Google quebra o reCAPTCHA para usuários de Android sem Google

 (reclaimthenet.org)
2 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O Google vinculou o reCAPTCHA de nova geração para Android ao Google Play Services, fazendo com que usuários de Android sem Google falhem automaticamente na etapa adicional de verificação
  • Para um usuário de Android provar que é humano, agora é necessário executar o framework proprietário de apps do Google, o Google Play Services 25.41.30 ou superior
  • Quando há suspeita de atividade suspeita, em vez do antigo quebra-cabeça com imagens, passa a ser exigida a leitura de um código QR, e esse processo só é concluído quando o Play Services se comunica com os servidores do Google
  • Dispositivos com iOS 16.4 ou superior passam pela mesma verificação sem software adicional do Google, mas surge uma estrutura assimétrica na qual apenas usuários de Android que rejeitam o Play Services ficam bloqueados
  • Como o reCAPTCHA está na linha de frente de milhões de sites, essa mudança cria um precedente em que o acesso básico à web passa a exigir a execução de software do Google e a transmissão de dados para servidores do Google

Método de verificação atrelado ao Google Play Services

  • No Android, o processo de provar que um usuário é humano depende do framework proprietário de apps do Google, o Google Play Services 25.41.30 ou superior
  • Quando o reCAPTCHA considera a atividade suspeita, ele exige a leitura de um código QR em vez do antigo quebra-cabeça com imagens
  • Como a leitura do QR depende do Play Services rodando em segundo plano e se comunicando com os servidores do Google, a verificação falha no GrapheneOS e em outras ROMs customizadas que removeram o software do Google
  • Usuários que usam um de-Googled phone passam a falhar automaticamente quando o sistema exige verificação adicional

Google Cloud Fraud Defense e como isso foi introduzido

  • Em 23 de abril, o Google anunciou no Cloud Next o sistema mais amplo Google Cloud Fraud Defense
  • O sistema foi apresentado como uma plataforma de confiança para lidar tanto com agentes autônomos de IA quanto com bots tradicionais
  • O fato de que o processo de provar que um usuário é humano no Android ficou vinculado à execução de software proprietário do Google não foi destacado de forma explícita no anúncio
  • A mudança não surgiu de repente: em outubro de 2025, um snapshot do Internet Archive da mesma página de suporte já mostrava a exigência do Play Services 25.39.30
  • Usuários do subreddit degoogle no Reddit confirmaram isso, e o tema ganhou mais visibilidade com reportagens da PiunikaWeb e do Android Authority

Diferença entre iOS e Android

  • Dispositivos Apple com iOS 16.4 ou superior concluem a mesma verificação sem instalar apps adicionais
  • O Google não exige que usuários de iPhone instalem software do Google para passar no reCAPTCHA
  • Surge uma estrutura assimétrica em que apenas usuários de Android que recusam o Play Services ficam bloqueados
  • Essa diferença parece estar mais ligada a controle de ecossistema do que a segurança

Acessibilidade da web e problema de transmissão de dados

  • O reCAPTCHA está na linha de frente de milhões de sites
  • Ao vincular a verificação ao Play Services, o Google cria um precedente em que o acesso a conteúdo básico da web exige a execução de software do Google e a transmissão de dados para servidores do Google
  • Usuários de celulares sem Google escolhem essa configuração justamente por não aceitarem as práticas de dados do Play Services
  • O novo sistema trata por padrão a ausência de software proprietário do Google como algo suspeito, penalizando essa escolha

A exclusão que desenvolvedores web passam a escolher

  • Sites que adotarem esse reCAPTCHA estarão sinalizando que não recebem bem usuários de Android sem Google
  • Esse grupo de usuários ainda é pequeno, mas é um dos mais sensíveis à forma como sites lidam com dados
  • É provável que esse grupo não ceda facilmente à exigência do Google Play Services

