Eine Studie der ETH Zürich zeigt, dass Googles reCAPTCHAv2-System mit fortschrittlichen Bilderkennungsalgorithmen vollständig umgangen werden kann. Die Ergebnisse werfen Fragen zur Zukunft von bildbasierten CAPTCHAs auf.
Wissenschaftler der ETH Zürich haben eine Methode entwickelt, mit der sie Googles reCAPTCHAv2-System zu 100 Prozent umgehen können. In ihrer Studie "Breaking reCAPTCHAv2" nutzen sie fortschrittliche YOLO-Modelle zur Bildsegmentierung und -klassifizierung, um die Bildaufgaben des CAPTCHAs automatisiert zu lösen.
Die Forscher konnten alle drei Typen von reCAPTCHAv2-Aufgaben bewältigen: die Klassifizierung von Bildern in einem 3x3-Raster, die Segmentierung eines einzelnen Bildes und die dynamische Klassifizierung mit wechselnden Bildern.
Für das Training der Modelle nutzten die Wissenschaftler einen Datensatz mit rund 14.000 gelabelten Bildern für die Klassifizierungsaufgaben. Beim Segmentierungstyp griffen sie auf ein vortrainiertes YOLOv8-Modell zurück, das bereits auf einem breiten Spektrum von Klassen trainiert war.
Unterscheidung zwischen Mensch und Maschine im Netz
Die 100-prozentige Lösung stellt einen erheblichen Fortschritt dar. Frühere Studien konnten reCAPTCHAv2 zwar immer wieder knacken, aber nur mit Erfolgsquoten von 68-71 Prozent. Die Wissenschaftler fanden Hinweise darauf, dass reCAPTCHAv2 stark auf Cookie- und Browserdaten zurückgreift, um menschliche Nutzer zu erkennen. Mit einer VPN-Verbindung, realistischen Mausbewegungen und Browserdaten konnte das System die automatisierte Lösung nicht erkennen.
Die Forscher sehen ihre Arbeit als Beitrag zur Verbesserung digitaler Sicherheitsmechanismen und haben den Quellcode des Projekts veröffentlicht, um weitere Untersuchungen zu ermöglichen. Sie empfehlen für zukünftige Studien, den Datensatz für Segmentierungsaufgaben zu erweitern und die Schwelle zu untersuchen, ab der kontinuierliches CAPTCHA-Lösen zu einer Sperrung führt.
