Google altera o reCAPTCHA para que não funcione para usuários de Android sem Google

 (reclaimthenet.org)
2 pontos por GN⁺ 2026-05-09 | 5 comentários | Compartilhar no WhatsApp
  • O Google vinculou o reCAPTCHA de próxima geração para Android ao Google Play Services, fazendo com que usuários de Android sem Google falhem automaticamente na etapa adicional de verificação
  • Para provar que um usuário Android é humano, agora é necessário executar o framework proprietário de apps do Google, o Google Play Services 25.41.30 ou superior
  • Quando a atividade é considerada suspeita, em vez do tradicional quebra-cabeça de imagens, é exigida a leitura de um código QR, e esse processo só é concluído quando o Play Services se comunica com os servidores do Google
  • Dispositivos com iOS 16.4 ou superior passam pela mesma verificação sem software adicional do Google, mas surge uma estrutura assimétrica em que apenas usuários Android que recusam o Play Services ficam bloqueados
  • Como o reCAPTCHA está na linha de frente de milhões de sites, essa mudança cria um precedente em que o acesso básico à web exige a execução de software do Google e o envio de dados aos servidores do Google

Método de verificação atrelado ao Google Play Services

  • No Android, o processo de provar que alguém é humano depende do framework proprietário de apps do Google, o Google Play Services 25.41.30 ou superior
  • Se o reCAPTCHA considerar que há atividade suspeita, ele exige a leitura de um código QR em vez do tradicional quebra-cabeça de imagens
  • Como a leitura do QR depende do Play Services em execução em segundo plano para se comunicar com os servidores do Google, a verificação falha no GrapheneOS e em outras ROMs customizadas que removeram o software do Google
  • Usuários que usam um de-Googled phone falham automaticamente quando o sistema exige verificação adicional

Google Cloud Fraud Defense e o contexto da adoção

  • Em 23 de abril, no Cloud Next, o Google anunciou o sistema mais amplo Google Cloud Fraud Defense
  • O sistema foi apresentado como uma plataforma de confiança para lidar tanto com agentes autônomos de IA quanto com bots tradicionais
  • O fato de que o processo de provar que alguém é humano no Android ficou ligado à execução de software proprietário do Google não apareceu de forma destacada no anúncio
  • Essa mudança não surgiu de repente; em outubro de 2025, um snapshot do Internet Archive da mesma página de suporte já mostrava a exigência do Play Services 25.39.30
  • Usuários do subreddit degoogle no Reddit confirmaram isso, e o tema ganhou mais visibilidade com reportagens da PiunikaWeb e do Android Authority

Diferença entre iOS e Android

  • Dispositivos Apple com iOS 16.4 ou superior concluem a mesma verificação sem instalar apps adicionais
  • O Google não exige que usuários de iPhone instalem software do Google para passar no reCAPTCHA
  • Surge uma estrutura assimétrica em que apenas usuários Android que recusam o Play Services ficam bloqueados
  • Essa diferença parece estar mais ligada ao controle do ecossistema do que à segurança

Acessibilidade da web e envio de dados

  • O reCAPTCHA está posicionado na linha de frente de milhões de sites
  • Ao atrelar a verificação ao Play Services, o Google cria um precedente em que o acesso a conteúdo básico da web exige a execução de software do Google e o envio de dados aos servidores do Google
  • Usuários de celulares sem Google escolhem essa configuração justamente porque verificaram e não concordam com as práticas de dados do Play Services
  • O novo sistema trata, por padrão, a ausência de software proprietário do Google como algo suspeito, penalizando essa escolha

A exclusão que os desenvolvedores web acabam escolhendo

  • Sites que adotam esse reCAPTCHA acabam sinalizando que não recebem bem usuários de Android sem Google
  • Esse grupo de usuários ainda é pequeno, mas é também o mais sensível à forma como os sites tratam dados
  • É improvável que esse público ceda facilmente à exigência do Google Play Services

Leituras relacionadas

5 comentários

 
holywork 28 일 전

Alguém relatou casos em que não foi possível usar os desafios tradicionais de imagem ou áudio?
 
holywork 28 일 전

Não sei se isso é exagero para atrair cliques ou se é simplesmente o hábito de enxergar tudo o que o Google faz de forma automaticamente negativa, mas é difícil entender por que a alegação sem fundamento de que "When the system flags suspicious activity, it drops the old image puzzles." continua sendo reproduzida sem qualquer verificação.

Parece mais um mal-entendido surgido da frase "To complete the mobile verification, you must use a compatible mobile device.". Essa frase significa que "é necessário um dispositivo compatível para usar a verificação móvel", não que "agora só se pode usar verificação móvel".

A documentação oficial também apenas explica em quais ambientes a verificação móvel é suportada, e não diz que os desafios de imagem existentes desapareceram. Mesmo olhando o Cloud Console ou a documentação para desenvolvedores, não há indicação de que operadores de sites ou desenvolvedores possam limitar o tipo de desafio. Na prática, tanto na reportagem em questão, quanto no post do /r/degoogle, na página oficial de ajuda do Google e também nos meus próprios testes, os ícones de olho ou de headset continuam aparecendo abaixo do QR code, permitindo usar os desafios antigos normalmente.

