Google làm hỏng reCAPTCHA đối với người dùng Android de-Googled

 (reclaimthenet.org)
2 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Google đã gắn reCAPTCHA thế hệ mới cho Android với Google Play Services, khiến người dùng Android de-Googled tự động thất bại ở bước xác minh bổ sung
  • Để chứng minh mình là con người trên Android, người dùng phải chạy framework ứng dụng độc quyền của Google là Google Play Services 25.41.30 trở lên
  • Khi bị đánh giá là có hoạt động đáng ngờ, hệ thống sẽ yêu cầu quét mã QR thay cho các câu đố hình ảnh trước đây, và quá trình này chỉ hoàn tất khi Play Services giao tiếp với máy chủ Google
  • Các thiết bị chạy iOS 16.4 trở lên vượt qua cùng bước xác minh mà không cần phần mềm Google bổ sung, nhưng chỉ người dùng Android từ chối Play Services mới bị khóa ngoài, tạo ra một cấu trúc bất đối xứng
  • Vì reCAPTCHA đứng trước hàng triệu website, thay đổi này tạo ra một tiền lệ buộc phải chạy phần mềm Google và gửi dữ liệu tới máy chủ Google để truy cập web cơ bản

Phương thức xác minh bị ràng buộc với Google Play Services

  • Trên Android, quá trình chứng minh là con người phụ thuộc vào framework ứng dụng độc quyền của Google là Google Play Services 25.41.30 trở lên
  • Khi reCAPTCHA đánh giá có hoạt động đáng ngờ, hệ thống sẽ yêu cầu quét mã QR thay cho các câu đố hình ảnh trước đây
  • Việc quét QR đòi hỏi Play Services chạy nền phải giao tiếp với máy chủ Google, nên trên GrapheneOS hoặc các ROM tùy biến khác đã loại bỏ phần mềm Google, việc xác minh sẽ thất bại
  • Người dùng dùng điện thoại de-Googled sẽ tự động thất bại khi hệ thống yêu cầu xác minh bổ sung

Google Cloud Fraud Defense và quá trình triển khai

  • Ngày 23 tháng 4 tại Cloud Next, Google đã công bố hệ thống rộng hơn là Google Cloud Fraud Defense
  • Hệ thống này được giới thiệu là một nền tảng tin cậy để xử lý cả tác nhân AI tự trị lẫn bot truyền thống
  • Việc quy trình chứng minh là con người trên Android bị gắn với việc chạy phần mềm độc quyền của Google không được nêu bật trong công bố này
  • Thay đổi này không xuất hiện đột ngột; trong ảnh chụp Internet Archive tháng 10 năm 2025 của cùng trang hỗ trợ, yêu cầu Play Services 25.39.30 đã được hiển thị
  • Một người dùng trong subreddit degoogle trên Reddit đã xác nhận điều này, và sau đó thông tin được biết đến rộng rãi hơn qua bài viết của PiunikaWeb và Android Authority

Khác biệt giữa iOS và Android

  • Các thiết bị Apple chạy iOS 16.4 trở lên hoàn tất cùng bước xác minh mà không cần cài thêm ứng dụng nào
  • Google không yêu cầu người dùng iPhone cài phần mềm Google để vượt qua reCAPTCHA
  • Điều này tạo ra một cấu trúc bất đối xứng, trong đó chỉ người dùng Android từ chối Play Services bị khóa ngoài
  • Sự khác biệt này trông giống kiểm soát hệ sinh thái hơn là bảo mật

Vấn đề về khả năng truy cập web và truyền dữ liệu

  • reCAPTCHA hiện đứng trước hàng triệu website
  • Khi Google gắn bước xác minh với Play Services, điều đó tạo tiền lệ rằng việc truy cập nội dung web cơ bản đòi hỏi phải chạy phần mềm Google và gửi dữ liệu đến máy chủ Google
  • Người dùng điện thoại de-Googled chọn cấu hình đó vì họ đã xem xét và không đồng ý với các thực hành dữ liệu của Play Services
  • Hệ thống mới mặc định coi trạng thái không có phần mềm độc quyền của Google là đáng ngờ, từ đó gây bất lợi cho lựa chọn này

