Google thay đổi để reCAPTCHA không hoạt động với người dùng Android đã de-Googled

 (reclaimthenet.org)
2 điểm bởi GN⁺ 2026-05-09 | 5 bình luận | Chia sẻ qua WhatsApp
  • Google đã gắn reCAPTCHA thế hệ mới cho Android với Google Play Services, khiến người dùng Android de-Googled tự động thất bại ở bước xác minh bổ sung
  • Để chứng minh mình là con người trên Android, người dùng phải chạy khung ứng dụng độc quyền của Google là Google Play Services 25.41.30 trở lên
  • Nếu bị đánh giá là có hoạt động đáng ngờ, hệ thống sẽ yêu cầu quét mã QR thay vì câu đố hình ảnh trước đây, và quá trình này chỉ hoàn tất khi Play Services giao tiếp với máy chủ của Google
  • Thiết bị chạy iOS 16.4 trở lên có thể vượt qua cùng bước xác minh mà không cần phần mềm Google bổ sung, tạo ra một cấu trúc bất đối xứng chỉ khóa người dùng Android từ chối Play Services
  • Vì reCAPTCHA đứng trước hàng triệu website, thay đổi này tạo tiền lệ buộc việc truy cập web cơ bản phải chạy phần mềm Google và truyền dữ liệu đến máy chủ Google

Cơ chế xác minh bị ràng buộc với Google Play Services

  • Trên Android, quá trình chứng minh là con người phụ thuộc vào khung ứng dụng độc quyền của Google là Google Play Services 25.41.30 trở lên
  • Khi reCAPTCHA đánh giá có hoạt động đáng ngờ, nó sẽ yêu cầu quét mã QR thay cho câu đố hình ảnh trước đây
  • Việc quét QR đòi hỏi Play Services chạy nền phải giao tiếp với máy chủ Google, nên trên GrapheneOS hoặc các ROM tùy biến khác đã gỡ phần mềm Google, việc xác minh sẽ thất bại
  • Người dùng sử dụng điện thoại de-Googled sẽ tự động thất bại khi hệ thống yêu cầu xác minh bổ sung

Google Cloud Fraud Defense và quá trình triển khai

  • Google đã công bố hệ thống rộng hơn là Google Cloud Fraud Defense tại Cloud Next ngày 23 tháng 4
  • Hệ thống này được giới thiệu như một nền tảng độ tin cậy để xử lý cả các tác nhân AI tự trị lẫn bot truyền thống
  • Việc quá trình chứng minh là con người trên Android bị gắn với việc chạy phần mềm độc quyền của Google không được nêu rõ ở phần công bố chính
  • Thay đổi này không xuất hiện đột ngột; trong bản chụp Internet Archive tháng 10 năm 2025 của cùng trang hỗ trợ, yêu cầu Play Services 25.39.30 đã được hiển thị
  • Người dùng của subreddit degoogle trên Reddit đã xác nhận điều này, và sau đó thông tin được biết đến rộng rãi hơn qua các bài viết của PiunikaWeb và Android Authority

Khác biệt giữa iOS và Android

  • Các thiết bị Apple chạy iOS 16.4 trở lên có thể hoàn tất cùng bước xác minh mà không cần cài thêm ứng dụng
  • Google không yêu cầu người dùng iPhone cài phần mềm Google để vượt qua reCAPTCHA
  • Điều này tạo ra một cấu trúc bất đối xứng, trong đó chỉ người dùng Android từ chối Play Services bị khóa
  • Sự khác biệt này trông giống kiểm soát hệ sinh thái hơn là bảo mật

Vấn đề truy cập web và truyền dữ liệu

  • reCAPTCHA hiện đứng trước hàng triệu website
  • Khi Google ràng buộc việc xác minh với Play Services, điều đó tạo tiền lệ rằng để truy cập nội dung web cơ bản, người dùng phải chạy phần mềm Google và truyền dữ liệu đến máy chủ Google
  • Người dùng điện thoại de-Googled chọn cấu hình như vậy vì họ không đồng ý với các thực hành dữ liệu của Play Services
  • Hệ thống mới mặc định xem việc không có phần mềm độc quyền của Google là đáng ngờ, từ đó gây bất lợi cho lựa chọn đó

Sự loại trừ mà các nhà phát triển web đang lựa chọn

  • Các website triển khai reCAPTCHA này sẽ phát đi tín hiệu rằng họ không chào đón người dùng Android de-Googled
  • Nhóm người dùng này hiện còn nhỏ, nhưng lại là nhóm nhạy cảm nhất với cách website xử lý dữ liệu
  • Nhóm này nhiều khả năng sẽ không dễ dàng nhượng bộ trước yêu cầu dùng Google Play Services

Bài viết liên quan

5 bình luận

 
holywork 28 ngày trước

Đã có báo cáo nào về việc không thể sử dụng các thử thách hình ảnh hoặc âm thanh hiện có chưa?
 
holywork 28 ngày trước

Không rõ đây là sự cường điệu để câu click, hay đơn giản là kiểu cứ hễ Google làm gì thì mặc định nhìn theo hướng tiêu cực, nhưng thật khó hiểu vì sao một khẳng định vô căn cứ như "When the system flags suspicious activity, it drops the old image puzzles." lại cứ tiếp tục bị sao chép mà không qua kiểm chứng.