Leituras relacionadas

1 comentários

 
GN⁺ 4 시간 전
Comentários do Hacker News

  • Esse novo reCAPTCHA é entendido basicamente como atestado remoto (remote attestation)
    O atestado remoto não usa assinaturas cegas, porque isso permitiria cultivo em massa. Então, se os servidores do Google conspirarem, eles podem vincular tecnicamente o dispositivo e a pessoa atestada: o fluxo é EK (chave privada fixa gravada de fábrica) → AIK (chave de identidade temporária da área segura, assinada pelos servidores do Google) → atestado (assinado pela AIK)
    Se os servidores do Google registrarem a conversão EK → AIK, fica fácil rastrear um atestado específico de volta ao EK do dispositivo. Por isso quase não existem serviços online que forneçam atestado remoto falso, e parece improvável que passem a existir. Porque a etapa seguinte para operar esse tipo de serviço seria o Google virar cliente e colocar todos os dispositivos na lista de bloqueio
    Se não houver alguma medida especial nesse novo reCAPTCHA, isso não só coloca os serviços de internet atrás de chips TPM, como também entrega o anonimato ao Google. A menos que você consiga dispositivos temporários não rastreáveis para cada serviço, esse método passa a permitir vincular todas as contas entre vários serviços. É parecido com verificação de idade e, embora pareça que o serviço precisaria cooperar para ligar a sessão do reCAPTCHA ao cadastro, só o horário do cadastro já tem grande chance de praticamente destruir o conjunto anônimo

    • Se você opera um site, também parece fácil hospedar o mesmo código no seu site para encaminhar pedidos de atestado a outra pessoa e fazer com que o dispositivo dela seja bloqueado pelo Google em vez do seu
    • Se uma empresa assim existir, não vejo qual é o sentido de depender de TPM. O futuro dos bots bancados por VC parece promissor
      https://doublespeed.ai/
    • A tarefa “interprete este QR code” provavelmente não entraria nem entre as 500 mil principais na lista de “tarefas que humanos conseguem fazer melhor que computadores”
    • Na documentação do reCAPTCHA, não parece haver exigência obrigatória de suporte a atestado por hardware, e só o Play Services aparentemente já basta
      Provavelmente o Google fará a atestação remotamente e poderá usar um app com acesso enorme ao telefone, como o Play Services, para correlacionar vários dados. Pode ser o argumento de que assim dá para julgar melhor a “humanidade”, incluindo até a atividade local do telefone
      Para quem usa conta do Google, pode não haver grande diferença em termos dos dados coletados
      Nesse modelo, em teoria também seria possível falsificar, mas do ponto de vista do Google seria fácil detectar atestados compartilhados por várias pessoas
      Como isso é, antes de tudo, uma atualização de um sistema muito aproximado, talvez segurança absoluta ainda não seja necessária, mas a chance é de que o contorno fique extremamente difícil
    • Se o Google não exigiu que usuários de iPhone instalassem software do Google para passar no teste, será que um telefone Android sem Google poderia se apresentar como se fosse um iPhone?

  • Hoje não uso Android, e também quase não usei Android com Google nos últimos 10 anos, nem pretendo usar no futuro. Se essa for a linha que precisa ser mantida até o fim, tudo bem
    Não vou usar atestado por hardware, seja controlado pelo Google ou não. Mesmo se eu tivesse um telefone Android certificado pelo Google e sem root, acho que ainda assim não deveria usar

    • Quando um app de fintech para de funcionar e você não consegue receber dinheiro, deixa de ser um problema divertido. Por isso precisa de regulação
      Só não parece que políticos vão enfrentar empresas de publicidade. Afinal, elas são clientes deles

  • Eu mantinha um Android antigo e barato como reserva e recentemente migrei para o GrapheneOS. Deixo só um perfil Google e uso apenas para Uber, Google Chat do trabalho e mapas
    Um banco se recusava a funcionar mesmo com serviços do Google, então troquei de banco. A maior parte do uso móvel foi migrada para soluções self-hosted, e configurei coisas como freshrss full-text, gerenciador de senhas, calendário e tarefas para não ficarem expostas diretamente à internet
    É um pouco incômodo, mas fico feliz por ter começado essa jornada. Parece que vou acabar evitando cada vez mais a própria internet

    • Qual seria a melhor alternativa ao Google Drive? Também fui por esse caminho, mas Samba às vezes é meio chato