Sự loại trừ mà các nhà phát triển web sẽ lựa chọn

  • Các website triển khai reCAPTCHA này sẽ phát đi tín hiệu rằng họ không chào đón người dùng Android de-Googled
  • Nhóm người dùng đó hiện còn nhỏ, nhưng lại là nhóm nhạy cảm nhất với cách website xử lý dữ liệu
  • Nhóm này nhiều khả năng sẽ không dễ dàng khuất phục trước yêu cầu phải dùng Google Play Services

Bài viết liên quan

1 bình luận

 
GN⁺ 4 giờ trước
Ý kiến trên Hacker News

  • reCAPTCHA mới này về cơ bản được hiểu là chứng thực từ xa (remote attestation)
    Chứng thực từ xa không dùng chữ ký mù, vì nếu làm vậy thì có thể bị nhân bản ở quy mô lớn. Vì thế nếu máy chủ Google thông đồng, họ có thể ràng buộc thiết bị với đối tượng được chứng thực theo mặt kỹ thuật: luồng sẽ là EK (khóa riêng cố định được ghi sẵn) → AIK (khóa nhận dạng tạm thời trong vùng bảo mật, do máy chủ Google ký) → chứng thực (do AIK ký)
    Nếu máy chủ Google ghi lại phép chuyển EK → AIK thì có thể dễ dàng lần ngược một chứng thực cụ thể về EK của thiết bị. Vì vậy gần như không có dịch vụ trực tuyến nào cung cấp chứng thực từ xa giả, và có lẽ sau này cũng khó thấy. Bởi bước tiếp theo để vận hành dịch vụ như vậy là Google trở thành khách hàng và đưa toàn bộ thiết bị vào danh sách chặn
    Nếu reCAPTCHA mới này không có biện pháp đặc biệt nào, thì đây không chỉ là khóa các dịch vụ internet sau chip TPM mà còn là giao tính ẩn danh cho Google. Trừ khi bạn có được các thiết bị tạm thời không thể bị theo dõi cho từng dịch vụ, cách này cho phép liên kết mọi tài khoản của bạn trên nhiều dịch vụ với nhau. Nó giống xác minh độ tuổi; dù có vẻ như dịch vụ phải hợp tác để nối phiên reCAPTCHA với đăng ký, nhưng chỉ riêng thời điểm đăng ký cũng đủ để gần như làm sụp đổ tập ẩn danh

    • Nếu bạn vận hành một website thì có vẻ cũng dễ đăng cùng đoạn mã đó lên site của mình để chuyển tiếp yêu cầu chứng thực sang người khác, rồi khiến thiết bị của người đó bị Google chặn thay vì thiết bị của bạn
    • Nếu những công ty như thế này tồn tại thì tôi không hiểu dựa vào TPM còn có ý nghĩa gì. Tương lai của các bot được VC rót vốn có vẻ rất sáng sủa
      https://doublespeed.ai/
    • Nhiệm vụ “giải mã mã QR này” có lẽ còn không lọt vào top 500 nghìn việc “con người làm tốt hơn máy tính”
    • Trong tài liệu reCAPTCHA, tôi không thấy yêu cầu bắt buộc phải hỗ trợ chứng thực phần cứng, và chỉ riêng Play Services có vẻ cũng đã đủ
      Có lẽ Google sẽ chứng thực từ xa, dùng một ứng dụng có quyền truy cập cực lớn vào điện thoại như Play Services để nối nhiều nguồn dữ liệu với nhau. Có thể họ vin vào lý do muốn đánh giá “tính người” tốt hơn, kể cả từ hoạt động cục bộ trên điện thoại
      Với người dùng tài khoản Google thì xét về lượng dữ liệu bị thu thập có lẽ cũng không khác biệt nhiều
      Nếu làm theo cách này thì về lý thuyết vẫn có thể giả mạo, nhưng từ góc nhìn của Google sẽ khá dễ phát hiện các chứng thực bị nhiều người dùng chung
      Vốn dĩ đây là bản cập nhật cho một hệ thống rất sơ sài nên chưa cần mức an toàn tuyệt đối, nhưng khả năng vượt qua có thể sẽ trở nên cực kỳ khó
    • Nếu Google không yêu cầu người dùng iPhone cài phần mềm Google để vượt qua bài kiểm tra, liệu điện thoại Android de-Googled có thể tự làm mình trông giống iPhone không?