Ou seja, a verificação móvel parece mais um método adicional de autenticação oferecido por conveniência em dispositivos compatíveis, e faltam evidências para afirmar categoricamente algo como "dispositivos de-googled agora não conseguem mais resolver o reCAPTCHA".

É difícil entender essa postura de tratar automaticamente como maléfico qualquer coisa que o Google faça em nome de prevenção a fraudes ou melhoria da experiência do usuário, enquanto ao mesmo tempo se considera aceitável espalhar informações não verificadas. Se a ideia é criticar, o mínimo não seria checar os fatos primeiro? Repetir informações exageradas sem fazer essa distinção parece menos crítica e mais disseminação de medo.
 
ndrgrd 28 일 전

A restrição à instalação de apps já mostrava isso, e agora o Android tem que ser visto como um ecossistema fechado.
 
GN⁺ 2026-05-09
Comentários do Hacker News

  • Esse novo reCAPTCHA é entendido basicamente como atestado remoto (remote attestation)
    O atestado remoto não usa assinaturas cegas, porque isso permitiria cultivo em massa. Então, se os servidores do Google conspirarem, eles podem vincular tecnicamente o dispositivo e a pessoa atestada: o fluxo é EK (chave privada fixa gravada de fábrica) → AIK (chave de identidade temporária da área segura, assinada pelos servidores do Google) → atestado (assinado pela AIK)
    Se os servidores do Google registrarem a conversão EK → AIK, fica fácil rastrear um atestado específico de volta ao EK do dispositivo. Por isso quase não existem serviços online que forneçam atestado remoto falso, e parece improvável que passem a existir. Porque a etapa seguinte para operar esse tipo de serviço seria o Google virar cliente e colocar todos os dispositivos na lista de bloqueio
    Se não houver alguma medida especial nesse novo reCAPTCHA, isso não só coloca os serviços de internet atrás de chips TPM, como também entrega o anonimato ao Google. A menos que você consiga dispositivos temporários não rastreáveis para cada serviço, esse método passa a permitir vincular todas as contas entre vários serviços. É parecido com verificação de idade e, embora pareça que o serviço precisaria cooperar para ligar a sessão do reCAPTCHA ao cadastro, só o horário do cadastro já tem grande chance de praticamente destruir o conjunto anônimo

    • Se você opera um site, também parece fácil hospedar o mesmo código no seu site para encaminhar pedidos de atestado a outra pessoa e fazer com que o dispositivo dela seja bloqueado pelo Google em vez do seu
    • Se uma empresa assim existir, não vejo qual é o sentido de depender de TPM. O futuro dos bots bancados por VC parece promissor
      https://doublespeed.ai/
    • A tarefa “interprete este QR code” provavelmente não entraria nem entre as 500 mil principais na lista de “tarefas que humanos conseguem fazer melhor que computadores”
    • Na documentação do reCAPTCHA, não parece haver exigência obrigatória de suporte a atestado por hardware, e só o Play Services aparentemente já basta
      Provavelmente o Google fará a atestação remotamente e poderá usar um app com acesso enorme ao telefone, como o Play Services, para correlacionar vários dados. Pode ser o argumento de que assim dá para julgar melhor a “humanidade”, incluindo até a atividade local do telefone
      Para quem usa conta do Google, pode não haver grande diferença em termos dos dados coletados
      Nesse modelo, em teoria também seria possível falsificar, mas do ponto de vista do Google seria fácil detectar atestados compartilhados por várias pessoas
      Como isso é, antes de tudo, uma atualização de um sistema muito aproximado, talvez segurança absoluta ainda não seja necessária, mas a chance é de que o contorno fique extremamente difícil
    • Se o Google não exigiu que usuários de iPhone instalassem software do Google para passar no teste, será que um telefone Android sem Google poderia se apresentar como se fosse um iPhone?

  • Hoje não uso Android, e também quase não usei Android com Google nos últimos 10 anos, nem pretendo usar no futuro. Se essa for a linha que precisa ser mantida até o fim, tudo bem
    Não vou usar atestado por hardware, seja controlado pelo Google ou não. Mesmo se eu tivesse um telefone Android certificado pelo Google e sem root, acho que ainda assim não deveria usar

    • Quando um app de fintech para de funcionar e você não consegue receber dinheiro, deixa de ser um problema divertido. Por isso precisa de regulação
      Só não parece que políticos vão enfrentar empresas de publicidade. Afinal, elas são clientes deles

  • Eu mantinha um Android antigo e barato como reserva e recentemente migrei para o GrapheneOS. Deixo só um perfil Google e uso apenas para Uber, Google Chat do trabalho e mapas
    Um banco se recusava a funcionar mesmo com serviços do Google, então troquei de banco. A maior parte do uso móvel foi migrada para soluções self-hosted, e configurei coisas como freshrss full-text, gerenciador de senhas, calendário e tarefas para não ficarem expostas diretamente à internet
    É um pouco incômodo, mas fico feliz por ter começado essa jornada. Parece que vou acabar evitando cada vez mais a própria internet

