Google ทำให้ reCAPTCHA ใช้งานไม่ได้สำหรับผู้ใช้ Android แบบ de-Googled

 (reclaimthenet.org)
2 คะแนน โดย GN⁺ 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Google ผูก reCAPTCHA รุ่นถัดไปบน Android เข้ากับ Google Play Services ทำให้ผู้ใช้ Android แบบ de-Googled ล้มเหลวโดยอัตโนมัติเมื่อเจอกระบวนการยืนยันเพิ่มเติม
  • หากผู้ใช้ Android ต้องการพิสูจน์ว่าเป็นมนุษย์ จะต้องรันเฟรมเวิร์กแอปแบบปิดของ Google คือ Google Play Services 25.41.30 ขึ้นไป
  • เมื่อระบบมองว่าเป็นกิจกรรมที่น่าสงสัย จะไม่ใช้ปริศนาภาพแบบเดิม แต่จะบังคับให้ สแกน QR โค้ด และขั้นตอนนี้จะเสร็จสิ้นได้ก็ต่อเมื่อ Play Services สื่อสารกับเซิร์ฟเวอร์ของ Google
  • อุปกรณ์ iOS 16.4 ขึ้นไปผ่านการยืนยันแบบเดียวกันได้โดยไม่ต้องมีซอฟต์แวร์ Google เพิ่มเติม แต่ผู้ใช้ Android ที่ปฏิเสธ Play Services กลับถูกล็อกออกเพียงฝ่ายเดียว เกิดเป็น โครงสร้างที่ไม่สมมาตร
  • เนื่องจาก reCAPTCHA อยู่หน้าบ้านของเว็บไซต์นับล้านแห่ง การเปลี่ยนแปลงนี้จึงสร้างบรรทัดฐานใหม่ที่การเข้าถึงเว็บขั้นพื้นฐานต้องอาศัยการรันซอฟต์แวร์ของ Google และการส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Google

วิธีการยืนยันที่ผูกกับ Google Play Services

  • กระบวนการพิสูจน์ว่าเป็นมนุษย์บน Android พึ่งพาเฟรมเวิร์กแอปแบบปิดของ Google คือ Google Play Services 25.41.30 ขึ้นไป
  • หาก reCAPTCHA ตัดสินว่าเป็นกิจกรรมที่น่าสงสัย จะเรียกให้ สแกน QR โค้ด แทนปริศนาภาพแบบเดิม
  • การสแกน QR ต้องอาศัย Play Services ที่ทำงานอยู่เบื้องหลังสื่อสารกับเซิร์ฟเวอร์ของ Google จึงทำให้ GrapheneOS หรือ custom ROM อื่นที่ถอดซอฟต์แวร์ Google ออกแล้วไม่สามารถผ่านการยืนยันได้
  • ผู้ใช้ที่ใช้ de-Googled phone จะล้มเหลวโดยอัตโนมัติเมื่อระบบร้องขอการยืนยันเพิ่มเติม

Google Cloud Fraud Defense และที่มาของการนำมาใช้

  • เมื่อวันที่ 23 เมษายน Google ได้ประกาศระบบที่ใหญ่กว่านี้คือ Google Cloud Fraud Defense ที่งาน Cloud Next
  • ระบบนี้ถูกนำเสนอว่าเป็นแพลตฟอร์มความเชื่อถือสำหรับรับมือทั้งเอเจนต์ AI อัตโนมัติและบอตแบบเดิม
  • แต่ประเด็นที่ว่ากระบวนการพิสูจน์ความเป็นมนุษย์บน Android ถูกผูกกับการรันซอฟต์แวร์แบบปิดของ Google นั้นไม่ได้ถูกเน้นอย่างชัดเจนในการประกาศ
  • การเปลี่ยนแปลงนี้ไม่ได้เกิดขึ้นแบบฉับพลัน เพราะใน Internet Archive snapshot เดือนตุลาคม 2025 ของหน้าสนับสนุนเดียวกัน ก็มีการระบุข้อกำหนด Play Services 25.39.30 ไว้แล้ว
  • ผู้ใช้ในซับเรดดิต degoogle เป็นผู้ตรวจพบเรื่องนี้ และต่อมาข่าวจาก PiunikaWeb กับ Android Authority ก็ทำให้เป็นที่รู้จักกว้างขึ้น

