Google merusak reCAPTCHA bagi pengguna Android de-Googled

 (reclaimthenet.org)
2 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Google mengaitkan reCAPTCHA generasi berikutnya untuk Android dengan Google Play Services, sehingga pengguna Android de-Googled akan otomatis gagal pada langkah verifikasi tambahan
  • Agar pengguna Android bisa membuktikan bahwa mereka manusia, mereka harus menjalankan framework aplikasi proprietari Google, Google Play Services 25.41.30 atau lebih baru
  • Jika terdeteksi sebagai aktivitas mencurigakan, alih-alih teka-teki gambar lama, sistem akan meminta pemindaian kode QR, dan proses ini hanya selesai jika Play Services berkomunikasi dengan server Google
  • Perangkat iOS 16.4 atau lebih baru dapat lolos verifikasi yang sama tanpa perangkat lunak tambahan dari Google, tetapi hanya pengguna Android yang menolak Play Services yang terkunci, menciptakan struktur yang asimetris
  • Karena reCAPTCHA berada di depan jutaan situs web, perubahan ini menciptakan preseden bahwa akses web dasar memerlukan menjalankan perangkat lunak Google dan mengirim data ke server Google

Metode verifikasi yang terikat ke Google Play Services

  • Di Android, proses membuktikan bahwa pengguna adalah manusia bergantung pada framework aplikasi proprietari Google, Google Play Services 25.41.30 atau lebih baru
  • Jika reCAPTCHA menilai ada aktivitas mencurigakan, sistem akan meminta pemindaian kode QR alih-alih teka-teki gambar lama
  • Pemindaian QR mengharuskan Play Services yang berjalan di latar belakang berkomunikasi dengan server Google, sehingga verifikasi gagal pada GrapheneOS atau ROM kustom lain yang menghapus perangkat lunak Google
  • Pengguna yang memakai de-Googled phone akan otomatis gagal saat sistem meminta verifikasi tambahan

Google Cloud Fraud Defense dan latar penerapannya

  • Pada 23 April, Google mengumumkan sistem yang lebih luas, Google Cloud Fraud Defense, di Cloud Next
  • Sistem ini diperkenalkan sebagai platform kepercayaan untuk menangani baik agen AI otonom maupun bot yang sudah ada
  • Fakta bahwa proses membuktikan manusia di Android dihubungkan dengan menjalankan perangkat lunak proprietari Google tidak ditonjolkan dalam pengumuman tersebut
  • Perubahan ini tidak muncul secara tiba-tiba; pada halaman dukungan yang sama di snapshot Internet Archive Oktober 2025, persyaratan Play Services 25.39.30 sudah tercantum
  • Pengguna subreddit degoogle di Reddit mengonfirmasi hal ini, lalu menjadi lebih luas diketahui lewat laporan PiunikaWeb dan Android Authority

Perbedaan iOS dan Android

  • Perangkat Apple yang menjalankan iOS 16.4 atau lebih baru dapat menyelesaikan verifikasi yang sama tanpa memasang aplikasi tambahan
  • Google tidak mewajibkan pengguna iPhone memasang perangkat lunak Google untuk lolos reCAPTCHA
  • Akibatnya muncul struktur asimetris di mana hanya pengguna Android yang menolak Play Services yang terkunci
  • Perbedaan ini tampak lebih dekat ke kontrol ekosistem daripada keamanan

Masalah aksesibilitas web dan transmisi data

  • reCAPTCHA ditempatkan di depan jutaan situs web
  • Ketika Google mengikat verifikasi ke Play Services, tercipta preseden bahwa akses ke konten web dasar memerlukan menjalankan perangkat lunak Google dan mengirim data ke server Google
  • Pengguna ponsel de-Googled memilih konfigurasi seperti itu karena mereka meninjau dan tidak menyetujui praktik data Play Services
  • Sistem baru ini pada dasarnya memperlakukan ketiadaan perangkat lunak proprietari Google sebagai sesuatu yang mencurigakan, sehingga merugikan pilihan tersebut

Eksklusi yang dipilih pengembang web

  • Situs web yang mengadopsi reCAPTCHA ini pada dasarnya mengirim sinyal bahwa mereka tidak menyambut pengguna Android de-Googled
  • Kelompok pengguna ini memang masih kecil saat ini, tetapi merupakan kelompok yang paling sensitif terhadap cara situs web menangani data
  • Kelompok ini kemungkinan besar tidak akan mudah menyerah pada persyaratan Google Play Services

