reCAPTCHA ใหม่ ต้องมีโทรศัพท์ที่ได้รับการอนุมัติจึงจะผ่านได้

 (cybernews.com)
2 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • reCAPTCHA ใหม่ของ Google กำหนดให้ต้องสแกน QR โค้ดด้วย อุปกรณ์มือถือที่รองรับ เพื่อยืนยันตัวตน แม้จะใช้งานผ่านเดสก์ท็อปหรือโน้ตบุ๊กก็ตาม
  • GrapheneOS เตือนว่าหากไม่มีอุปกรณ์ iOS หรือ Android ที่ติดตั้ง Google Play Services ก็อาจถูกปิดกั้นไม่ให้เข้าถึงบริการออนไลน์
  • รายการอุปกรณ์ที่ Google รองรับมีเพียง Android ที่ติดตั้ง Google Play Services และอุปกรณ์ iOS/iPadOS เท่านั้น ทำให้สมาร์ตโฟน Android แบบ deGoogled และอุปกรณ์ลักษณะเดียวกันไม่สามารถยืนยันตัวตนให้เสร็จสิ้นได้
  • Google มองว่าระบบที่ใช้ภารกิจแบบ QR โค้ดนี้เป็นวิธีป้องกันไม่ให้ AI agent แก้โจทย์รูปแบบเดิมได้ง่าย และทำให้การฉ้อโกงแบบอัตโนมัติไม่คุ้มทุนในทางเศรษฐกิจ
  • บน Hacker News, X, Reddit และที่อื่น ๆ มีกระแสคัดค้านมากขึ้นว่า การบังคับใช้ remote attestation และอุปกรณ์ที่ได้รับการรับรองนั้นจำกัด เสรีภาพในการใช้คอมพิวเตอร์และการแข่งขันในตลาดมือถือ มากกว่าที่จะเพิ่มความปลอดภัย

มีอะไรเปลี่ยนไป - ข้อจำกัดด้านอุปกรณ์ของ reCAPTCHA ใหม่

  • โครงสร้างใหม่นี้กำหนดว่าการพิสูจน์ว่าเป็นมนุษย์ต้องมี Android หรือ iPhone ที่ได้รับการอนุมัติ โดยผู้ใช้ต้องสแกน QR โค้ดด้วย "อุปกรณ์มือถือที่รองรับ"
    • GrapheneOS เตือนว่าผู้ใช้ระบบปฏิบัติการและอุปกรณ์ที่เน้นความเป็นส่วนตัวจะถูกกันออกจากกระบวนการยืนยัน
  • การเปลี่ยนแปลงล่าสุดทำให้ อุปกรณ์หรือระบบปฏิบัติการทั่วไป เช่น สมาร์ตโฟน Android แบบ deGoogled ไม่สามารถยืนยัน reCAPTCHA ของ Google ให้สำเร็จได้อีกต่อไป
  • รายชื่ออุปกรณ์ที่ยืนยันได้ถูกจำกัดไว้เฉพาะ Android ที่ติดตั้ง Google Play Services และอุปกรณ์ iOS/iPadOS เท่านั้น
  • reCAPTCHA เป็นเครื่องมือความปลอดภัยที่เว็บไซต์หลายล้านแห่งและบริการหลักต่าง ๆ ใช้เพื่อแยกแยะมนุษย์ออกจากบอต
    • โดยมากระบบจะทำงานอยู่เบื้องหลังแบบมองไม่เห็น แต่หากตรวจพบพฤติกรรมที่น่าสงสัยก็จะให้ทำชาเลนจ์ เช่น ระบุหัวดับเพลิงหรือสัญญาณไฟจราจร

