reCAPTCHA baru mengharuskan ponsel yang disetujui untuk bisa lolos

 (cybernews.com)
2 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • reCAPTCHA baru dari Google mengharuskan verifikasi dengan memindai kode QR menggunakan perangkat mobile yang kompatibel, bahkan saat pengguna memakai desktop atau laptop
  • GrapheneOS memperingatkan bahwa tanpa perangkat iOS atau Android yang memasang Google Play Services, akses ke layanan online bisa terblokir
  • Daftar dukungan Google hanya mencakup Android dengan Google Play Services serta perangkat iOS/iPadOS, sehingga ponsel Android deGoogled dan sejenisnya tidak dapat menyelesaikan verifikasi
  • Google menilai metode berbasis kode QR ini diperlukan untuk mencegah agen AI yang mudah menyelesaikan tantangan lama, serta membuat penipuan otomatis menjadi tidak layak secara ekonomi
  • Di Hacker News, X, Reddit, dan lainnya, penolakan meningkat karena tuntutan attestation jarak jauh dan perangkat terautentikasi dinilai membatasi kebebasan komputasi dan persaingan pasar mobile, bukan sekadar meningkatkan keamanan

Apa yang berubah - pembatasan perangkat pada reCAPTCHA baru

  • Strukturnya kini mengharuskan kepemilikan Android atau iPhone yang disetujui untuk membuktikan bahwa pengguna adalah manusia, dengan pengguna harus memindai kode QR menggunakan "perangkat mobile yang kompatibel"
    • GrapheneOS memperingatkan bahwa pengguna OS dan perangkat yang berfokus pada privasi akan dikecualikan dari verifikasi
  • Perubahan terbaru membuat perangkat dan sistem operasi arbitrer seperti ponsel Android deGoogled tidak lagi dapat menyelesaikan verifikasi reCAPTCHA Google
  • Daftar perangkat yang bisa menyelesaikan verifikasi dibatasi hanya untuk Android dengan Google Play Services dan perangkat iOS/iPadOS
  • reCAPTCHA adalah alat keamanan yang digunakan oleh jutaan situs web dan layanan utama untuk membedakan manusia dari bot
    • Biasanya berjalan diam-diam di latar belakang, tetapi jika ada indikasi mencurigakan, sistem akan menampilkan tantangan seperti mengenali hidran atau lampu lalu lintas

  • Kritik dari GrapheneOS

    • Dalam pernyataan publiknya, GrapheneOS menyebut langkah ini sebagai sesuatu yang "sangat anti-persaingan"
    • "Kontrol atas reCAPTCHA menempatkan Google pada posisi untuk dapat mewajibkan iOS atau perangkat Android tersertifikasi agar orang bisa menggunakan wilayah web yang sangat luas"
    • Mereka menganggap perubahan ini sebagai perluasan dari attestation berbasis perangkat keras, yang makin menyingkirkan persaingan pada hardware dan OS
      • attestation : metode pembuktian kriptografis melalui chip keamanan bawaan bahwa hardware tersebut adalah perangkat asli
    • "Tujuan sistem ini adalah mencegah penggunaan hardware dan software yang tidak disetujui Apple atau Google, dan ini secara keliru dipresentasikan sebagai fitur keamanan"
      • "Perangkat yang tidak ditambal selama 10 tahun tetap diizinkan, sementara OS yang jauh lebih aman justru diblokir", dan mereka mengklaim tujuannya adalah pemaksaan monopoli lewat lisensi Google Mobile Services