  • Hiện tôi không dùng Android, gần 10 năm rồi cũng hầu như không dùng Android có Google, và sau này cũng sẽ không dùng. Nếu đây là ranh giới phải giữ đến cùng thì tôi sẽ làm vậy
    Dù có do Google kiểm soát hay không thì tôi cũng sẽ không dùng chứng thực phần cứng. Kể cả có một điện thoại Android được Google chứng nhận, không root, tôi vẫn cho là không nên dùng

    • Khi app fintech không chạy và bạn không nhận được tiền nữa thì đó không còn là vấn đề thú vị nữa. Vì vậy cần có quy định quản lý
      Chỉ là tôi không nghĩ giới chính trị gia sẽ ra tay với một công ty quảng cáo. Họ là khách hàng của họ mà

  • Tôi giữ một máy Android cũ giá rẻ làm dự phòng, gần đây thì chuyển sang GrapheneOS. Chỉ giữ đúng một hồ sơ Google để dùng Uber, Google Chat của công ty và bản đồ
    Có một ngân hàng từ chối hoạt động ngay cả khi đã có dịch vụ Google, nên tôi đổi ngân hàng. Phần lớn việc sử dụng di động tôi đã chuyển sang tự lưu trữ, và cấu hình freshrss full-text, trình quản lý mật khẩu, lịch, quản lý công việc... theo hướng không phơi trực tiếp ra internet
    Cũng hơi phiền thật, nhưng tôi thấy mừng vì đã bắt đầu hành trình này. Có vẻ ngày càng phải tránh chính internet

    • Đâu là giải pháp thay thế tốt nhất cho Google Drive? Tôi cũng đã đi theo hướng này, nhưng Samba đôi lúc khá phiền

  • archive.is đã yêu cầu quét mã QR, và trò này đứng sau Cloudflare thật đáng xấu hổ. Họ đang ép khách truy cập website phải KYC à? Có tỉnh táo không vậy?
    Nếu tiếp tục đẩy theo hướng này thì web sẽ hỏng mất. Hàng triệu website rồi sẽ đột nhiên bắt buộc KYC hết sao?
    https://ibb.co/X9Q6Y84
    Lý do tôi gọi đây là KYC là vì có rất ít cách hợp pháp, không mang tính tội phạm để có SIM mà không cần KYC và tạo tài khoản Google cho Play Store mà không cần số điện thoại. Khi đó mọi lượt truy cập website sẽ gắn với danh tính thật
    Vì tôi không dùng Android thuần Google nên hiện thực tế là không vào được nhiều website. Thật vô lý

    • Câu chữ ghi rằng “reCAPTCHA không chia sẻ thông tin chi tiết của bạn với website này”, nhưng không nói là không chia sẻ với Google. Vậy tức là có chia sẻ à?
    • Cái này thật sự rất tệ :-(
      Đặc biệt với những nơi như archive.is, có vẻ việc dùng internet mà không có điện thoại sẽ ngày càng khó hơn nhiều
      Tôi không rõ liên quan đến cuộc thảo luận đến mức nào, nhưng nếu hữu ích thì tôi đã làm một dự án có thể lưu các trang archive.is vào archive.org/Wayback Machine. Dùng singlefile
      Có vẻ cộng đồng có thể tận dụng thứ này ở quy mô lớn. Hy vọng archive.is sẽ sửa vấn đề yêu cầu mã QR này và nó không trở thành chuyện lâu dài
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Tôi không hiểu vì sao họ không áp dụng Private Access Tokens. Nó cũng không tuyệt vời, nhưng ít nhất còn có thể gói ghém theo kiểu này: giả vờ mục tiêu không phải là xâm phạm quyền riêng tư của mọi người, dùng cái cớ truyền thống “Apple cũng làm vậy”, tỏ ra hướng theo chuẩn, và quảng bá như một tính năng hoàn toàn trong suốt với người dùng cuối
    Nếu làm vậy thì có lẽ họ vẫn đạt được chứng thực thiết bị dưới dạng nào đó mà phản ứng tiêu cực lại ít hơn nhiều. Nhưng có vẻ đó không phải mục tiêu thực sự

