reCAPTCHA mới yêu cầu điện thoại được phê duyệt để vượt qua

 (cybernews.com)
2 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • reCAPTCHA mới của Google yêu cầu quét mã QR bằng thiết bị di động tương thích để xác minh, ngay cả khi đang dùng máy tính để bàn hoặc laptop
  • GrapheneOS cảnh báo rằng nếu không có thiết bị iOS hoặc Android cài Google Play Services, người dùng có thể bị chặn truy cập các dịch vụ trực tuyến
  • Danh sách hỗ trợ của Google chỉ gồm Android có cài Google Play Services và thiết bị iOS/iPadOS, nên các điện thoại Android deGoogled sẽ không thể hoàn tất xác minh
  • Google cho rằng cơ chế thử thách dựa trên mã QR nhằm ngăn các tác nhân AI dễ dàng giải các bài kiểm tra trước đây và khiến gian lận tự động trở nên không khả thi về mặt kinh tế
  • Trên Hacker News, X, Reddit và nhiều nơi khác, phản ứng phản đối gia tăng khi nhiều người cho rằng yêu cầu chứng thực từ xa và thiết bị được chứng nhận đang hạn chế tự do điện toán và cạnh tranh trên thị trường di động hơn là tăng cường bảo mật

Điều gì đã thay đổi - giới hạn thiết bị của reCAPTCHA mới

  • Cơ chế này yêu cầu phải sở hữu Android được phê duyệt hoặc iPhone để chứng minh là con người; người dùng phải quét mã QR bằng một "thiết bị di động tương thích"
    • GrapheneOS cảnh báo người dùng các OS và thiết bị ưu tiên quyền riêng tư sẽ bị loại khỏi quy trình xác minh
  • Thay đổi gần đây khiến các thiết bị và hệ điều hành tùy ý như điện thoại Android deGoogled không còn thể hoàn tất xác minh reCAPTCHA của Google
  • Danh sách thiết bị có thể hoàn tất xác minh hiện chỉ giới hạn ở Android có cài Google Play Servicesthiết bị iOS/iPadOS
  • reCAPTCHA là công cụ bảo mật được hàng triệu website và dịch vụ lớn sử dụng để phân biệt người với bot
    • Phần lớn thời gian nó hoạt động âm thầm trong nền, nhưng khi phát hiện dấu hiệu đáng ngờ, nó sẽ đưa ra các thử thách như nhận diện vòi cứu hỏa hoặc đèn giao thông

  • Chỉ trích từ GrapheneOS

    • GrapheneOS gọi động thái này là "cực kỳ phản cạnh tranh" trong một tuyên bố công khai
    • "Việc kiểm soát reCAPTCHA đặt Google vào vị thế có thể yêu cầu iOS hoặc thiết bị Android được chứng nhận nếu muốn sử dụng những phần rộng lớn của web"
    • Họ coi thay đổi này là sự mở rộng của attestation dựa trên phần cứng, ngày càng loại trừ cạnh tranh về phần cứng và hệ điều hành
      • attestation: phương thức chứng minh bằng mật mã rằng phần cứng là thiết bị chính hãng thông qua chip bảo mật tích hợp
    • "Mục tiêu của hệ thống này là ngăn việc sử dụng phần cứng và phần mềm không được Apple hoặc Google phê duyệt, và điều đó đang bị trình bày sai như một tính năng bảo mật"
      • Họ cho rằng mục tiêu là ép độc quyền thông qua cấp phép Google Mobile Services, vì "thiết bị không được vá suốt 10 năm vẫn được cho phép, trong khi các OS an toàn hơn nhiều lại bị chặn"