ความต่างระหว่าง iOS กับ Android

  • อุปกรณ์ Apple ที่รัน iOS 16.4 ขึ้นไปสามารถผ่านการยืนยันแบบเดียวกันได้โดยไม่ต้องติดตั้งแอปเพิ่ม
  • Google ไม่ได้บังคับให้ผู้ใช้ iPhone ต้องติดตั้งซอฟต์แวร์ของ Google เพื่อผ่าน reCAPTCHA
  • จึงเกิดโครงสร้างที่ไม่สมมาตรซึ่งล็อกออกเฉพาะผู้ใช้ Android ที่ปฏิเสธ Play Services
  • ความต่างนี้ดูใกล้เคียงกับ การควบคุมระบบนิเวศ มากกว่าประเด็นด้านความปลอดภัย

ปัญหาเรื่องการเข้าถึงเว็บและการส่งข้อมูล

  • reCAPTCHA ตั้งอยู่หน้าบ้านของเว็บไซต์นับล้านแห่ง
  • เมื่อ Google ผูกการยืนยันเข้ากับ Play Services ก็เท่ากับสร้างบรรทัดฐานใหม่ที่การเข้าถึงคอนเทนต์เว็บขั้นพื้นฐานต้องอาศัยการรันซอฟต์แวร์ของ Google และการส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Google
  • ผู้ใช้โทรศัพท์แบบ de-Googled เลือกการตั้งค่าเช่นนั้นก็เพราะพวกเขาไม่เห็นด้วยกับแนวทางการเก็บและใช้ข้อมูลของ Play Services
  • ระบบใหม่กลับปฏิบัติต่อการไม่มีซอฟต์แวร์แบบปิดของ Google ราวกับเป็นสิ่งน่าสงสัยโดยปริยาย จึงทำให้ผู้ใช้ที่เลือกเช่นนั้นเสียเปรียบ

การกีดกันที่เว็บดีเวลอปเปอร์ต้องเป็นผู้เลือก

  • เว็บไซต์ที่นำ reCAPTCHA แบบนี้ไปใช้ จะส่งสัญญาณว่าพวกเขาไม่ได้ต้อนรับผู้ใช้ Android แบบ de-Googled
  • แม้กลุ่มผู้ใช้นี้ยังมีขนาดเล็กในตอนนี้ แต่ก็เป็นกลุ่มที่อ่อนไหวที่สุดต่อวิธีที่เว็บไซต์จัดการข้อมูล
  • และมีความเป็นไปได้สูงว่ากลุ่มนี้จะไม่ยอมจำนนต่อข้อกำหนดให้ใช้ Google Play Services ได้ง่าย ๆ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 3 시간 전
ความคิดเห็นจาก Hacker News

  • reCAPTCHA ใหม่นี้โดยพื้นฐานแล้วเข้าใจได้ว่าเป็น remote attestation
    remote attestation ไม่ใช้ blind signatures เพราะถ้าใช้ก็จะนำไปเพาะซ้ำในปริมาณมากได้ ดังนั้นหากเซิร์ฟเวอร์ของ Google สมรู้ร่วมคิด ก็สามารถผูกอุปกรณ์กับผู้ที่ถูกพิสูจน์ตัวตนเข้าด้วยกันในทางเทคนิคได้: เป็นลำดับ EK (private key ที่ถูกฝังมาแบบถาวร) → AIK (identity key ชั่วคราวใน secure enclave ที่เซิร์ฟเวอร์ Google ลงนาม) → attestation (ลงนามโดย AIK)
    ถ้าเซิร์ฟเวอร์ Google บันทึกการแปลง EK → AIK ก็จะติดตาม attestation ใด ๆ ย้อนกลับไปถึง EK ของอุปกรณ์นั้นได้ง่าย ดังนั้นแทบไม่มีบริการออนไลน์ที่ให้ remote attestation ปลอม และก็คงยากจะได้เห็นในอนาคต เพราะขั้นต่อไปของการให้บริการแบบนั้นคือ Google จะกลายเป็นลูกค้าแล้วใส่อุปกรณ์ทั้งหมดลงในรายการบล็อก
    ถ้า reCAPTCHA ใหม่นี้ไม่มีมาตรการพิเศษเพิ่มเติม นี่ไม่ใช่แค่การล็อกบริการอินเทอร์เน็ตไว้หลังชิป TPM เท่านั้น แต่ยังเป็นการ ยกความนิรนามให้ Google ด้วย เว้นแต่จะหาอุปกรณ์ชั่วคราวที่ติดตามข้ามบริการไม่ได้สำหรับแต่ละบริการ วิธีนี้จะทำให้ทุกบัญชีในหลายบริการถูกเชื่อมโยงเข้าหากันได้ คล้ายกับการยืนยันอายุ และแม้จะดูเหมือนว่าบริการต้องร่วมมือกันเพื่อเชื่อมเซสชัน reCAPTCHA กับการสมัครสมาชิก แต่เพียงเวลาในการสมัครก็น่าจะเพียงพอให้ชุดนิรนามแทบพังทลาย

    • ถ้าคุณดูแลเว็บไซต์เอง ก็ดูเหมือนจะทำได้ง่ายที่จะเอาโค้ดเดียวกันไปวางบนไซต์ของตัวเองแล้ว ส่งต่อคำขอ attestation ไปให้คนอื่น เพื่อให้อุปกรณ์ของคนนั้นถูก Google บล็อกแทนของคุณ
    • ถ้ามีบริษัทแบบนี้อยู่จริง ก็ไม่รู้ว่าการพึ่ง TPM จะมีความหมายอะไร อนาคตของบอตที่ได้เงิน VC ดูสดใสมาก
      https://doublespeed.ai/
    • งานประเภท “ตีความ QR code นี้” ดูไม่น่าจะติดอยู่ใน 500,000 อันดับแรกของรายการ “งานที่มนุษย์ทำได้ดีกว่าคอมพิวเตอร์” ด้วยซ้ำ
    • ในเอกสาร reCAPTCHA ดูไม่เห็นข้อกำหนดว่าต้องรองรับ hardware attestation และดูเหมือนว่าแค่ Play Services ก็เพียงพอ
      มีแนวโน้มว่า Google จะทำ attestation จากระยะไกล และใช้แอปที่มีสิทธิ์เข้าถึงมหาศาลในโทรศัพท์อย่าง Play Services เพื่อเชื่อมโยงข้อมูลหลายอย่างเข้าด้วยกัน อาจอ้างว่าเพื่อประเมิน “ความเป็นมนุษย์” ได้ดีขึ้น รวมถึงกิจกรรมภายในเครื่องของโทรศัพท์ด้วย
      สำหรับคนที่ใช้บัญชี Google อยู่แล้ว ความต่างในแง่ข้อมูลที่ถูกรวบรวมอาจไม่มากนัก
      ถ้าเป็นวิธีนี้ ในทางทฤษฎีก็อาจปลอมแปลงได้ แต่ในมุมของ Google การตรวจจับ attestation ที่มีคนหลายคนใช้ร่วมกันก็น่าจะทำได้ง่าย
      เดิมทีนี่ก็เป็นแค่อัปเดตของระบบที่หยาบมากอยู่แล้ว จึงยังไม่ใช่ว่าต้องการความปลอดภัยแบบสมบูรณ์ แต่การหลบเลี่ยงอาจยากขึ้นอย่างมาก
    • ถ้า Google ไม่ได้บังคับให้ผู้ใช้ iPhone ติดตั้งซอฟต์แวร์ของ Google เพื่อให้ผ่านการทดสอบ Android แบบ de-Googled จะปลอมตัวเป็น iPhone ได้ไหม?

  • ตอนนี้ผมไม่ได้ใช้ Android และแทบไม่ได้ใช้ Android ที่มี Google มาราว 10 ปีแล้ว และต่อไปก็จะไม่ใช้ ถ้านี่คือเส้นที่ต้องยืนหยัดจนถึงที่สุด ก็จะทำแบบนั้น
    ไม่ว่าจะอยู่ภายใต้การควบคุมของ Google หรือไม่ ผมก็จะไม่ใช้ hardware attestation ต่อให้มีโทรศัพท์ Android ที่ผ่านการรับรองจาก Google และไม่ได้ root ก็ไม่ควรใช้มัน

    • ถ้าแอป fintech ใช้งานไม่ได้จนทำให้รับเงินไม่ได้ มันก็ไม่ใช่ปัญหาสนุก ๆ อีกต่อไป เพราะงั้นจึงต้องมี กฎระเบียบ
      แต่ก็คงยากจะเห็นนักการเมืองเล่นงานบริษัทโฆษณา เพราะบริษัทเหล่านั้นคือลูกค้าของพวกเขา

