Google виправила вразливість, що дозволяла обходити reCAPTCHA

Google виправила вразливість, що дозволяла обходити reCAPTCHA – заснований на тесті Тьюринга спосіб перевірки, ким є користувач сайту, людиною чи ботом. Вразливість виправлена ​​у новій бета-версії сервісу.

Google вдосконалює reCAPTCHA протягом багатьох років. Зокрема, торік компанія запустила сервіс reCAPTCHA для мобільних версій сайтів, що дозволяє перевіряти користувачів Android пристроїв. Сервіс працює в такий спосіб. Зайшовши на сайт, де є reCAPTCHA, користувач повинен довести, що мислить як людина, вирішивши нескладне завдання (наприклад, натиснути на всі фото з дорожніми знаками).

Після перевірки правильності відповідей сервіс відправляє HTTP-запит web-додатку. У свою чергу, додаток також надсилає запит Google reCAPTCHA API. Таким чином і reCAPTCHA, і додаток ідентифікують один одного як довірений ресурс і сигналізують про те, що завдання вирішено правильно.

Для обходу reCAPTCHA за допомогою вразливості атакуючий повинен здійснити атаку HTTP parameter pollution. Іншими словами, атакуючий повинен змусити web-програму відправити Google reCAPTCHA API HTTP-запити небезпечним способом.

HTTP parameter pollution – вид атаки на web-додаток, що дозволяє обійти WAF (Web Application Firewall). HTTP parameter pollution вставляє додаткові обмежувачі запитів або додаткові параметри з тим самим ім'ям у HTTP запит для обходу деяких обмежень безпеки за рахунок особливостей поведінки різного виду платформ.