  • Cloud Fraud Defense và thử thách kháng AI

    • reCAPTCHA mới là một phần của nền tảng Cloud Fraud Defense được công bố ngày 22/4, thiết kế để xác minh tính hợp lệ của bot, con người và tác nhân AI
    • Google giải thích rằng "sự gia tăng của tự động hóa tinh vi đòi hỏi một sự chuyển đổi căn bản trong quản lý rủi ro"
    • Danh sách hỗ trợ chỉ bao gồm thiết bị Android có cài Google Play Services và thiết bị iOS/iPadOS
    • Nhà vận hành website có thể dùng các điều khiển chi tiết để cho phép hoặc chặn bot và tác nhân AI dựa trên những điều kiện như điểm rủi ro, loại tự động hóa và danh tính tác nhân
    • CAPTCHA mới dựa trên mã QR nhằm chặn các tác nhân AI có thể dễ dàng giải các thử thách cũ
      • Google nói rằng "thử thách giảm thiểu kháng AI này nhằm chứng minh sự hiện diện của con người được thiết kế để khiến gian lận tự động trở nên không khả thi về mặt kinh tế"
    • Google sẽ chuyển khách hàng reCAPTCHA hiện tại sang Fraud Defense mà không cần hành động bổ sung hay thay đổi giá
    • Tính năng này đã được triển khai âm thầm ít nhất từ tháng 10/2025, khi một bài blog công bố cách tiếp cận bằng mã QR mang lại "bảo mật kháng AI mạnh hơn"
      • Ngay cả khi duyệt web trên PC hay Mac, sự can thiệp của thiết bị di động vật lý sẽ cung cấp "mức chứng thực có độ tin cậy cao rằng một con người duy nhất đang hiện diện"
    • GrapheneOS cho biết đây là việc đưa yêu cầu attestation phần cứng vào Windows, desktop Linux, OpenBSD... bằng cách yêu cầu quét QR bằng smartphone được chứng nhận, và điều này có thể còn mở rộng thêm
    • Những người ủng hộ quyền riêng tư cảnh báo rằng các dịch vụ ngày càng yêu cầu Apple App Attest hoặc Google Play Integrity đang củng cố thế song mã trên thị trường di động
      • GrapheneOS cho biết "EU đang thúc đẩy các yêu cầu như vậy trong thanh toán số, ID, xác minh độ tuổi..., và nhiều ứng dụng chính phủ của EU yêu cầu điều đó"

Phản ứng và lo ngại

  • Nhà vận hành website là bên quyết định dùng giải pháp CAPTCHA nào và áp dụng nghiêm đến mức nào
  • Những người ủng hộ quyền riêng tư cảnh báo rằng việc gia tăng yêu cầu Apple App Attest hoặc Google Play Integrity đang củng cố thế lưỡng cực trên thị trường di động
  • GrapheneOS cho rằng EU đang dẫn dắt xu hướng áp dụng các yêu cầu như vậy cho thanh toán số, ID, xác minh độ tuổi và nhiều ứng dụng chính phủ của EU đã yêu cầu điều này

  • Phản ứng từ cộng đồng kỹ thuật và mạng xã hội

    • Trên cộng đồng kỹ thuật Hacker News, nhiều ý kiến cho rằng trọng tâm của tranh cãi không phải là bảo mật mà là sự thâu tóm quyền lực
    • Một người dùng Hacker News viết: "Chứng thực từ xa sẽ là cách tự do điện toán của chúng ta chết đi"
    • Trên X, các bài đăng liên quan đã thu hút hàng triệu lượt xem và hàng chục nghìn phản hồi
    • International Cyber Digest viết rằng người dùng điện thoại Android deGoogled như GrapheneOS, CalyxOS, /e/OS sẽ bị chặn khỏi hàng triệu website nếu không cài lại Google Play Services mà họ đã chủ động gỡ bỏ
    • International Cyber Digest mô tả rằng "Google giờ đây mặc định coi quyền riêng tư là hành vi đáng ngờ"

  • Những nỗ lực tương tự trước đây và lo ngại bảo mật

    • Công ty quyền riêng tư trực tuyến Mega cho biết Google từng cố triển khai biện pháp tương tự có tên Web Environment Integrity vào năm 2023, nhưng đã rút lại sau phản ứng công khai
      • "Lần này, họ phát hành nó như một sản phẩm thương mại thay vì đề xuất công khai. Cách CAPTCHA hiện có vẫn có thể được dùng như phương án dự phòng trong một thời gian, nhưng không ai biết sẽ được duy trì đến bao lâu"
      • "Bất kỳ ai không có thiết bị được chứng nhận đều không thể xác minh"
    • Trên Reddit cũng xuất hiện các thảo luận tương tự
      • Một người dùng Reddit phản đối việc CAPTCHA can thiệp bằng mã QR, cảnh báo đây là thêm một phương thức giám sát khác giống như xác minh độ tuổi và anti-VPN
      • Một số người dùng lo ngại reCAPTCHA QR mới có thể mở ra các hướng tấn công mới cho kẻ lừa đảo, như xác nhận mã QR giả và mô phỏng luồng xác minh
      • "Những kẻ thiết kế thứ này hoàn toàn không nghĩ đến bảo mật. Bọn lừa đảo sẽ mở hội"

Bài viết liên quan

1 bình luận

 
GN⁺ 4 giờ trước
Ý kiến trên Lobste.rs

  • Xét từ góc độ bảo mật dựa trên hành vi người dùng, đây có vẻ là một bước thụt lùi lớn
    Giờ đây kẻ tấn công có thể giả mạo mã QR của reCaptcha để đưa người dùng tới nơi chúng muốn, và không có gì đảm bảo hay khiến người dùng kỳ vọng rằng họ có thể xác minh mã đó là thật
    Đã có cả những trang Cloudflare Turnstile giả yêu cầu người dùng nhấn Windows+R rồi dán gì đó vào, nên gần như không thể tưởng tượng nổi phải hướng dẫn người dùng thế nào