  • O archive.is pediu para escanear um QR code, e essa palhaçada atrás do Cloudflare é constrangedora demais. Estão forçando KYC em visitantes de sites? Estão malucos?
    Se continuarem empurrando isso nessa direção, a web quebra. Milhões de sites vão de repente passar a exigir KYC?
    https://ibb.co/X9Q6Y84
    O motivo de eu chamar isso de KYC é que existem pouquíssimas formas não criminosas de conseguir um SIM sem KYC e criar uma conta Google para a Play Store sem número de telefone. Aí toda visita a qualquer site fica presa à identidade real
    Como eu não uso Android stock, hoje na prática não consigo acessar muitos sites. Isso é absurdo

    • O texto diz “o reCAPTCHA não compartilha seus dados com este site”, mas não diz que não compartilha com o Google. Então compartilha?
    • Isso é muito ruim :-(
      Especialmente em lugares como archive.is, parece que vai ficar muito mais difícil usar a internet sem telefone
      Não sei o quanto isso é relevante para a discussão, mas, se ajudar, eu fiz um projeto que consegue arquivar páginas do archive.is no archive.org/Wayback Machine. Usa singlefile
      A comunidade talvez pudesse usar isso em escala. Espero que o archive.is conserte esse problema da exigência de QR code e que isso não vire algo permanente
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Não entendo por que não adotaram Private Access Tokens. Também não é ótimo, mas pelo menos daria para embalar assim: fingir que o objetivo não é invadir a privacidade das pessoas, usar a desculpa tradicional de “a Apple também faz”, fingir orientação a padrões e divulgar como se fosse um recurso totalmente transparente para o usuário final
    Se tivessem feito isso, parece que conseguiriam alguma forma de atestado de dispositivo com muito menos reação negativa. Mas não parece ser esse o objetivo real

    • No fundo, isso não resolve nada. O que querem é identificar uma pessoa específica ou pelo menos um dispositivo relativamente caro e, se bloquearem, garantir que continue bloqueado
    • Não seria síndrome do Not Invented Here?

  • Isso já passou do ponto em que o governo deveria intervir e proibir duramente o Google ou aplicar multas pesadas. É conduta monopolista

    • O monopólio fica evidente quando você entra no site da documentação e metade do vídeo é sobre conectar esse recurso ao Google Analytics
      É uma estrutura para reforçar o monopólio de busca e publicidade usando outros produtos
      Você não consegue nem raspar conteúdo para fazer um Google ou Gemini melhor, nem criar um sistema operacional que concorra com Google ou Apple, nem criar um concorrente do Google Analytics
      É claramente anticompetitivo
    • Justamente o governo é quem mais precisa disso. Porque quer saber quem são os dissidentes potenciais e atuais
    • Aqui parece haver base clara para investigar tying ilegal ou abuso de poder de mercado. Espero que a FTC, se estiver olhando para isso também, esteja ouvindo
    • Na verdade, o próprio governo já usa isso até em sites .gov e impõe isso a nós

  • Alguém sabe o que mudou no iOS 16.5 para o Google parar de exigir instalação de app? Pelo que parece, isso tem relação com o atestado remoto da Apple, os Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • É o típico caso de chutar a escada para impedir agentes de IA concorrentes enquanto garante acesso para os seus próprios
    O mercado de agentes autônomos que prestam serviços e executam tarefas online vai ser enorme, então é preciso ter moeda de troca para que seus bots não sejam bloqueados em ativos protegidos por Amazon, Cloudflare, Microsoft etc.

  • Recentemente ajudei um familiar confuso a apagar duas contas do Google Cloud cuja existência ele nem conhecia. Só descobriu depois de receber um e-mail dizendo que o reCAPTCHA seria integrado a outros produtos do Google
    Não faço ideia do que aconteceu. Meu melhor palpite até agora é que ele estava resolvendo um CAPTCHA enquanto estava logado numa conta Google no mesmo navegador e clicou em algum botão muito errado. Bizarro

    • Talvez tenha sido o playground do AI Studio? Parece tudo integrado

  • Para ser justo, já existem apps que exigem telefone no cadastro. VK e Telegram, por exemplo, fazem isso
    O Google também parece exigir escanear QR code para registrar conta, então, se houver algum objetivo nisso, talvez seja simplesmente mais fácil comprar contas Google no mercado cinza
    Hoje em dia ninguém confia em navegador web