Có lẽ đây gần như là một sự hiểu nhầm bắt nguồn từ dòng "To complete the mobile verification, you must use a compatible mobile device.". Câu này có nghĩa là "để sử dụng xác minh trên di động thì cần một thiết bị tương thích", chứ không có nghĩa là "giờ chỉ được dùng xác minh trên di động".

Tài liệu chính thức cũng chỉ giải thích xác minh trên di động được hỗ trợ trong những môi trường nào, chứ không nói rằng thử thách hình ảnh cũ đã biến mất. Ngay cả khi xem Cloud Console hay tài liệu dành cho nhà phát triển, cũng không thấy nội dung nào nói rằng quản trị viên trang web hoặc nhà phát triển có thể giới hạn loại thử thách. Thực tế, nếu xem bài báo liên quan, bài đăng trên /r/degoogle, trang trợ giúp chính thức của Google, và cả kết quả tôi tự kiểm tra, thì bên dưới mã QR vẫn liên tục hiển thị biểu tượng hình con mắt hoặc biểu tượng tai nghe, và thông qua đó vẫn có thể dùng nguyên các thử thách cũ.

Nói cách khác, xác minh trên di động gần giống một phương thức xác thực bổ sung được cung cấp để thuận tiện hơn trên các thiết bị được hỗ trợ, và chưa có đủ căn cứ để khẳng định kiểu như "thiết bị de-googled giờ không thể vượt qua reCAPTCHA nữa".

Thật khó hiểu trước kiểu thái độ xem bất cứ điều gì Google làm vì chống gian lận hay cải thiện trải nghiệm người dùng đều là cái ác, trong khi lại coi việc lan truyền thông tin chưa được xác minh là chấp nhận được. Nếu muốn chỉ trích, ít nhất chẳng phải nên kiểm tra sự thật trước sao? Việc lặp đi lặp lại những thông tin phóng đại mà không phân biệt như vậy có vẻ gần với việc gieo rắc nỗi sợ hơn là phê phán.
 
ndrgrd 28 ngày trước

Chuyện hạn chế cài ứng dụng cũng vậy, giờ phải xem Android là một hệ sinh thái đóng rồi.
 
GN⁺ 2026-05-09
Ý kiến trên Hacker News

  • reCAPTCHA mới này về cơ bản được hiểu là chứng thực từ xa (remote attestation)
    Chứng thực từ xa không dùng chữ ký mù, vì nếu làm vậy thì có thể bị nhân bản ở quy mô lớn. Vì thế nếu máy chủ Google thông đồng, họ có thể ràng buộc thiết bị với đối tượng được chứng thực theo mặt kỹ thuật: luồng sẽ là EK (khóa riêng cố định được ghi sẵn) → AIK (khóa nhận dạng tạm thời trong vùng bảo mật, do máy chủ Google ký) → chứng thực (do AIK ký)
    Nếu máy chủ Google ghi lại phép chuyển EK → AIK thì có thể dễ dàng lần ngược một chứng thực cụ thể về EK của thiết bị. Vì vậy gần như không có dịch vụ trực tuyến nào cung cấp chứng thực từ xa giả, và có lẽ sau này cũng khó thấy. Bởi bước tiếp theo để vận hành dịch vụ như vậy là Google trở thành khách hàng và đưa toàn bộ thiết bị vào danh sách chặn
    Nếu reCAPTCHA mới này không có biện pháp đặc biệt nào, thì đây không chỉ là khóa các dịch vụ internet sau chip TPM mà còn là giao tính ẩn danh cho Google. Trừ khi bạn có được các thiết bị tạm thời không thể bị theo dõi cho từng dịch vụ, cách này cho phép liên kết mọi tài khoản của bạn trên nhiều dịch vụ với nhau. Nó giống xác minh độ tuổi; dù có vẻ như dịch vụ phải hợp tác để nối phiên reCAPTCHA với đăng ký, nhưng chỉ riêng thời điểm đăng ký cũng đủ để gần như làm sụp đổ tập ẩn danh

