28 may 2011

Exploiting Hotmail y los captchas de sonido en Microsoft

 

Desde HITB nos hacemos eco de una noticia sobre seguridad de Microsoft. Las malas noticias para Micro no cesan e investigadores de seguridad han sacado a la luz lo siguiente: los captcha de audio pueden ser explotados y robar direcciones de correo.

Este caso no se centra sólo en Microsoft, los investigadores de Stanford encontraron una manera de romper el audio de los populares CAPTCHA. Esta tecnología es utilizada en Live.com, Yahoo, Authorize.net, eBay, Digg. Según comentan ellos 'el fracaso de los captchas es que no son continuos'. Los investigadores construyeron un programa llamado Decaptcha que puede escuchar y descifrar el CAPTCHA de audio.

El estudio llama la atención por los métodos que demuestran la inseguridad en estos captchas. Mediante el uso de Decaptcha, se ha confirmado que acierta en el 79% de los casos. El 41% en Digg, 82% en eBay, 48,9% para Microsoft, 45,5% en Yahoo y el 1,5% de reCAPTCHA.

Para explotar la vulnerabilidad con la Decaptcha no requiere conocimientos especializados o de hardware. 'Es simple dos fases de diseño hacen que sea rápido y fácil de entrenar en un equipo de escritorio.'

Curiosa noticia al menos, vemos que en las universidades también se hacen estudios sobre la seguridad en sistemas reales.

3 comentarios: