// HEISE ONLINE — CYBERSECURITY
Bot-Schutz: Googles reCaptcha mit Handgesten fällt auf Fotos rein
Google hat vergangene Woche angekündigt, den reCaptcha-Bot-Schutz mit Handgesten auszustatten. Das lässt sich mit Fotos aushebeln.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Das als Schutz vor Bots und Betrug dienende Google reCaptcha wollen die Entwickler mit einer Erkennung von Handgesten verbessern. Erste Bastler haben die frühe Version schon jetzt ausgetrickst – mit untergeschobenen Fotos aus Stock-Archiven. Damit lässt sich das System derzeit täuschen.
In der vergangenen Woche hatte Google die reCaptcha-Erweiterung um Handgesten vorgestellt. Sie basiert auf einem Machine-Learning-Modell, also Künstlicher Intelligenz. Sie soll Referenzpunkte auf Händen erkennen und vermessen, insgesamt 21 Stück an der Zahl. Bei der Prüfung fordert das System Nutzerinnen und Nutzer auf, eine Handgeste vor einer Kamera nachzuvollziehen. Eigentlich soll die Funktion menschliche Bewegungen erkennen und damit etwa KI-Bots abwehren, die beim Lösen der bisherigen Captcha-Puzzles zunehmend besser werden.
Auf X haben IT-Forscher nun vorgeführt, wie sich das System hinter die Fichte führen lässt. Sie nehmen eine Software wie Open Broadcaster Software (OBS), die sich ins System als (virtuelle) Kamera installieren lässt. Für die vom reCaptcha-System angefragte Handgeste verwenden sie einfach Stock-Fotos, auf denen die Personen die abgebildete Handgeste zeigen. Das genügt reCaptcha offenbar, die Anti-Bot- respektive Anti-Betrugs-Prüfung gilt als bestanden.
Die Handgestenerkennung in Googles reCaptcha ist ein noch junges Feature und in früher Entwicklung, daher werden die Programmierer sicherlich noch Lösungen finden, solche plumpen Fälschungen zu entlarven. Es zeigt jedoch auch klar die Grenzen eines solchen Systems auf. Es bietet keine hundertprozentige Sicherheit, sondern siebt einfache Bots aus.
Es handelt sich um einen immerwährenden Wettlauf zwischen Angreifern auf das System und den Entwicklern. Das Ziel bleibt jedoch, die Menschen möglichst wenig zu nerven und zu stören. Neue Captcha-Systeme sind nötig, da Bots in der Regel rasch aufholen und sogar schneller als Menschen beim Lösen der Aufgaben werden.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.