Google mengubah reCAPTCHA agar tidak berfungsi bagi pengguna Android de-Googled

 (reclaimthenet.org)
2 poin oleh GN⁺ 2026-05-09 | 5 komentar | Bagikan ke WhatsApp
  • Google mengaitkan reCAPTCHA generasi berikutnya untuk Android dengan Google Play Services, sehingga pengguna Android de-Googled akan otomatis gagal saat menghadapi tahap verifikasi tambahan
  • Agar dapat membuktikan bahwa mereka manusia di Android, pengguna harus menjalankan framework aplikasi proprietari Google, Google Play Services 25.41.30 atau lebih baru
  • Jika aktivitas dinilai mencurigakan, alih-alih teka-teki gambar lama, sistem akan meminta pemindaian kode QR, dan proses ini hanya dapat selesai jika Play Services berkomunikasi dengan server Google
  • Perangkat iOS 16.4 atau lebih baru dapat lolos verifikasi yang sama tanpa perangkat lunak Google tambahan, tetapi hanya pengguna Android yang menolak Play Services yang terkunci dalam struktur yang asimetris
  • Karena reCAPTCHA berada di depan jutaan situs web, perubahan ini menciptakan preseden bahwa akses web dasar memerlukan menjalankan perangkat lunak Google dan mengirim data ke server Google

Metode verifikasi yang terikat ke Google Play Services

  • Proses membuktikan bahwa seseorang adalah manusia di Android bergantung pada framework aplikasi proprietari Google, Google Play Services 25.41.30 atau lebih baru
  • Jika reCAPTCHA menilai aktivitas mencurigakan, sistem akan meminta pemindaian kode QR alih-alih teka-teki gambar lama
  • Karena pemindaian QR mengharuskan Play Services yang berjalan di latar belakang berkomunikasi dengan server Google, verifikasi gagal di GrapheneOS atau ROM kustom lain yang menghapus perangkat lunak Google
  • Pengguna yang memakai ponsel de-Googled akan otomatis gagal ketika sistem meminta verifikasi tambahan

Google Cloud Fraud Defense dan latar belakang penerapannya

  • Pada 23 April, Google mengumumkan sistem yang lebih luas, Google Cloud Fraud Defense, di Cloud Next
  • Sistem ini diperkenalkan sebagai platform kepercayaan untuk menangani baik agen AI otonom maupun bot yang sudah ada
  • Fakta bahwa proses membuktikan manusia di Android dikaitkan dengan menjalankan perangkat lunak proprietari Google tidak ditonjolkan secara terbuka dalam pengumuman tersebut
  • Perubahan ini tidak muncul tiba-tiba; pada snapshot Internet Archive Oktober 2025 dari halaman dukungan yang sama, persyaratan Play Services 25.39.30 sudah tercantum
  • Pengguna subreddit degoogle di Reddit mengonfirmasi hal ini, lalu laporan dari PiunikaWeb dan Android Authority membuatnya lebih dikenal luas

Perbedaan antara iOS dan Android

  • Perangkat Apple yang menjalankan iOS 16.4 atau lebih baru dapat menyelesaikan verifikasi yang sama tanpa memasang aplikasi tambahan
  • Google tidak mewajibkan pengguna iPhone memasang perangkat lunak Google untuk lolos reCAPTCHA
  • Akibatnya, terbentuk struktur asimetris di mana hanya pengguna Android yang menolak Play Services yang terkunci
  • Perbedaan ini tampak lebih dekat ke kontrol ekosistem daripada keamanan

Masalah aksesibilitas web dan pengiriman data

  • reCAPTCHA berada di depan jutaan situs web
  • Ketika Google mengikat verifikasi ke Play Services, tercipta preseden bahwa akses ke konten web dasar memerlukan menjalankan perangkat lunak Google dan mengirim data ke server Google
  • Pengguna ponsel de-Googled memilih konfigurasi itu justru karena mereka telah meninjau praktik data Play Services dan tidak menyetujuinya
  • Sistem baru ini pada dasarnya memperlakukan ketiadaan perangkat lunak proprietari Google sebagai sesuatu yang mencurigakan, sehingga pilihan tersebut dirugikan

Eksklusi yang pada akhirnya dipilih pengembang web

  • Situs web yang mengadopsi reCAPTCHA ini akan mengirim sinyal bahwa mereka tidak menyambut pengguna Android de-Googled
  • Basis pengguna ini saat ini memang kecil, tetapi merupakan kelompok yang paling peka terhadap cara situs web menangani data
  • Kelompok pengguna ini kemungkinan besar tidak akan mudah menyerah pada persyaratan Google Play Services

Bacaan terkait

5 komentar

 
holywork 2026-05-12

Apakah pernah ada laporan bahwa tantangan gambar atau audio yang sudah ada tidak dapat digunakan?
 
holywork 2026-05-12

Sulit dipahami kenapa klaim tanpa dasar seperti "When the system flags suspicious activity, it drops the old image puzzles." terus direproduksi tanpa verifikasi, entah itu sekadar judul yang dilebih-lebihkan untuk memancing klik atau karena apa pun yang dilakukan Google selalu dilihat secara negatif.