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Komentar Hacker News

  • reCAPTCHA baru ini pada dasarnya tampaknya dipahami sebagai attestasi jarak jauh (remote attestation)
    Attestasi jarak jauh tidak menggunakan tanda tangan buta, karena jika itu dilakukan maka bisa dipanen ulang dalam skala besar. Jadi jika server Google bersekongkol, secara teknis mereka bisa mengikat perangkat dan subjek attestasi: alurnya adalah EK (kunci privat tetap yang ditanam permanen) → AIK (kunci identitas sementara di area aman, ditandatangani server Google) → attestasi (ditandatangani AIK)
    Jika server Google mencatat konversi EK → AIK, mereka bisa dengan mudah melacak attestasi tertentu kembali ke EK perangkat. Itulah sebabnya hampir tidak ada layanan online yang menyediakan attestasi jarak jauh palsu, dan tampaknya ke depan juga akan tetap sulit ditemukan. Langkah berikutnya dalam menjalankan layanan seperti itu adalah Google menjadi pelanggan lalu memasukkan semua perangkat ke daftar blokir
    Jika tidak ada langkah khusus pada reCAPTCHA baru ini, ini bukan cuma mengunci layanan internet di balik chip TPM, tetapi juga menyerahkan anonimitas kepada Google. Kecuali Anda bisa mendapatkan perangkat sementara yang tak dapat dilacak untuk tiap layanan, pendekatan ini memungkinkan semua akun di berbagai layanan saling diikat. Ini mirip verifikasi usia; sekalipun tampaknya layanan harus bekerja sama untuk mengaitkan sesi reCAPTCHA dengan pendaftaran, hanya dari waktu pendaftaran saja himpunan anonim kemungkinan besar sudah hampir runtuh

    • Jika Anda menjalankan situs web, tampaknya juga mudah untuk mengunggah kode yang sama ke situs Anda sendiri lalu meneruskan permintaan attestasi ke orang lain, sehingga perangkat merekalah yang diblokir oleh Google, bukan perangkat Anda
    • Jika perusahaan seperti ini ada, saya tidak paham apa gunanya bergantung pada TPM. Masa depan bot yang didanai VC tampak cerah
      https://doublespeed.ai/
    • Tugas “tafsirkan kode QR ini” sepertinya bahkan tidak akan masuk 500 ribu besar daftar “pekerjaan yang bisa dilakukan manusia lebih baik daripada komputer”
    • Dalam dokumentasi reCAPTCHA saya tidak melihat persyaratan bahwa dukungan attestasi perangkat keras itu wajib; Play Services saja tampaknya sudah cukup
      Kemungkinan besar Google akan melakukan attestasi dari jarak jauh, dan menggunakan aplikasi yang punya akses luar biasa besar ke ponsel seperti Play Services untuk menghubungkan berbagai data. Bisa jadi dalihnya adalah agar bisa menilai “kemanusiaan” dengan lebih baik, termasuk aktivitas lokal di ponsel
      Bagi orang yang memakai akun Google, mungkin tidak ada perbedaan besar dari sisi data yang dikumpulkan
      Dengan cara seperti ini, secara teori pemalsuan mungkin saja, tetapi dari sudut pandang Google akan mudah mendeteksi attestasi yang dipakai bersama oleh banyak orang
      Ini pada dasarnya pembaruan atas sistem yang sudah sangat kasar, jadi keamanan absolut belum benar-benar dibutuhkan, tetapi pengelakannya kemungkinan akan menjadi sangat sulit
    • Jika Google tidak meminta pengguna iPhone memasang perangkat lunak Google untuk lolos uji, apakah ponsel Android tanpa Google bisa menyamar sebagai iPhone?

  • Saya tidak memakai Android sekarang, hampir 10 tahun juga tidak memakai Android yang berisi Google, dan ke depan pun tidak akan. Jika ini garis yang harus dijaga sampai akhir, ya begitu saja
    Saya juga tidak akan memakai attestasi perangkat keras, entah itu dikendalikan Google atau bukan. Bahkan kalau saya punya ponsel Android tersertifikasi Google yang tidak di-root, menurut saya tetap jangan digunakan

    • Kalau aplikasi fintech berhenti bekerja dan membuat orang tidak bisa menerima uang, itu tidak lagi sekadar masalah yang menarik. Karena itu perlu regulasi
      Hanya saja, saya ragu para politisi akan berani melawan perusahaan iklan. Mereka pelanggan para politisi itu

  • Saya menyimpan Android lama murah sebagai cadangan, dan belakangan pindah ke GrapheneOS. Saya hanya menyisakan satu profil Google, dipakai untuk Uber, Google Chat kantor, dan peta
    Satu bank bahkan menolak berjalan meski layanan Google tersedia, jadi saya ganti bank. Sebagian besar penggunaan seluler saya pindahkan ke yang self-hosted, dan saya menata agar hal-hal seperti teks penuh freshrss, pengelola kata sandi, kalender, pengelola tugas, dan lainnya tidak langsung terekspos ke internet
    Agak merepotkan, tetapi saya senang memulai perjalanan ini. Sepertinya lama-lama saya akan makin menghindari internet itu sendiri

    • Apa alternatif terbaik untuk Google Drive? Saya juga sudah menempuh jalan ini, tetapi Samba kadang agak merepotkan