    • Nếu bạn vận hành một website thì có vẻ cũng dễ đăng cùng đoạn mã đó lên site của mình để chuyển tiếp yêu cầu chứng thực sang người khác, rồi khiến thiết bị của người đó bị Google chặn thay vì thiết bị của bạn
    • Nếu những công ty như thế này tồn tại thì tôi không hiểu dựa vào TPM còn có ý nghĩa gì. Tương lai của các bot được VC rót vốn có vẻ rất sáng sủa
      https://doublespeed.ai/
    • Nhiệm vụ “giải mã mã QR này” có lẽ còn không lọt vào top 500 nghìn việc “con người làm tốt hơn máy tính”
    • Trong tài liệu reCAPTCHA, tôi không thấy yêu cầu bắt buộc phải hỗ trợ chứng thực phần cứng, và chỉ riêng Play Services có vẻ cũng đã đủ
      Có lẽ Google sẽ chứng thực từ xa, dùng một ứng dụng có quyền truy cập cực lớn vào điện thoại như Play Services để nối nhiều nguồn dữ liệu với nhau. Có thể họ vin vào lý do muốn đánh giá “tính người” tốt hơn, kể cả từ hoạt động cục bộ trên điện thoại
      Với người dùng tài khoản Google thì xét về lượng dữ liệu bị thu thập có lẽ cũng không khác biệt nhiều
      Nếu làm theo cách này thì về lý thuyết vẫn có thể giả mạo, nhưng từ góc nhìn của Google sẽ khá dễ phát hiện các chứng thực bị nhiều người dùng chung
      Vốn dĩ đây là bản cập nhật cho một hệ thống rất sơ sài nên chưa cần mức an toàn tuyệt đối, nhưng khả năng vượt qua có thể sẽ trở nên cực kỳ khó
    • Nếu Google không yêu cầu người dùng iPhone cài phần mềm Google để vượt qua bài kiểm tra, liệu điện thoại Android de-Googled có thể tự làm mình trông giống iPhone không?

  • Hiện tôi không dùng Android, gần 10 năm rồi cũng hầu như không dùng Android có Google, và sau này cũng sẽ không dùng. Nếu đây là ranh giới phải giữ đến cùng thì tôi sẽ làm vậy
    Dù có do Google kiểm soát hay không thì tôi cũng sẽ không dùng chứng thực phần cứng. Kể cả có một điện thoại Android được Google chứng nhận, không root, tôi vẫn cho là không nên dùng

    • Khi app fintech không chạy và bạn không nhận được tiền nữa thì đó không còn là vấn đề thú vị nữa. Vì vậy cần có quy định quản lý
      Chỉ là tôi không nghĩ giới chính trị gia sẽ ra tay với một công ty quảng cáo. Họ là khách hàng của họ mà

  • Tôi giữ một máy Android cũ giá rẻ làm dự phòng, gần đây thì chuyển sang GrapheneOS. Chỉ giữ đúng một hồ sơ Google để dùng Uber, Google Chat của công ty và bản đồ
    Có một ngân hàng từ chối hoạt động ngay cả khi đã có dịch vụ Google, nên tôi đổi ngân hàng. Phần lớn việc sử dụng di động tôi đã chuyển sang tự lưu trữ, và cấu hình freshrss full-text, trình quản lý mật khẩu, lịch, quản lý công việc... theo hướng không phơi trực tiếp ra internet
    Cũng hơi phiền thật, nhưng tôi thấy mừng vì đã bắt đầu hành trình này. Có vẻ ngày càng phải tránh chính internet

    • Đâu là giải pháp thay thế tốt nhất cho Google Drive? Tôi cũng đã đi theo hướng này, nhưng Samba đôi lúc khá phiền

  • archive.is đã yêu cầu quét mã QR, và trò này đứng sau Cloudflare thật đáng xấu hổ. Họ đang ép khách truy cập website phải KYC à? Có tỉnh táo không vậy?
    Nếu tiếp tục đẩy theo hướng này thì web sẽ hỏng mất. Hàng triệu website rồi sẽ đột nhiên bắt buộc KYC hết sao?
    https://ibb.co/X9Q6Y84
    Lý do tôi gọi đây là KYC là vì có rất ít cách hợp pháp, không mang tính tội phạm để có SIM mà không cần KYC và tạo tài khoản Google cho Play Store mà không cần số điện thoại. Khi đó mọi lượt truy cập website sẽ gắn với danh tính thật
    Vì tôi không dùng Android thuần Google nên hiện thực tế là không vào được nhiều website. Thật vô lý