  • Cloud Fraud Defense dan tantangan tahan-AI

    • reCAPTCHA baru ini merupakan bagian dari platform Cloud Fraud Defense yang diumumkan pada 22 April, dirancang untuk memverifikasi legitimasi bot, manusia, dan agen AI
    • Google menjelaskan bahwa "meningkatnya otomatisasi yang canggih menuntut perubahan mendasar dalam manajemen risiko"
    • Daftar dukungan hanya memuat perangkat Android dengan Google Play Services serta perangkat iOS/iPadOS
    • Pengelola situs web dapat menggunakan kontrol terperinci untuk mengizinkan atau memblokir bot dan agen AI berdasarkan kondisi seperti skor risiko, jenis otomatisasi, dan identitas agen
    • CAPTCHA baru berbasis kode QR ini ditujukan untuk memblokir agen AI yang dapat dengan mudah menyelesaikan tantangan lama
      • Google menjelaskan bahwa "tantangan mitigasi tahan-AI untuk membuktikan keberadaan manusia ini dirancang agar penipuan otomatis menjadi tidak layak secara ekonomi"
    • Google memindahkan pelanggan reCAPTCHA yang ada ke Fraud Defense tanpa tindakan tambahan atau perubahan harga
    • Fitur ini telah diam-diam diluncurkan setidaknya sejak Oktober 2025, ketika posting blog saat itu mengumumkan pendekatan kode QR yang memberikan "keamanan tahan-AI yang lebih kuat"
      • Bahkan saat menjelajah di PC atau Mac, campur tangan perangkat mobile fisik disebut memberikan "attestation dengan tingkat keyakinan tinggi bahwa ada manusia yang unik"
    • GrapheneOS menjelaskan bahwa ini berarti "memperkenalkan persyaratan attestation hardware ke Windows, desktop Linux, OpenBSD, dan lainnya, dengan mewajibkan pemindaian QR dari smartphone tersertifikasi. Ini juga bisa diperluas lebih jauh"
    • Para advokat privasi memperingatkan bahwa semakin banyak layanan yang menuntut Apple App Attest atau Google Play Integrity, sehingga memperkokoh duopoli pasar mobile
      • GrapheneOS menyebut bahwa "UE mendorong persyaratan seperti ini pada pembayaran digital, ID, verifikasi usia, dan lain-lain, dan banyak aplikasi pemerintah UE mewajibkannya"

Penolakan dan kekhawatiran

  • Pengelola situs web memutuskan solusi CAPTCHA apa yang dipakai dan seberapa ketat penerapannya
  • Para advokat privasi memperingatkan bahwa meningkatnya tuntutan Apple App Attest atau Google Play Integrity memperkokoh dominasi dua pemain besar di pasar mobile
  • GrapheneOS menilai UE memimpin arus penerapan persyaratan ini pada pembayaran digital, ID, verifikasi usia, dan lain-lain, dan banyak aplikasi pemerintah UE juga mewajibkannya

  • Reaksi komunitas teknis dan media sosial

    • Di komunitas teknis Hacker News, banyak yang menilai inti perdebatan ini bukan keamanan, melainkan perebutan kuasa
    • Seorang pengguna Hacker News menulis, “Attestation jarak jauh akan menjadi cara kebebasan komputasi kita mati”
    • Di X, posting terkait meraih jutaan tayangan dan puluhan ribu interaksi
    • International Cyber Digest menulis bahwa pengguna ponsel Android deGoogled seperti GrapheneOS, CalyxOS, dan /e/OS akan diblokir dari jutaan situs web kecuali mereka memasang Google Play Services yang sengaja mereka hapus
    • International Cyber Digest menyebut bahwa "Google kini secara default memperlakukan privasi sebagai perilaku yang mencurigakan"

  • Upaya serupa di masa lalu dan kekhawatiran keamanan

    • Perusahaan privasi online Mega menyatakan bahwa Google pernah mencoba menerapkan langkah serupa bernama Web Environment Integrity pada 2023, tetapi menariknya setelah muncul penolakan publik
      • "Kali ini, alih-alih proposal publik, mereka meluncurkannya sebagai produk komersial. Metode CAPTCHA lama masih bisa diakses sebagai fallback untuk sementara, tetapi tidak jelas sampai kapan akan dipertahankan"
      • "Tidak seorang pun tanpa perangkat tersertifikasi dapat menyelesaikan verifikasi"
    • Diskusi serupa juga berlanjut di Reddit
      • Seorang pengguna Reddit menolak keterlibatan kode QR dalam CAPTCHA dan memperingatkan bahwa ini adalah cara lain untuk pengawasan, seperti verifikasi usia dan anti-VPN
      • Sebagian pengguna khawatir reCAPTCHA QR baru ini dapat membuka jalur serangan baru bagi penipu, seperti verifikasi kode QR palsu dan peniruan alur verifikasi
      • "Orang-orang yang merancang ini sama sekali tidak memikirkan keamanan. Para penipu pasti akan sangat senang"

