Pesquisa afirma: vários sistemas populares de CAPTCHA são facilmente derrotados

Google CAPTCHA reCAPTCHA

Pesquisadores de segurança descobriram que a grande maioria dos testes anti-spam atuais, conhecidos como CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), são facilmente derrotados.

Cientistas da Computação da Universidade de Stanford descobriram que 13 de 15 esquemas CAPTCHA de sites populares estão vulneráveis a ataques automáticos. O CAPTCHA tem sido usado há anos para prevenir logins automáticos a contas de webmail ou foruns online, com o objetivo de bloquear spam botsAtacantes, por outro lado, têm respondido ao desafio do CAPTCHA com técnicas que geralmente envolvem logins semi-automáticos, resolvendo o problema com alguns CAPTCHAs específicos.

A equipe de Stanford, porém, pesquisou se seria possível automatizar totalmente o processo de quebra dos CAPTCHAs. Suas técnicas incluíram remover ruídos de fundo nas imagens e transformar strings de texto em caracteres simples para reconhecimento mais fácil. A equipe construiu uma ferramenta automatizada, chamada Decaptcha, que aplicou esses vários truques. A abordagem foi inspirada em técnicas usadas por robôs em ambientes desconhecidos.

O Decaptcha foi testado contra 15 websites conhecidos. O CAPTCHA do sistema Authorize.net da Visa, por exemplo, foi derrotado 66% das vezes. O esquema do eBay foi contornado 43% das vezes. WikipediaDigg e CNN também foram derrotados, ainda que em um percentual menor de derrotas. O Google e o reCAPTCHA foram os únicos sistemas que consistentemente frustraram o Decaptcha durante os testes.

No relatório da pesquisa, a equipe de Stanford ainda sugere várias abordagens para tornar os CAPTCHAs mais fortes, incluindo tornar variável o tamanho de uma string de texto e randomizar fontes e tamanhos dos caracteres. Por outro lado, apontam funcionalidades que são ineficazes contra ataques automatizados.

research paper (PDF, em inglês) está disponível aqui: Text-based CAPTCHA Strengths and Weaknesses.