    • Câu chữ ghi rằng “reCAPTCHA không chia sẻ thông tin chi tiết của bạn với website này”, nhưng không nói là không chia sẻ với Google. Vậy tức là có chia sẻ à?
    • Cái này thật sự rất tệ :-(
      Đặc biệt với những nơi như archive.is, có vẻ việc dùng internet mà không có điện thoại sẽ ngày càng khó hơn nhiều
      Tôi không rõ liên quan đến cuộc thảo luận đến mức nào, nhưng nếu hữu ích thì tôi đã làm một dự án có thể lưu các trang archive.is vào archive.org/Wayback Machine. Dùng singlefile
      Có vẻ cộng đồng có thể tận dụng thứ này ở quy mô lớn. Hy vọng archive.is sẽ sửa vấn đề yêu cầu mã QR này và nó không trở thành chuyện lâu dài
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Tôi không hiểu vì sao họ không áp dụng Private Access Tokens. Nó cũng không tuyệt vời, nhưng ít nhất còn có thể gói ghém theo kiểu này: giả vờ mục tiêu không phải là xâm phạm quyền riêng tư của mọi người, dùng cái cớ truyền thống “Apple cũng làm vậy”, tỏ ra hướng theo chuẩn, và quảng bá như một tính năng hoàn toàn trong suốt với người dùng cuối
    Nếu làm vậy thì có lẽ họ vẫn đạt được chứng thực thiết bị dưới dạng nào đó mà phản ứng tiêu cực lại ít hơn nhiều. Nhưng có vẻ đó không phải mục tiêu thực sự

    • Về cơ bản nó chẳng giải quyết được gì. Họ muốn nhận diện một người cụ thể, hoặc ít nhất là một thiết bị tương đối đắt tiền, rồi nếu chặn thì có thể giữ nó bị chặn mãi
    • Có phải là hội chứng Not Invented Here không?

  • Chuyện này đã vượt qua ranh giới mà chính phủ nên can thiệp và mạnh tay cấm hoặc phạt Google. Đây là hành vi độc quyền

    • Tính độc quyền thể hiện ngay ở chỗ nếu vào website tài liệu thì một nửa video đều nói về việc nối tính năng này với Google Analytics
      Đây là cấu trúc dùng sản phẩm khác để củng cố thế độc quyền tìm kiếm và quảng cáo
      Bạn không thể thu thập nội dung để tạo ra một Google hay Gemini tốt hơn, không thể tạo hệ điều hành cạnh tranh với Google hay Apple, và cũng không thể tạo đối thủ cạnh tranh của Google Analytics
      Rõ ràng là phản cạnh tranh
    • Chính phủ mới là bên cần thứ này nhất. Vì họ muốn biết ai là người bất đồng tiềm năng hay hiện tại
    • Ở đây có vẻ có cơ sở rất rõ để điều tra vì trói buộc bất hợp pháp hoặc lạm dụng vị thế thống lĩnh thị trường. Hy vọng FTC cũng đang để mắt tới chuyện này
    • Thậm chí chính phủ còn đang dùng những thứ này trên các website .gov và ép chúng ta dùng

  • Có ai biết trên iOS 16.5 đã thay đổi điều gì khiến Google ngừng yêu cầu cài app không? Nhìn qua thì có vẻ liên quan đến chứng thực từ xa của Apple là Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Đây là kiểu đá đổ thang điển hình: chặn AI agent cạnh tranh trong khi vẫn bảo đảm phía mình có quyền truy cập
    Thị trường tác nhân tự động cung cấp dịch vụ và thực hiện tác vụ trực tuyến sẽ rất lớn, nên họ cần quân bài thương lượng để bot của mình không bị chặn khỏi các tài sản do Amazon, Cloudflare, Microsoft... canh giữ

  • Gần đây tôi đã giúp một người thân đang bối rối xóa hai tài khoản Google Cloud mà họ thậm chí không hề biết là tồn tại. Chỉ đến khi nhận email nói reCAPTCHA sẽ được tích hợp vào các sản phẩm Google khác thì họ mới biết
    Tôi hoàn toàn không hiểu chuyện gì đã xảy ra. Phỏng đoán tốt nhất đến lúc này là họ đã đăng nhập tài khoản Google trên cùng trình duyệt trong lúc giải CAPTCHA rồi bấm nhầm một nút cực kỳ tai hại. Thật quái dị

    • Có thể là playground của AI Studio chăng? Trông như mọi thứ đều được tích hợp vào đó

  • Công bằng mà nói thì đã có những app yêu cầu số điện thoại khi đăng ký. Ví dụ VK và Telegram là như vậy
    Google dường như cũng yêu cầu quét mã QR khi đăng ký tài khoản, nên nếu có mục đích gì đó thì mua tài khoản Google trên chợ đen có khi còn dễ hơn
    Ngày nay chẳng ai còn tin trình duyệt web nữa
 
holywork 28 ngày trước

Phản ứng kiểu “Mất trí rồi à?” là sao vậy? Có vẻ như archive.is, từ trước đến nay vẫn cung cấp dịch vụ miễn phí không quảng cáo, đương nhiên phải được hưởng một quyền cơ bản nào đó. Chắc mà chèn quảng cáo vào thì họ cũng sẵn sàng gửi cả lời đe dọa giết người mất.