Уязвимость в reCAPTCHA позволяла обойти проверку

Google исправила уязвимость, позволявшую обходить reCAPTCHA – основанный на тесте Тьюринга способ проверки, кем является пользователь сайта, человеком или ботом. Уязвимость исправлена в новой бета-версии сервиса.

Google совершенствует reCAPTCHA в течение многих лет. В частности, в прошлом году компания запустила сервис reCAPTCHA для мобильных версий сайтов, позволяющий проверять пользователей Android-устройств. Сервис работает следующим образом. Зайдя на сайт, где есть reCAPTCHA, пользователь должен доказать, что мыслит как человек, решив несложную задачку (например, кликнуть на все фото с дорожными знаками).

После проверки правильности ответов сервис отправляет HTTP-запрос web-приложению. В свою очередь приложение также отправляет запрос Google reCAPTCHA API. Таким образом и reCAPTCHA, и приложение идентифицируют друг друга как доверенный ресурс и сигнализируют о том, что задачка решена правильно.

Как сообщил независимый исследователь безопасности Андрес Рианчо (Andres Riancho), для обхода reCAPTCHA с помощью уязвимости атакующий должен осуществить атаку HTTP parameter pollution. Другими словами, атакующий должен заставить web-приложение отправить Google reCAPTCHA API HTTP-запросы небезопасным способом.

HTTP parameter pollution – вид атаки на web-приложение, позволяющий обойти WAF (Web Application Firewall). HTTP parameter pollution вставляет дополнительные ограничители запросов или дополнительные параметры с тем же именем в HTTP запрос для обхода некоторых ограничений безопасности за счет особенностей поведения различного вида платформ.