Novo reCAPTCHA exige celular aprovado para passar

 (cybernews.com)
2 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O novo reCAPTCHA do Google exige verificação por meio da leitura de um código QR com um dispositivo móvel compatível, mesmo quando o usuário está em um desktop ou notebook
  • O GrapheneOS alerta que o acesso a serviços online pode ser bloqueado para quem não tiver um dispositivo iOS ou Android com Google Play Services instalado
  • A lista de suporte do Google inclui apenas Android com Google Play Services e dispositivos iOS/iPadOS, então smartphones Android sem Google podem não conseguir concluir a verificação
  • O Google diz que o modelo baseado em QR code busca impedir que agentes de IA resolvam tarefas anteriores com facilidade e tornar fraudes automatizadas economicamente inviáveis
  • Em Hacker News, X e Reddit, cresce a reação de que a exigência de atestação remota e de dispositivos autenticados restringe mais a liberdade de computação e a concorrência no mercado móvel do que melhora a segurança

O que mudou - restrições de dispositivo no novo reCAPTCHA

  • A estrutura agora exige a posse de um Android aprovado ou iPhone para comprovar que você é humano, com o usuário tendo de escanear um código QR com um "dispositivo móvel compatível"
    • O GrapheneOS alerta que usuários de sistemas e dispositivos focados em privacidade ficam excluídos da verificação
  • Com a mudança recente, dispositivos e sistemas operacionais arbitrários como smartphones Android sem Google deixaram de conseguir concluir a verificação do reCAPTCHA do Google
  • A lista de dispositivos capazes de concluir a verificação está limitada a Android com Google Play Services instalado e iOS/iPadOS
  • O reCAPTCHA é uma ferramenta de segurança usada por milhões de sites e grandes serviços para distinguir humanos de bots
    • Na maior parte do tempo, ele funciona de forma invisível em segundo plano, mas, ao detectar algo suspeito, apresenta desafios como identificar hidrantes ou semáforos

  • Críticas do GrapheneOS

    • Em comunicado público, o GrapheneOS classificou a medida como "profundamente anticompetitiva"
    • "O controle do reCAPTCHA coloca o Google na posição de poder exigir iOS ou um dispositivo Android certificado para usar uma enorme parte da web"
    • O projeto define a mudança como uma expansão da atestaçāo baseada em hardware, dizendo que isso exclui cada vez mais a concorrência em hardware e sistemas operacionais
      • attestation: método em que o hardware prova criptograficamente, por meio de um chip de segurança embutido, que é um dispositivo autêntico
    • "O objetivo desse sistema é impedir o uso de hardware e software não aprovados pela Apple ou pelo Google, e isso está sendo apresentado de forma enganosa como recurso de segurança"
      • "Dispositivos sem correções há 10 anos são permitidos, enquanto sistemas operacionais muito mais seguros são bloqueados"; segundo o projeto, o objetivo é impor monopólio por meio do licenciamento do Google Mobile Services

  • Cloud Fraud Defense e desafios resistentes a IA

    • O novo reCAPTCHA faz parte da plataforma Cloud Fraud Defense, anunciada em 22 de abril, e foi projetado para verificar a legitimidade de bots, humanos e agentes de IA
    • O Google explica que o "aumento da automação sofisticada exige uma mudança fundamental na gestão de risco"
    • A lista de suporte inclui apenas dispositivos Android com Google Play Services instalado e dispositivos iOS/iPadOS
    • Operadores de sites podem usar controles detalhados para permitir ou bloquear bots e agentes de IA com base em condições como pontuação de risco, tipo de automação e identidade do agente
    • O novo CAPTCHA baseado em QR code tem como alvo bloquear agentes de IA que conseguem resolver facilmente desafios anteriores
      • O Google afirma que esse "desafio de mitigação resistente a IA", que prova a presença humana, foi projetado para tornar fraudes automatizadas economicamente inviáveis
    • O Google está migrando clientes existentes do reCAPTCHA para o Fraud Defense sem ação adicional nem mudança de preço
    • A empresa vem distribuindo o recurso silenciosamente pelo menos desde outubro de 2025, quando uma postagem de blog apresentou a abordagem com QR code como uma forma de oferecer "segurança resistente a IA mais forte"
      • Mesmo ao navegar em um PC ou Mac, a intervenção de um dispositivo móvel físico forneceria uma "atestaçāo de alta confiança de que existe um humano único"
    • Segundo o GrapheneOS, isso "introduz uma exigência de atestação de hardware em Windows, Linux desktop, OpenBSD e outros, ao exigir a leitura do QR por um smartphone certificado. Isso pode se expandir ainda mais"
    • Defensores da privacidade alertam que serviços que exigem cada vez mais Apple App Attest ou Google Play Integrity estão consolidando o duopólio no mercado móvel
      • O GrapheneOS menciona que "a UE está liderando essas exigências em pagamentos digitais, identidade e verificação de idade, e muitos apps governamentais da UE exigem isso"

Reação e preocupações

  • Operadores de sites decidem qual solução de CAPTCHA usar e quão rigidamente aplicá-la
  • Defensores da privacidade alertam que o aumento das exigências de Apple App Attest ou Google Play Integrity consolida a estrutura de duopólio no mercado móvel
  • O GrapheneOS avalia que a UE está liderando a adoção dessas exigências em pagamentos digitais, identidade e verificação de idade, e que muitos apps governamentais da UE as exigem

