Google ha rinnovato reCAPTCHA, il sistema proprietario utilizzato per bloccare gli script automatizzati che tentano di abusare dei suoi servizi online proprio poche ore prima che un trio di hacker presentasse un modo gratuito per sconfiggere i diffusi challenge-test con una precisione assoluta, pari al 99% dei casi.
Stiltwalker, così si chiamava il tool ostile, e secondo quanto ha spiegato il gruppo sfruttava le debolezze del controllo audio di reCAPTCHA, in modo da aggirare il test con una velocità e precisione che nessuno era mai riuscito raggiungere prima. Si tratta a conti fatti dell’attacco più impressionate per un sistema che viene utilizzato da Google, Facebook e circa altri 200.000 siti web al fine di riconoscere reale utenza umana dietro la tastiera e non permettere a bot dannosi di accedere a zone riservate.
«L’aspetto principale che distingue Stiltwalker dagli altri è la sua precisione», ha spiegato Adam, uno dei tre hacker protagonisti, in una email. Il programma sfruttava alcune sviste fatte dai progettisti della versione audio di CAPTCHA. Il test audio si rivolge infatti alle persone non vedenti, o con problemi di vista, che hanno difficoltà a riconoscere il testo parzialmente offuscato da digitare per passare il sistema di sicurezza. Ciò che gli hacker hanno imparato ad analizzare è il rumore di fondo messo lì per confondere eventuali sistemi automatizzati, in netto contrasto con le sei parole pronunciate e che non comprendeva suoni a frequenze più elevate.
Riportando le frequenze di ciascun test audio su uno spettrogramma, gli hacker potevano isolare facilmente ogni parola localizzando le regioni dove erano stati mappati toni alti. Peraltro, l’utilizzo di sole 58 parole uniche ha reso ancora più facile il lavoro a Stiltwalker.
Un portavoce di Google si è rifiutato di commentare la cosa, ma il provvedimento preso da Mountain View permette adesso a reCAPTCHA di emettere suoni incomprensibili tali da rendere impossibile qualsiasi riconoscimento al programma ideato dagli hacker. I puzzle sono stati inoltre ampliati da sei a dieci parole, e ogni passaggio dura 30 secondi, contro gli 8 precedentemente richiesti.