  • เคยเก็บ Android ราคาถูกเครื่องเก่าไว้เป็นเครื่องสำรอง แล้วช่วงหลังย้ายไปใช้ GrapheneOS ตอนนี้เก็บโปรไฟล์ Google ไว้แค่อันเดียว ใช้กับ Uber, Google Chat ของที่ทำงาน และแผนที่เท่านั้น
    มีธนาคารแห่งหนึ่งที่ปฏิเสธการทำงานแม้จะมี Google services อยู่แล้ว ก็เลยเปลี่ยนธนาคาร การใช้งานบนมือถือส่วนใหญ่ก็ย้ายไปทาง self-hosted เช่นกัน และตั้งค่าให้ freshrss แบบข้อความเต็ม, ตัวจัดการรหัสผ่าน, ปฏิทิน, ตัวจัดการงาน ฯลฯ ไม่ถูกเปิดออกสู่อินเทอร์เน็ตโดยตรง
    แม้จะน่ารำคาญอยู่บ้าง แต่ก็รู้สึกดีที่เริ่มเส้นทางนี้ ดูเหมือนยิ่งไปยิ่งต้องหลีกเลี่ยงอินเทอร์เน็ตเองทั้งก้อน

    • ทางเลือกที่ดีที่สุดของ Google Drive คืออะไร? ฉันก็เดินมาทางนี้เหมือนกัน แต่ Samba บางทีก็น่ารำคาญอยู่บ้าง

  • archive.is เคยบังคับให้สแกน QR code และการทำแบบนี้หลัง Cloudflare มันน่าอับอายเกินไป นี่คือการบังคับ KYC กับผู้เข้าชมเว็บไซต์หรือไง? บ้าหรือเปล่า?
    ถ้าผลักดันไปทางนี้ เว็บจะพังทันที เว็บไซต์นับล้านจะกลายเป็นว่าต้องบังคับ KYC กันหมดหรือ?
    https://ibb.co/X9Q6Y84
    ที่เรียกว่า KYC ก็เพราะมีวิธีที่ไม่ใช่อาชญากรรมในการหาซิมโดยไม่ต้องทำ KYC และสร้างบัญชี Google สำหรับ Play Store โดยไม่ใช้เบอร์โทรอยู่น้อยมาก เท่ากับว่าการเข้าชมทุกเว็บไซต์จะถูกผูกกับตัวตนจริง
    ตอนนี้เพราะไม่ได้ใช้ Android แบบสต็อก ผมจึงเข้าเว็บไซต์หลายแห่งไม่ได้จริง ๆ มันไร้สาระมาก

    • ข้อความเขียนว่า “reCAPTCHA จะไม่แชร์รายละเอียดของคุณกับเว็บไซต์นี้” แต่ไม่ได้บอกว่า จะไม่แชร์กับ Google ถ้าอย่างนั้นแปลว่าแชร์ใช่ไหม?
    • นี่แย่มากจริง ๆ :-(
      โดยเฉพาะกับที่อย่าง archive.is ดูเหมือนว่าการใช้อินเทอร์เน็ตโดยไม่มีโทรศัพท์จะยิ่งยากขึ้นมาก
      ไม่แน่ใจว่าเกี่ยวกับประเด็นนี้แค่ไหน แต่ถ้ามีประโยชน์ ผมได้ทำโปรเจ็กต์ที่สามารถเก็บหน้า archive.is ไว้ใน archive.org/Wayback Machine ได้ ใช้ singlefile
      ดูเหมือนชุมชนอาจเอาไปใช้ในวงกว้างกับเรื่องแบบนี้ได้เหมือนกัน หวังว่า archive.is จะจัดการปัญหาการบังคับ QR code และมันจะไม่กลายเป็นปัญหาถาวร
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • ไม่เข้าใจว่าทำไมถึงไม่เลือกใช้ Private Access Tokens ถึงมันจะไม่สมบูรณ์แบบเหมือนกัน แต่อย่างน้อยก็ยังแพ็กเกจเล่าเรื่องได้แบบนี้: แสร้งทำเป็นว่าไม่ได้มุ่งละเมิดความเป็นส่วนตัวของผู้คน, ใช้ข้ออ้างคลาสสิกว่า “Apple ก็ทำ”, แสร้งทำเป็นยึดมาตรฐาน, และโฆษณาว่าเป็นฟีเจอร์ที่โปร่งใสต่อผู้ใช้ปลายทางโดยสมบูรณ์
    ถ้าทำแบบนั้นก็น่าจะบรรลุการ attestation อุปกรณ์ได้ในรูปแบบใดรูปแบบหนึ่ง โดยเจอแรงต้านน้อยกว่ามาก แต่ดูเหมือนนั่นจะไม่ใช่เป้าหมายที่แท้จริง

    • โดยพื้นฐานแล้วมันไม่ได้แก้อะไรเลย สิ่งที่ต้องการคือระบุตัวบุคคลใดบุคคลหนึ่ง หรืออย่างน้อยก็อุปกรณ์ที่มีต้นทุนค่อนข้างสูง แล้วถ้าบล็อกไปแล้วก็ให้มันถูกบล็อกต่อไปเรื่อย ๆ
    • หรือว่าจะเป็นอาการ Not Invented Here syndrome?