    • Về cơ bản nó chẳng giải quyết được gì. Họ muốn nhận diện một người cụ thể, hoặc ít nhất là một thiết bị tương đối đắt tiền, rồi nếu chặn thì có thể giữ nó bị chặn mãi
    • Có phải là hội chứng Not Invented Here không?

  • Chuyện này đã vượt qua ranh giới mà chính phủ nên can thiệp và mạnh tay cấm hoặc phạt Google. Đây là hành vi độc quyền

    • Tính độc quyền thể hiện ngay ở chỗ nếu vào website tài liệu thì một nửa video đều nói về việc nối tính năng này với Google Analytics
      Đây là cấu trúc dùng sản phẩm khác để củng cố thế độc quyền tìm kiếm và quảng cáo
      Bạn không thể thu thập nội dung để tạo ra một Google hay Gemini tốt hơn, không thể tạo hệ điều hành cạnh tranh với Google hay Apple, và cũng không thể tạo đối thủ cạnh tranh của Google Analytics
      Rõ ràng là phản cạnh tranh
    • Chính phủ mới là bên cần thứ này nhất. Vì họ muốn biết ai là người bất đồng tiềm năng hay hiện tại
    • Ở đây có vẻ có cơ sở rất rõ để điều tra vì trói buộc bất hợp pháp hoặc lạm dụng vị thế thống lĩnh thị trường. Hy vọng FTC cũng đang để mắt tới chuyện này
    • Thậm chí chính phủ còn đang dùng những thứ này trên các website .gov và ép chúng ta dùng

  • Có ai biết trên iOS 16.5 đã thay đổi điều gì khiến Google ngừng yêu cầu cài app không? Nhìn qua thì có vẻ liên quan đến chứng thực từ xa của Apple là Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Đây là kiểu đá đổ thang điển hình: chặn AI agent cạnh tranh trong khi vẫn bảo đảm phía mình có quyền truy cập
    Thị trường tác nhân tự động cung cấp dịch vụ và thực hiện tác vụ trực tuyến sẽ rất lớn, nên họ cần quân bài thương lượng để bot của mình không bị chặn khỏi các tài sản do Amazon, Cloudflare, Microsoft... canh giữ

  • Gần đây tôi đã giúp một người thân đang bối rối xóa hai tài khoản Google Cloud mà họ thậm chí không hề biết là tồn tại. Chỉ đến khi nhận email nói reCAPTCHA sẽ được tích hợp vào các sản phẩm Google khác thì họ mới biết
    Tôi hoàn toàn không hiểu chuyện gì đã xảy ra. Phỏng đoán tốt nhất đến lúc này là họ đã đăng nhập tài khoản Google trên cùng trình duyệt trong lúc giải CAPTCHA rồi bấm nhầm một nút cực kỳ tai hại. Thật quái dị

    • Có thể là playground của AI Studio chăng? Trông như mọi thứ đều được tích hợp vào đó

  • Công bằng mà nói thì đã có những app yêu cầu số điện thoại khi đăng ký. Ví dụ VK và Telegram là như vậy
    Google dường như cũng yêu cầu quét mã QR khi đăng ký tài khoản, nên nếu có mục đích gì đó thì mua tài khoản Google trên chợ đen có khi còn dễ hơn
    Ngày nay chẳng ai còn tin trình duyệt web nữa