antwoord van de gebruiker. De website moet zich hiervoor bij de reCAPTCHA-API authenticeren en een gegenereerde hash versturen. Is het antwoord van de gebruiker correct, dan laat de API dit aan de website weten.
Riancho ontdekte dat reCAPTCHA via "HTTP Parameter Pollution" te omzeilen is. Hierbij worden de http-parameters van een webapplicatie "vervuild" zodat een aanvaller de invoervalidatie kan omzeilen of fouten binnen de applicatie kan veroorzaken. Voor het uitvoeren van de aanval op reCAPTCHA waren echter twee vereisten. Ten eerste moest de webapplicatie of website een HTTP parameter pollution kwetsbaarheid in de reCAPTCHA-implementatie hebben. Iets wat bij zo'n 60 procent van de implementaties van reCAPTCHA het geval bleek te zijn.
Ten tweede moest de webapplicatie een url op een bepaalde manier genereren waarbij de antwoordparameter eerst kwam. Iets wat Riancho bij 5 tot 10 procent van de reCAPTCHA-implementaties aantrof. Volgens de onderzoeker zorgden deze vereisten ervoor dat zo'n 3 procent van de websites die reCAPTCHA gebruikt kwetsbaar was. Dit lijkt een klein percentage, maar gezien de populariteit van reCAPTCHA gaat het om veel websites. Riancho waarschuwde Google op 29 januari. Een dag later stelde de techgigant dat reCAPTCHA naar behoren werkte. De onderzoeker vroeg Google om de bugmelding nog eens te lezen, waarna het bedrijf de kwetsbaarheid bevestigde. Op 25 maart kwam Google met een update voor het probleem. Voor zijn bugmelding ontving Riancho 500 dollar, dat hij aan een goed doel doneerde.
Deze posting is gelocked. Reageren is niet meer mogelijk.