    • Đây là cách rất thuận tiện để tấn công xác thực hai yếu tố khi yếu tố thứ hai là điện thoại
      Giờ có thể đưa cả hai yếu tố xác thực tới nơi do kẻ tấn công kiểm soát
    • Thật kinh khủng
      Tôi cứ tưởng sẽ cần một ứng dụng reCaptcha chuyên dụng để quét mã QR, nhưng hóa ra nó chỉ là mã QR chứa URL thông thường
    • Có vẻ các tổ chức hoàn toàn có thể phản đối ở cấp độ tổ chức theo kiểu “thứ này không thể phân biệt với phishing thật và người dùng sẽ bị lừa nặng”
      Nhưng nếu họ đã bắt đầu triển khai rồi thì không biết liệu họ có lắng nghe hay không

  • Khi mới thấy cái này lần đầu, tôi đã ngạc nhiên vì tưởng đó là một nỗ lực phishing cẩu thả
    Lúc đó tôi đang dùng Tor, và nếu quét mã bằng điện thoại gắn với tài khoản Google thì tính ẩn danh đó có thể bị phá vỡ
    Tôi vẫn có thể quay lại CAPTCHA hình ảnh, nhưng lo rằng lựa chọn đó rồi cũng sớm biến mất
    Nếu vậy thì việc dùng Internet ẩn danh sẽ khó khăn hơn rất nhiều
    Cái tuyên bố “AI-resistant” cũng là vô nghĩa
    Thật khó tin là họ lại không hình dung ra việc tự động hóa quá trình quét mã QR

    • Chính đó mới là mục đích
      Mục tiêu cuối cùng là loại bỏ mọi thiết bị có thể tự do truy cập điện toán phổ dụng, và xóa bỏ tính ẩn danh của mọi khách truy cập
    • Chắc chắn họ biết việc tự động hóa quét mã QR là khả thi
      Nhưng như bài viết nói, quy trình này đòi hỏi sử dụng phần cứng cụ thể, và mấu chốt là có thể chứng minh vật lý phần cứng đó
      Mục tiêu là khiến việc mở rộng quy mô trở nên tốn kém
      Nếu điện thoại bị chặn thì không thể chỉ khởi tạo lại container Docker mà phải kiếm một chiếc điện thoại mới
      Tôi không biết chính xác mã QR hoạt động thế nào, hay họ có dùng định danh ổn định hay không
      Có thể có những lựa chọn ít xâm phạm hơn như bộ đếm TPM, hoặc họ có thể dùng một phương thức hoàn toàn khác
      Dù vậy, tôi cho rằng lý do họ yêu cầu phần cứng cụ thể là để có thể chứng minh phần cứng
      Đây về cơ bản là đạt tới cùng mục tiêu như web environment integrity proposal, chỉ bằng một cách phiền toái hơn
      Cách tiếp cận đó đã bị dừng lại vì phản ứng dữ dội đối với WEI, nhưng vấn đề tấn công sybil mà nó định giải quyết thì không biến mất, và nếu chi phí cho tấn công sybil không giới hạn gần như bằng 0 thì web ở hình thức hiện tại về cơ bản không thể duy trì
      Vì thế họ sẽ tiếp tục cố giải quyết bằng cách nào đó

  • Tôi chủ yếu duyệt web trên desktop hoặc laptop, và không có ý định quét mã QR từ một website ngẫu nhiên bằng điện thoại
    Vậy thì tôi sẽ đi chỗ khác

  • Tôi đang dùng GrapheneOS và hy vọng vẫn có thể tiếp tục dùng
    Càng lúc càng có cảm giác sẽ phải có thiết bị phụ cho ứng dụng ngân hàng, giờ lại thêm cả CAPTCHA, thật quá lãng phí

    • Ngược lại, ngày càng quan trọng hơn khi nói không với những dịch vụ đòi hỏi kiểu này

  • Tôi không hiểu thứ này hoạt động thế nào
    Họ xác minh bằng cách nào là tôi đang quét mã bằng thiết bị nào?
    Có vẻ như rất dễ giả mạo nên tôi không hiểu nổi

  • Tôi chỉ có điện thoại gập cơ bản, vậy giờ tôi không thể dùng các trang web có reCaptcha nữa à?

  • Có phải giới tư bản công nghệ vẫn chưa giải quyết đủ nhanh vấn đề “lột bỏ tính ẩn danh của người dùng qua mẫu hình đăng bài” không?