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Komentar Lobste.rs

  • Dari sudut pandang keamanan perilaku pengguna, ini tampak seperti kemunduran besar
    Sekarang penyerang bisa memalsukan kode QR reCaptcha untuk mengarahkan pengguna ke mana pun yang mereka mau, dan tidak ada jaminan atau ekspektasi bahwa pengguna bisa memeriksa apakah kode ini asli
    Bahkan sudah ada halaman Cloudflare Turnstile palsu yang meminta pengguna menekan Windows+R lalu menempelkan sesuatu, jadi rasanya hampir mustahil mendidik pengguna soal ini

    • Ini cara yang bagus untuk menyerang autentikasi dua faktor ketika faktor keduanya adalah ponsel
      Sekarang penyerang bisa mengarahkan kedua faktor autentikasi ke tempat yang mereka kendalikan
    • Mengerikan
      Kukira akan perlu aplikasi reCaptcha khusus untuk memindai kode QR, tapi ternyata itu hanya kode QR yang berisi URL biasa
    • Rasanya ini bisa ditentang di tingkat organisasi dengan argumen seperti “ini tidak bisa dibedakan dari phishing sungguhan dan pengguna akan jadi korban besar-besaran”
      Tapi kalau mereka sudah mulai mencobanya, entah mau didengarkan atau tidak

  • Saat pertama kali melihat ini, aku kaget karena kukira ini upaya phishing yang ceroboh
    Waktu itu aku sedang memakai Tor, dan kalau memindai kode dengan ponsel yang terhubung ke akun Google, anonimitas itu bisa hilang
    Memang bisa kembali ke CAPTCHA visual, tapi aku khawatir opsi itu juga akan segera hilang
    Kalau begini, akan jauh lebih sulit untuk menggunakan internet secara anonim
    Klaim “AI-resistant” juga omong kosong
    Masa mereka benar-benar tidak membayangkan proses pemindaian kode QR bisa diotomatisasi?

    • Memang itu tujuannya
      Tujuan akhirnya adalah menyingkirkan semua perangkat yang memberi akses bebas ke komputasi umum, dan menghapus anonimitas semua pengunjung
    • Tentu mereka pasti tahu bahwa pemindaian kode QR bisa diotomatisasi
      Tapi seperti yang dikatakan di tulisan itu, proses ini menuntut penggunaan perangkat keras tertentu, dan inti utamanya adalah bahwa perangkat keras itu bisa dibuktikan secara fisik
      Tujuannya adalah membuat ekspansi skala menjadi mahal
      Jika sebuah ponsel diblokir, itu bukan soal me-reset container Docker lagi, melainkan harus mencari ponsel baru
      Aku tidak tahu persis bagaimana kode QR itu bekerja, atau apakah mereka memakai pengenal yang stabil
      Mungkin ada opsi yang kurang invasif seperti penghitung TPM, atau bisa juga memakai pendekatan yang sepenuhnya berbeda
      Meski begitu, menurutku alasan mereka mewajibkan perangkat keras tertentu adalah agar pembuktian perangkat keras dimungkinkan
      Ini pada dasarnya mencapai tujuan yang sama dengan proposal web environment integrity, hanya dengan cara yang lebih merepotkan
      Pendekatan itu dihentikan karena penolakan terhadap WEI, tapi masalah serangan sybil yang ingin dipecahkannya tidak hilang, dan jika biaya serangan sybil tanpa batas nyaris 0, web dalam bentuknya sekarang pada dasarnya tidak bisa dipertahankan
      Jadi mereka akan terus mencoba menyelesaikannya dengan satu cara atau lainnya

  • Aku biasanya menjelajah web di desktop atau laptop, dan tidak berniat memindai kode QR dari situs web acak dengan ponselku
    Kalau begitu, aku akan pergi ke tempat lain saja

  • Aku memakai GrapheneOS dan semoga masih bisa terus memakainya
    Rasanya makin lama makin perlu perangkat sekunder, untuk aplikasi perbankan dan sekarang bahkan untuk CAPTCHA, dan itu sangat boros

    • Justru makin penting untuk mengatakan tidak pada layanan yang menuntut hal seperti ini

  • Aku tidak paham bagaimana ini bekerja
    Bagaimana mereka memverifikasi perangkat apa yang kupakai untuk memindai kode itu?
    Kelihatannya pasti mudah dipalsukan, jadi aku tidak mengerti

  • Aku cuma punya feature phone, jadi sekarang aku tidak bisa memakai situs reCaptcha?

  • Apa para kapitalis teknologi tidak berhasil menyelesaikan masalah “menghilangkan anonimitas pengguna dari pola posting” dengan cukup cepat?