En allvarlig sårbarhet som nyligen upptäckts för Googles Audio CAPTCHA, ett ljudbaserat kontrollsystem för att skapa användarkonton på webben, har hastigt åtgärdats av Google. Sårbarheten öppnade för skräppostare att automatiskt skapa ett stort antal falska konton på kort tid och därmed få åtkomst till Googles olika tjänster på stor skala.
Buggen beskrevs av Harry Strongburg i en Full Disclosure-mejlinglista under måndagen. Enligt beskrivningen kan vem som helst komma förbi captcha-testet genom att skriva in tio godtyckliga ord som svar.
Captcha, en akronym för Completely Automated Public Turing test to tell Computers and Humans Apart, är ett kontrollsystem som ska förhindra automatiskt skapande av konton för webbtjänster. Syftet är att förekomma missbruk från till exempel skräppostare, som ofta använder skript och liknande tekniker för att slippa skapa konton manuellt.
Googles ljudbaserade variant av captcha, Audio CATPCHA, är utvecklad för synskadade och spelar upp en ljudfil av det kontrollord som ska skrivas in i kontoskapande webbformulär. Enligt Strongburg fungerade dock inte den delen som tänkt. Istället accepterades godtyckliga svar så länge dessa var tio ord långa. Till exempel gav svar som ”google google google google google google google google google google” ett godkänt resultat oavsett vilket ord som spelats upp via ljudfilen.
Efter kännedom om detta åtgärdade Google snabbt buggen. ”Vi fixade en bugg i vårt ljudbaserade captcha-valideringssystem inom några timmar. Audio CATPCHA fungerar nu normalt”, uppgav Googles talesperson Jay Nancarrow i ett mejlsvar till IDG News under tisdagen.
