Video-captcha te kraken door frame-vergelijking

Onderzoekers zijn er in geslaagd video-captcha's te kraken. Bewegende objecten maken het lastiger de letters te herkennen, maar de veelheid aan frames in een video biedt meer aanknopingspunten.

Voor hun onderzoek gebruikten de onderzoekers van de Stanford universiteit captcha's van de dienst NuCaptcha. Die dienst biedt de mogelijkheid een captcha te verbergen in een video. Een achtergrond en beweging van de letters moeten zorgen dat de letters niet automatisch herkend kunnen worden.

Captcha's zijn over het algemeen afbeeldingen met vervormde cijfers en letters. Omdat captcha-afbeeldingen al vaker zijn gekraakt proberen webdiensten andere methoden, zoals audio- of video-captcha's, om het geautomatiseerd aanmaken van accounts of reacties onmogelijk te maken.

Video-captcha's geven informatie weg
Een captcha die is verborgen in een video geeft meer informatie weg dan een captcha die uit één enkele afbeelding bestaat. Video-captha's bestaan volgens de onderzoekers gemiddeld uit zo'n 500 frames. In alle frames staan de letters waarmee de captcha kan worden ontcijferd op een andere plek, waardoor een aanvaller meer informatie heeft om te analyseren.

Als de letters bijvoorbeeld onafhankelijk van elkaar bewegen in de video, is de kans groot dat er een frame is waarin de letters los van elkaar staan. Dat frame kan dan worden gebruikt om de letters te herkennen. Een andere methode van de onderzoekers is het herkennen van een groepje (cluster) van punten, op die manier kunnen letters herkend worden.

Vijfstappenplan
Onderzoeker Elie Bursztein beschrijft vijf stappen waarmee een video-captcha kan worden ontcijferd. Allereerst moeten de onderzoekers daarvoor de achtergrond en andere overbodige informatie weghalen. Bursztein geeft aan dat dit mogelijk is met publiek beschikbare software.

Vervolgens kan worden bekeken welke objecten in alle frames voorkomen. Op die manier kunnen frames waar de captcha niet in zit worden weggegooid. Uit de collectie van 'goede' frames kunnen de letters dan worden geïsoleerd.

NuCaptcha verdedigt zich
De onderzoekers hebben het vizier op NuCaptcha gericht omdat het één van de meest gebruikte diensten is. Voor het publiceren van hun bevindingen hebben ze de dienst uitgebreid de gelegenheid gegeven het onderzoek te bekijken en er op te reageren. NuCaptcha wijst erop dat er twee versies zijn, die verschillen in moeilijkheid. In de moeilijkere versie zijn letters een stuk minder herkenbaar.

De dienst geeft afwisselend een moeilijke of een makkelijke variant van de video-captcha. De onderzoekers deden zich voor als een 'gewone' bot die captcha's opvraagt. Ze deden verzoeken op verschillende moment en met verschillende tussenpozen. Daarom gaan ze er vanuit dat ze dezefde video-captcha's voorgeschoteld kregen als de robot van een aanvaller.

'Achtergronden hebben geen nut'
De onderzoekers hebben nog wel een aantal aanbevelingen voor een veiligere captcha-variant. Zo is het volgens hen onzinnig om te vertrouwen op een drukke achtergrond om letters onherkenbaar te maken. "Er zijn behoorlijk effectieve algoritmes beschikbaar om die vorm van afleiding onschadelijk te maken", schrijft Bursztein in zijn blogpost.

"Aan de andere kant is het wel mogelijk het isoleren van het juiste object lastig te maken. Het effect van de aanvalsmethode kan worden tegengegaan door afleidingsmanoeuvres te maken die precies lijken op het echte object."