Kemungkinan besar ini lebih merupakan salah paham yang berasal dari kalimat "To complete the mobile verification, you must use a compatible mobile device." Kalimat ini berarti "untuk menggunakan verifikasi seluler, diperlukan perangkat yang kompatibel", bukan "sekarang hanya verifikasi seluler yang boleh digunakan".

Dokumentasi resmi juga hanya menjelaskan di lingkungan seperti apa verifikasi seluler didukung, dan tidak mengatakan bahwa tantangan gambar lama telah dihapus. Bahkan jika melihat Cloud Console atau dokumentasi pengembang, tidak ada penjelasan bahwa operator situs atau pengembang bisa membatasi jenis challenge. Faktanya, jika melihat artikel berita terkait, posting di /r/degoogle, halaman bantuan resmi Google, dan hasil pengujian saya sendiri, ikon berbentuk mata atau headset tetap ditampilkan di bawah kode QR, dan melalui itu challenge lama masih bisa digunakan seperti biasa.

Artinya, verifikasi seluler lebih dekat pada metode autentikasi tambahan yang disediakan demi kenyamanan di perangkat yang didukung, dan belum ada dasar yang cukup untuk menyimpulkan bahwa "perangkat de-googled sekarang tidak bisa lagi menyelesaikan reCAPTCHA".

Sulit dimengerti sikap yang langsung menganggap apa pun yang dilakukan Google demi pencegahan penipuan atau peningkatan pengalaman pengguna sebagai sesuatu yang jahat, sementara menyebarkan informasi yang belum terverifikasi justru dianggap tidak masalah. Setidaknya kalau mau mengkritik, bukankah seharusnya fakta-faktanya diperiksa dulu? Menyebarkan berulang kali informasi yang dibesar-besarkan tanpa pembedaan seperti itu tampaknya lebih dekat ke penyebaran ketakutan daripada kritik.
 
ndrgrd 2026-05-12

Pembatasan instalasi aplikasi juga begitu, jadi sekarang Android rasanya sudah harus dianggap sebagai ekosistem tertutup.
 
GN⁺ 2026-05-09
Komentar Hacker News

  • reCAPTCHA baru ini pada dasarnya tampaknya dipahami sebagai attestasi jarak jauh (remote attestation)
    Attestasi jarak jauh tidak menggunakan tanda tangan buta, karena jika itu dilakukan maka bisa dipanen ulang dalam skala besar. Jadi jika server Google bersekongkol, secara teknis mereka bisa mengikat perangkat dan subjek attestasi: alurnya adalah EK (kunci privat tetap yang ditanam permanen) → AIK (kunci identitas sementara di area aman, ditandatangani server Google) → attestasi (ditandatangani AIK)
    Jika server Google mencatat konversi EK → AIK, mereka bisa dengan mudah melacak attestasi tertentu kembali ke EK perangkat. Itulah sebabnya hampir tidak ada layanan online yang menyediakan attestasi jarak jauh palsu, dan tampaknya ke depan juga akan tetap sulit ditemukan. Langkah berikutnya dalam menjalankan layanan seperti itu adalah Google menjadi pelanggan lalu memasukkan semua perangkat ke daftar blokir
    Jika tidak ada langkah khusus pada reCAPTCHA baru ini, ini bukan cuma mengunci layanan internet di balik chip TPM, tetapi juga menyerahkan anonimitas kepada Google. Kecuali Anda bisa mendapatkan perangkat sementara yang tak dapat dilacak untuk tiap layanan, pendekatan ini memungkinkan semua akun di berbagai layanan saling diikat. Ini mirip verifikasi usia; sekalipun tampaknya layanan harus bekerja sama untuk mengaitkan sesi reCAPTCHA dengan pendaftaran, hanya dari waktu pendaftaran saja himpunan anonim kemungkinan besar sudah hampir runtuh