  • นี่ข้ามเส้นที่รัฐบาลควรเข้ามาแบนหรือปรับ Google อย่างหนักแล้ว มันคือ พฤติกรรมผูกขาด

    • ความเป็นการผูกขาดเห็นได้จากการไปดูเว็บไซต์เอกสารแล้วพบว่าครึ่งหนึ่งของวิดีโอพูดถึงการเชื่อมฟีเจอร์นี้กับ Google Analytics
      มันคือโครงสร้างที่ใช้ผลิตภัณฑ์อื่นมาสนับสนุนการผูกขาดด้านค้นหาและโฆษณา
      คุณไม่สามารถ scrape คอนเทนต์เพื่อสร้าง Google หรือ Gemini ที่ดีกว่าได้ ไม่สามารถสร้างระบบปฏิบัติการที่แข่งกับ Google หรือ Apple ได้ และไม่สามารถสร้างคู่แข่งของ Google Analytics ได้อีกด้วย
      มันต่อต้านการแข่งขันอย่างชัดเจน
    • รัฐบาลนั่นแหละที่ต้องการสิ่งนี้ที่สุด เพราะพวกเขาอยากรู้ว่าใครคือผู้เห็นต่างทั้งที่เป็นไปได้และที่มีอยู่จริง
    • ตรงนี้ดูมีมูลชัดเจนพอสำหรับการสอบสวนเรื่องการขายพ่วงที่ผิดกฎหมายหรือการใช้อำนาจเหนือตลาดในทางที่ผิด ถ้า FTC กำลังมองเรื่องนี้อยู่ก็หวังว่าจะรับฟัง
    • ที่จริงแล้วรัฐบาลเองก็กำลังใช้สิ่งนี้ในเว็บไซต์ .gov และบังคับใช้กับพวกเราอยู่แล้ว

  • มีใครรู้ไหมว่าใน iOS 16.5 มีอะไรเปลี่ยนไปจน Google หยุดบังคับให้ติดตั้งแอป? ดูแล้วน่าจะเกี่ยวข้องกับ remote attestation ของ Apple อย่าง Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • นี่คือการชักบันไดหนีของตัวเองแบบคลาสสิก เพื่อสกัดกั้น AI agents คู่แข่ง แต่ยังคงทำให้ฝั่งตัวเองเข้าถึงได้
    ตลาดของเอเจนต์อัตโนมัติที่ให้บริการและทำงานออนไลน์จะใหญ่มหาศาล ดังนั้นถ้าต้องการให้บอตของตัวเองไม่ถูกขวางบนทรัพย์สินที่ Amazon, Cloudflare, Microsoft ฯลฯ คุมอยู่ ก็จำเป็นต้องมีแต้มต่อไว้ใช้ต่อรอง

  • ไม่นานมานี้ผมช่วยญาติที่สับสนลบบัญชี Google Cloud สองบัญชี ที่เจ้าตัวไม่เคยรู้ด้วยซ้ำว่ามีอยู่ จนกระทั่งได้รับอีเมลว่า reCAPTCHA จะถูกรวมเข้ากับผลิตภัณฑ์ Google อื่น ๆ
    ผมไม่รู้เลยว่าเกิดอะไรขึ้น ตอนนี้การคาดเดาที่ดีที่สุดคือระหว่างแก้ CAPTCHA ขณะล็อกอินบัญชี Google ไว้ในเบราว์เซอร์เดียวกัน น่าจะกดปุ่มผิดแบบหนักมาก มันประหลาดสุด ๆ

    • หรือจะเป็น AI Studio playground? ดูเหมือนทุกอย่างจะถูกรวมเข้าด้วยกันหมด

  • ถ้าจะพูดกันอย่างเป็นธรรม เดี๋ยวนี้ก็มีแอปที่ขอเบอร์โทรตอนสมัครอยู่แล้ว เช่น VK กับ Telegram
    Google เองก็ดูเหมือนจะขอให้สแกน QR code ตอนลงทะเบียนบัญชี ดังนั้นถ้ามีจุดประสงค์บางอย่าง การไปซื้อบัญชี Google จากตลาดมืดอาจง่ายกว่าเสียอีก
    ทุกวันนี้ไม่มีใครเชื่อถือ web browser แล้ว