    • Qual seria a melhor alternativa ao Google Drive? Também fui por esse caminho, mas Samba às vezes é meio chato

  • O archive.is pediu para escanear um QR code, e essa palhaçada atrás do Cloudflare é constrangedora demais. Estão forçando KYC em visitantes de sites? Estão malucos?
    Se continuarem empurrando isso nessa direção, a web quebra. Milhões de sites vão de repente passar a exigir KYC?
    https://ibb.co/X9Q6Y84
    O motivo de eu chamar isso de KYC é que existem pouquíssimas formas não criminosas de conseguir um SIM sem KYC e criar uma conta Google para a Play Store sem número de telefone. Aí toda visita a qualquer site fica presa à identidade real
    Como eu não uso Android stock, hoje na prática não consigo acessar muitos sites. Isso é absurdo

    • O texto diz “o reCAPTCHA não compartilha seus dados com este site”, mas não diz que não compartilha com o Google. Então compartilha?
    • Isso é muito ruim :-(
      Especialmente em lugares como archive.is, parece que vai ficar muito mais difícil usar a internet sem telefone
      Não sei o quanto isso é relevante para a discussão, mas, se ajudar, eu fiz um projeto que consegue arquivar páginas do archive.is no archive.org/Wayback Machine. Usa singlefile
      A comunidade talvez pudesse usar isso em escala. Espero que o archive.is conserte esse problema da exigência de QR code e que isso não vire algo permanente
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Não entendo por que não adotaram Private Access Tokens. Também não é ótimo, mas pelo menos daria para embalar assim: fingir que o objetivo não é invadir a privacidade das pessoas, usar a desculpa tradicional de “a Apple também faz”, fingir orientação a padrões e divulgar como se fosse um recurso totalmente transparente para o usuário final
    Se tivessem feito isso, parece que conseguiriam alguma forma de atestado de dispositivo com muito menos reação negativa. Mas não parece ser esse o objetivo real

    • No fundo, isso não resolve nada. O que querem é identificar uma pessoa específica ou pelo menos um dispositivo relativamente caro e, se bloquearem, garantir que continue bloqueado
    • Não seria síndrome do Not Invented Here?

  • Isso já passou do ponto em que o governo deveria intervir e proibir duramente o Google ou aplicar multas pesadas. É conduta monopolista

    • O monopólio fica evidente quando você entra no site da documentação e metade do vídeo é sobre conectar esse recurso ao Google Analytics
      É uma estrutura para reforçar o monopólio de busca e publicidade usando outros produtos
      Você não consegue nem raspar conteúdo para fazer um Google ou Gemini melhor, nem criar um sistema operacional que concorra com Google ou Apple, nem criar um concorrente do Google Analytics
      É claramente anticompetitivo
    • Justamente o governo é quem mais precisa disso. Porque quer saber quem são os dissidentes potenciais e atuais
    • Aqui parece haver base clara para investigar tying ilegal ou abuso de poder de mercado. Espero que a FTC, se estiver olhando para isso também, esteja ouvindo
    • Na verdade, o próprio governo já usa isso até em sites .gov e impõe isso a nós

  • Alguém sabe o que mudou no iOS 16.5 para o Google parar de exigir instalação de app? Pelo que parece, isso tem relação com o atestado remoto da Apple, os Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • É o típico caso de chutar a escada para impedir agentes de IA concorrentes enquanto garante acesso para os seus próprios
    O mercado de agentes autônomos que prestam serviços e executam tarefas online vai ser enorme, então é preciso ter moeda de troca para que seus bots não sejam bloqueados em ativos protegidos por Amazon, Cloudflare, Microsoft etc.

  • Recentemente ajudei um familiar confuso a apagar duas contas do Google Cloud cuja existência ele nem conhecia. Só descobriu depois de receber um e-mail dizendo que o reCAPTCHA seria integrado a outros produtos do Google
    Não faço ideia do que aconteceu. Meu melhor palpite até agora é que ele estava resolvendo um CAPTCHA enquanto estava logado numa conta Google no mesmo navegador e clicou em algum botão muito errado. Bizarro

    • Talvez tenha sido o playground do AI Studio? Parece tudo integrado

  • Para ser justo, já existem apps que exigem telefone no cadastro. VK e Telegram, por exemplo, fazem isso
    O Google também parece exigir escanear QR code para registrar conta, então, se houver algum objetivo nisso, talvez seja simplesmente mais fácil comprar contas Google no mercado cinza
    Hoje em dia ninguém confia em navegador web
 
holywork 28 일 전

Que reação é essa de "vocês estão em pleno juízo?"? Pelo visto, archive.is, que até agora vem oferecendo o serviço de graça e sem anúncios, deve ser um direito básico garantido que todo mundo naturalmente merece. Se colocarem anúncios, parece que o pessoal vai até mandar ameaças de morte.