    • Jika Anda menjalankan situs web, tampaknya juga mudah untuk mengunggah kode yang sama ke situs Anda sendiri lalu meneruskan permintaan attestasi ke orang lain, sehingga perangkat merekalah yang diblokir oleh Google, bukan perangkat Anda
    • Jika perusahaan seperti ini ada, saya tidak paham apa gunanya bergantung pada TPM. Masa depan bot yang didanai VC tampak cerah
      https://doublespeed.ai/
    • Tugas “tafsirkan kode QR ini” sepertinya bahkan tidak akan masuk 500 ribu besar daftar “pekerjaan yang bisa dilakukan manusia lebih baik daripada komputer”
    • Dalam dokumentasi reCAPTCHA saya tidak melihat persyaratan bahwa dukungan attestasi perangkat keras itu wajib; Play Services saja tampaknya sudah cukup
      Kemungkinan besar Google akan melakukan attestasi dari jarak jauh, dan menggunakan aplikasi yang punya akses luar biasa besar ke ponsel seperti Play Services untuk menghubungkan berbagai data. Bisa jadi dalihnya adalah agar bisa menilai “kemanusiaan” dengan lebih baik, termasuk aktivitas lokal di ponsel
      Bagi orang yang memakai akun Google, mungkin tidak ada perbedaan besar dari sisi data yang dikumpulkan
      Dengan cara seperti ini, secara teori pemalsuan mungkin saja, tetapi dari sudut pandang Google akan mudah mendeteksi attestasi yang dipakai bersama oleh banyak orang
      Ini pada dasarnya pembaruan atas sistem yang sudah sangat kasar, jadi keamanan absolut belum benar-benar dibutuhkan, tetapi pengelakannya kemungkinan akan menjadi sangat sulit
    • Jika Google tidak meminta pengguna iPhone memasang perangkat lunak Google untuk lolos uji, apakah ponsel Android tanpa Google bisa menyamar sebagai iPhone?

  • Saya tidak memakai Android sekarang, hampir 10 tahun juga tidak memakai Android yang berisi Google, dan ke depan pun tidak akan. Jika ini garis yang harus dijaga sampai akhir, ya begitu saja
    Saya juga tidak akan memakai attestasi perangkat keras, entah itu dikendalikan Google atau bukan. Bahkan kalau saya punya ponsel Android tersertifikasi Google yang tidak di-root, menurut saya tetap jangan digunakan

    • Kalau aplikasi fintech berhenti bekerja dan membuat orang tidak bisa menerima uang, itu tidak lagi sekadar masalah yang menarik. Karena itu perlu regulasi
      Hanya saja, saya ragu para politisi akan berani melawan perusahaan iklan. Mereka pelanggan para politisi itu

  • Saya menyimpan Android lama murah sebagai cadangan, dan belakangan pindah ke GrapheneOS. Saya hanya menyisakan satu profil Google, dipakai untuk Uber, Google Chat kantor, dan peta
    Satu bank bahkan menolak berjalan meski layanan Google tersedia, jadi saya ganti bank. Sebagian besar penggunaan seluler saya pindahkan ke yang self-hosted, dan saya menata agar hal-hal seperti teks penuh freshrss, pengelola kata sandi, kalender, pengelola tugas, dan lainnya tidak langsung terekspos ke internet
    Agak merepotkan, tetapi saya senang memulai perjalanan ini. Sepertinya lama-lama saya akan makin menghindari internet itu sendiri

    • Apa alternatif terbaik untuk Google Drive? Saya juga sudah menempuh jalan ini, tetapi Samba kadang agak merepotkan

  • archive.is meminta pemindaian kode QR, dan tindakan ini di balik Cloudflare terasa sangat memalukan. Apakah ini memaksa KYC pada pengunjung situs web? Apa mereka waras?
    Jika didorong ke arah ini, web akan rusak. Apakah ratusan juta situs web tiba-tiba akan memaksa KYC?
    https://ibb.co/X9Q6Y84
    Alasan saya menyebutnya KYC adalah karena ada sangat sedikit cara nonkriminal untuk mendapatkan SIM tanpa KYC dan membuat akun Google untuk Play Store tanpa nomor telepon. Kalau begitu, setiap kunjungan ke situs web akan melekat ke identitas nyata
    Karena saya tidak memakai Android bawaan, saat ini saya benar-benar tidak bisa mengakses banyak situs web. Ini benar-benar tidak masuk akal