  • archive.is meminta pemindaian kode QR, dan tindakan ini di balik Cloudflare terasa sangat memalukan. Apakah ini memaksa KYC pada pengunjung situs web? Apa mereka waras?
    Jika didorong ke arah ini, web akan rusak. Apakah ratusan juta situs web tiba-tiba akan memaksa KYC?
    https://ibb.co/X9Q6Y84
    Alasan saya menyebutnya KYC adalah karena ada sangat sedikit cara nonkriminal untuk mendapatkan SIM tanpa KYC dan membuat akun Google untuk Play Store tanpa nomor telepon. Kalau begitu, setiap kunjungan ke situs web akan melekat ke identitas nyata
    Karena saya tidak memakai Android bawaan, saat ini saya benar-benar tidak bisa mengakses banyak situs web. Ini benar-benar tidak masuk akal

    • Tulisannya berbunyi “reCAPTCHA tidak membagikan detail Anda dengan situs ini”, tetapi tidak ada kalimat bahwa ia tidak membagikannya dengan Google. Jadi artinya memang dibagikan?
    • Ini benar-benar buruk :-(
      Khususnya di tempat seperti archive.is, tampaknya akan jauh lebih sulit mengakses internet tanpa ponsel
      Saya tidak tahu seberapa relevan ini dengan pembahasan, tetapi kalau membantu, saya membuat proyek yang bisa mengarsipkan halaman archive.is ke archive.org/Wayback Machine. Proyek itu memakai singlefile
      Sepertinya komunitas bisa memakai hal seperti ini dalam skala besar. Semoga archive.is memperbaiki masalah permintaan kode QR ini, dan ini tidak menjadi masalah permanen
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Saya tidak tahu kenapa mereka tidak mengadopsi Private Access Tokens. Itu juga tidak hebat, tetapi setidaknya bisa dikemas seperti ini: pura-pura tujuan utamanya bukan melanggar privasi orang, memakai alasan klasik “Apple juga melakukannya”, pura-pura berorientasi standar, dan mempromosikannya sebagai fitur yang sepenuhnya transparan bagi pengguna akhir
    Kalau begitu, mereka mungkin tetap bisa mencapai semacam attestasi perangkat sambil menghadapi penolakan yang jauh lebih kecil. Tapi tampaknya itu memang bukan tujuan sebenarnya

    • Pada dasarnya itu tidak menyelesaikan apa pun. Mereka ingin mengidentifikasi orang tertentu atau setidaknya perangkat yang relatif mahal, sehingga bila diblokir akan tetap diblokir terus
    • Mungkin ini sindrom Not Invented Here?

  • Ini sudah melewati batas di mana pemerintah harus turun tangan dan melarang keras atau mendenda Google. Ini adalah perilaku monopolis

    • Sifat monopolisnya terlihat dari fakta bahwa kalau membuka situs dokumentasinya, setengah videonya membahas cara menghubungkan fitur ini dengan Google Analytics
      Strukturnya adalah memperkuat monopoli pencarian dan iklan memakai produk lain
      Jadi orang tidak bisa mengeruk konten untuk membuat Google atau Gemini yang lebih baik, tidak bisa membuat sistem operasi yang bersaing dengan Google atau Apple, dan juga tidak bisa membuat pesaing Google Analytics
      Ini jelas antipersaingan
    • Justru pemerintah yang paling membutuhkan hal seperti ini. Mereka ingin tahu siapa saja pembangkang potensial maupun yang sedang aktif
    • Di sini tampaknya ada dasar yang jelas untuk penyelidikan atas tying ilegal atau penyalahgunaan kekuatan pasar. Semoga FTC juga memperhatikan ini
    • Malah pemerintah menggunakan hal seperti ini juga di situs .gov dan memaksakannya kepada kita

  • Apakah ada yang tahu apa yang berubah di iOS 16.5 sehingga Google berhenti mewajibkan pemasangan aplikasi? Kelihatannya terkait dengan attestasi jarak jauh Apple, yaitu Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Ini tipikal aksi menendang tangga setelah naik, untuk menghalangi agen AI pesaing sambil memastikan akses untuk pihak sendiri
    Pasar agen otonom yang menyediakan layanan dan mengerjakan tugas online akan sangat besar, jadi mereka butuh kartu tawar agar bot mereka sendiri tidak diblokir pada aset yang dijaga Amazon, Cloudflare, Microsoft, dan lainnya

  • Baru-baru ini saya membantu anggota keluarga yang bingung menghapus dua akun Google Cloud yang bahkan tidak mereka tahu keberadaannya. Mereka baru sadar setelah menerima email bahwa reCAPTCHA akan diintegrasikan ke produk Google lain
    Saya sama sekali tidak tahu apa yang terjadi. Dugaan terbaik saya sejauh ini adalah mereka menyelesaikan CAPTCHA saat login ke akun Google di browser yang sama, lalu menekan tombol yang benar-benar salah. Aneh sekali

    • Mungkin itu playground AI Studio? Tampaknya semuanya sudah diintegrasikan

  • Agar adil, sudah ada aplikasi yang mewajibkan ponsel saat pendaftaran. Misalnya VK dan Telegram
    Google juga tampaknya mewajibkan pemindaian kode QR untuk pendaftaran akun, jadi kalau memang ada tujuan tertentu, mungkin lebih mudah langsung membeli akun Google di pasar gelap
    Sekarang ini tidak ada yang lagi percaya pada browser web