  • Reações da comunidade técnica e das redes sociais

    • Na comunidade técnica do Hacker News, difundiu-se a opinião de que o centro da controvérsia não é segurança, mas tomada de poder
    • Um usuário do Hacker News escreveu: "A atestação remota será a forma como a nossa liberdade de computação vai morrer"
    • No X, postagens relacionadas alcançaram milhões de visualizações e dezenas de milhares de reações
    • O International Cyber Digest escreveu que usuários de celulares Android sem Google, como GrapheneOS, CalyxOS e /e/OS, serão bloqueados em milhões de sites se não instalarem o Google Play Services, removido intencionalmente
    • O International Cyber Digest afirmou que "o Google agora trata privacidade como comportamento suspeito por padrão"

  • Tentativas semelhantes no passado e preocupações de segurança

    • A empresa de privacidade online Mega disse que o Google tentou implementar uma medida semelhante em 2023 chamada Web Environment Integrity, mas recuou após reação pública
      • "Desta vez, em vez de uma proposta pública, lançou isso como um produto comercial. Os métodos antigos de CAPTCHA ainda podem ser acessados como fallback por enquanto, mas não se sabe até quando isso será mantido"
      • "Ninguém sem um dispositivo autenticado poderá se verificar"
    • Discussões semelhantes também continuaram no Reddit
      • Um usuário do Reddit rejeitou a entrada de QR codes no CAPTCHA e alertou que isso é mais um método de vigilância, como verificação de idade e anti-VPN
      • Alguns usuários temem que o novo reCAPTCHA com QR code possa criar novos vetores de ataque para golpistas, como confirmações falsas de QR code e imitação do fluxo de verificação
      • "Quem projetou isso não pensou nem um pouco em segurança. Os golpistas vão adorar isso"

Leituras relacionadas

1 comentários

 
GN⁺ 4 시간 전
Opiniões no Lobste.rs

  • Do ponto de vista de segurança do comportamento do usuário, isso parece um grande retrocesso
    Agora um atacante pode falsificar um QR code do reCaptcha para mandar o usuário para onde quiser, e não há garantia nem expectativa de que a pessoa consiga verificar se esse código é verdadeiro
    Já existem páginas falsas do Cloudflare Turnstile pedindo para apertar Windows+R e colar alguma coisa, então parece quase impossível educar os usuários sobre como lidar com isso

    • É uma ótima forma de atacar a autenticação em dois fatores quando o segundo fator é o celular
      Agora dá para enviar os dois fatores de autenticação para um lugar controlado pelo atacante
    • Horrível
      Achei que seria necessário um app dedicado do reCaptcha para escanear o QR code, mas é só um QR code com uma URL comum
    • Parece algo a que se poderia fazer oposição em nível organizacional com o argumento de que “isso é indistinguível de phishing real e os usuários vão se dar muito mal”
      Mas, se já estiverem tentando implementar, não sei se vão ouvir

  • Quando vi isso pela primeira vez, fiquei surpreso e achei que era uma tentativa de phishing malfeita
    Eu estava usando Tor na hora, e escanear o código com um celular vinculado à minha conta Google poderia quebrar esse anonimato
    Ainda dava para voltar para um CAPTCHA visual, mas temo que essa opção também desapareça em breve
    Se isso acontecer, vai ficar muito mais difícil usar a internet anonimamente
    A alegação de que isso é “AI-resistant” também é bobagem
    Será que eles realmente não conseguem imaginar automatizar o processo de escanear QR code?

    • Esse é exatamente o objetivo
      O objetivo final é excluir todos os dispositivos com acesso livre à computação de uso geral e eliminar o anonimato de todos os visitantes
    • Claro que eles sabem da possibilidade de automatizar o escaneamento de QR code
      Mas, como o texto diz, esse processo exige o uso de um hardware específico, e o ponto central é que esse hardware pode ser comprovado fisicamente
      O objetivo é tornar caro escalar isso
      Se um celular for bloqueado, não basta reinicializar um contêiner Docker; é preciso conseguir outro celular
      Não sei exatamente como o QR code funciona, nem se usam um identificador estável
      Pode haver opções menos invasivas, como um contador TPM, ou podem usar algo completamente diferente
      Ainda assim, acho que a razão para exigir hardware específico é viabilizar essa comprovação de hardware
      Isso basicamente busca o mesmo objetivo da proposta de integridade do ambiente web, só que de um jeito mais incômodo
      A reação negativa ao WEI fez essa abordagem parar, mas o problema de ataques sybil que ela tentava resolver não desapareceu, e se o custo de ataques sybil ilimitados é quase zero, a web em sua forma atual não pode se sustentar de maneira fundamental
      Então vão continuar tentando resolver isso de um jeito ou de outro

  • Eu navego na web principalmente pelo desktop ou notebook, e não pretendo escanear QR code de site aleatório com meu celular
    Nesse caso, simplesmente vou para outro lugar

  • Uso GrapheneOS e espero continuar podendo usar
    Está parecendo cada vez mais um desperdício, como se eu fosse precisar de um dispositivo secundário para app de banco e agora até para CAPTCHA

    • Pelo contrário, está ficando cada vez mais importante dizer não a serviços que exigem esse tipo de coisa

  • Não entendo como isso funciona
    Como eles verificam com que dispositivo eu escaneio o código?
    Parece algo que necessariamente seria fácil de falsificar, então não estou entendendo

  • Eu só tenho um flip phone; então agora não vou mais poder usar sites com reCaptcha?

  • Será que os capitalistas da tecnologia não conseguiram resolver rápido o bastante o problema de “retirar o anonimato dos usuários pelos padrões de postagem”?"}ամարդյա гылеит to=functions.submit_translation 天天中彩票如何json 彩彩票娱乐{