    • Tulisannya berbunyi “reCAPTCHA tidak membagikan detail Anda dengan situs ini”, tetapi tidak ada kalimat bahwa ia tidak membagikannya dengan Google. Jadi artinya memang dibagikan?
    • Ini benar-benar buruk :-(
      Khususnya di tempat seperti archive.is, tampaknya akan jauh lebih sulit mengakses internet tanpa ponsel
      Saya tidak tahu seberapa relevan ini dengan pembahasan, tetapi kalau membantu, saya membuat proyek yang bisa mengarsipkan halaman archive.is ke archive.org/Wayback Machine. Proyek itu memakai singlefile
      Sepertinya komunitas bisa memakai hal seperti ini dalam skala besar. Semoga archive.is memperbaiki masalah permintaan kode QR ini, dan ini tidak menjadi masalah permanen
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Saya tidak tahu kenapa mereka tidak mengadopsi Private Access Tokens. Itu juga tidak hebat, tetapi setidaknya bisa dikemas seperti ini: pura-pura tujuan utamanya bukan melanggar privasi orang, memakai alasan klasik “Apple juga melakukannya”, pura-pura berorientasi standar, dan mempromosikannya sebagai fitur yang sepenuhnya transparan bagi pengguna akhir
    Kalau begitu, mereka mungkin tetap bisa mencapai semacam attestasi perangkat sambil menghadapi penolakan yang jauh lebih kecil. Tapi tampaknya itu memang bukan tujuan sebenarnya

    • Pada dasarnya itu tidak menyelesaikan apa pun. Mereka ingin mengidentifikasi orang tertentu atau setidaknya perangkat yang relatif mahal, sehingga bila diblokir akan tetap diblokir terus
    • Mungkin ini sindrom Not Invented Here?

  • Ini sudah melewati batas di mana pemerintah harus turun tangan dan melarang keras atau mendenda Google. Ini adalah perilaku monopolis

    • Sifat monopolisnya terlihat dari fakta bahwa kalau membuka situs dokumentasinya, setengah videonya membahas cara menghubungkan fitur ini dengan Google Analytics
      Strukturnya adalah memperkuat monopoli pencarian dan iklan memakai produk lain
      Jadi orang tidak bisa mengeruk konten untuk membuat Google atau Gemini yang lebih baik, tidak bisa membuat sistem operasi yang bersaing dengan Google atau Apple, dan juga tidak bisa membuat pesaing Google Analytics
      Ini jelas antipersaingan
    • Justru pemerintah yang paling membutuhkan hal seperti ini. Mereka ingin tahu siapa saja pembangkang potensial maupun yang sedang aktif
    • Di sini tampaknya ada dasar yang jelas untuk penyelidikan atas tying ilegal atau penyalahgunaan kekuatan pasar. Semoga FTC juga memperhatikan ini
    • Malah pemerintah menggunakan hal seperti ini juga di situs .gov dan memaksakannya kepada kita

  • Apakah ada yang tahu apa yang berubah di iOS 16.5 sehingga Google berhenti mewajibkan pemasangan aplikasi? Kelihatannya terkait dengan attestasi jarak jauh Apple, yaitu Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Ini tipikal aksi menendang tangga setelah naik, untuk menghalangi agen AI pesaing sambil memastikan akses untuk pihak sendiri
    Pasar agen otonom yang menyediakan layanan dan mengerjakan tugas online akan sangat besar, jadi mereka butuh kartu tawar agar bot mereka sendiri tidak diblokir pada aset yang dijaga Amazon, Cloudflare, Microsoft, dan lainnya

  • Baru-baru ini saya membantu anggota keluarga yang bingung menghapus dua akun Google Cloud yang bahkan tidak mereka tahu keberadaannya. Mereka baru sadar setelah menerima email bahwa reCAPTCHA akan diintegrasikan ke produk Google lain
    Saya sama sekali tidak tahu apa yang terjadi. Dugaan terbaik saya sejauh ini adalah mereka menyelesaikan CAPTCHA saat login ke akun Google di browser yang sama, lalu menekan tombol yang benar-benar salah. Aneh sekali

    • Mungkin itu playground AI Studio? Tampaknya semuanya sudah diintegrasikan

  • Agar adil, sudah ada aplikasi yang mewajibkan ponsel saat pendaftaran. Misalnya VK dan Telegram
    Google juga tampaknya mewajibkan pemindaian kode QR untuk pendaftaran akun, jadi kalau memang ada tujuan tertentu, mungkin lebih mudah langsung membeli akun Google di pasar gelap
    Sekarang ini tidak ada yang lagi percaya pada browser web
 
holywork 2026-05-12

Reaksi seperti "Apa mereka waras?" itu maksudnya apa? Archive.is yang selama ini menyediakan layanan gratis tanpa iklan rupanya dianggap sebagai hak dasar yang memang sudah sewajarnya dinikmati. Kalau mereka pasang iklan, rasanya orang-orang ini siap mengirim ancaman pembunuhan.