  • คำวิจารณ์ของ GrapheneOS

    • GrapheneOS ระบุในแถลงการณ์สาธารณะว่ามาตรการนี้เป็นสิ่งที่ "ต่อต้านการแข่งขันอย่างรุนแรงมาก"
    • "การควบคุม reCAPTCHA ทำให้ Google อยู่ในตำแหน่งที่สามารถกำหนดให้ต้องมี iOS หรืออุปกรณ์ Android ที่ผ่านการรับรอง หากต้องการใช้งานพื้นที่ขนาดมหาศาลของเว็บ"
    • GrapheneOS มองว่าการเปลี่ยนแปลงครั้งนี้เป็นการขยายการใช้ hardware-based attestation ที่ค่อย ๆ กีดกันการแข่งขันด้านฮาร์ดแวร์และระบบปฏิบัติการออกไปมากขึ้น
      • attestation : วิธีที่ใช้ชิปความปลอดภัยในตัวเพื่อพิสูจน์ทางคริปโตกราฟีว่าอุปกรณ์เป็นของแท้
    • "จุดประสงค์ของระบบนี้คือการป้องกันการใช้ฮาร์ดแวร์และซอฟต์แวร์ที่ Apple หรือ Google ไม่อนุมัติ และสิ่งนี้ถูก นำเสนอผิดว่าเป็นฟีเจอร์ด้านความปลอดภัย"
      • "อุปกรณ์ที่ไม่ได้รับแพตช์มา 10 ปียังได้รับอนุญาต แต่กลับบล็อกระบบปฏิบัติการที่ปลอดภัยกว่ามาก" พร้อมอ้างว่าเป้าหมายคือการบังคับผูกขาดผ่าน การให้สิทธิ์ใช้งาน Google Mobile Services

  • Cloud Fraud Defense และชาเลนจ์แบบต้าน AI

    • reCAPTCHA ใหม่นี้เป็นส่วนหนึ่งของแพลตฟอร์ม Cloud Fraud Defense ที่ประกาศเมื่อวันที่ 22 เมษายน ซึ่งออกแบบมาเพื่อตรวจสอบความชอบธรรมของบอต มนุษย์ และ AI agent
    • Google อธิบายว่า "การเพิ่มขึ้นของระบบอัตโนมัติที่ซับซ้อน ต้องการการเปลี่ยนแปลงพื้นฐานของการบริหารความเสี่ยง"
    • รายการอุปกรณ์ที่รองรับ มีเพียงอุปกรณ์ Android ที่ติดตั้ง Google Play Services และอุปกรณ์ iOS/iPadOS เท่านั้น
    • ผู้ดูแลเว็บไซต์สามารถใช้การควบคุมแบบละเอียดเพื่ออนุญาตหรือบล็อกบอตและ AI agent ตามเงื่อนไขอย่าง คะแนนความเสี่ยง ประเภทของระบบอัตโนมัติ และตัวตนของ agent
    • CAPTCHA ใหม่ที่อิง QR โค้ดมีเป้าหมายเพื่อสกัดกั้น AI agent ที่สามารถแก้ชาเลนจ์รูปแบบเดิมได้ง่าย
      • Google ระบุว่า "ชาเลนจ์ลดความเสี่ยงแบบ ต้าน AI นี้ ซึ่งพิสูจน์การมีอยู่ของมนุษย์ ถูกออกแบบมาเพื่อทำให้การฉ้อโกงแบบอัตโนมัติไม่คุ้มทุนในทางเศรษฐกิจ"
    • Google จะย้ายลูกค้า reCAPTCHA เดิมไปยัง Fraud Defense โดยไม่ต้องดำเนินการเพิ่มเติมและไม่มีการเปลี่ยนแปลงราคา
    • บริษัทได้ทยอยปล่อยฟีเจอร์นี้แบบเงียบ ๆ มาตั้งแต่ เดือนตุลาคม 2025 เป็นอย่างน้อย โดยในเวลานั้นมีบล็อกโพสต์ที่ประกาศแนวทาง QR โค้ดซึ่งให้ "ความปลอดภัยแบบต้าน AI ที่แข็งแกร่งยิ่งขึ้น"
      • แม้จะท่องเว็บผ่าน PC หรือ Mac การมีส่วนร่วมของ อุปกรณ์มือถือจริง ก็ยังให้ "การ attestation ที่มีความเชื่อมั่นสูงว่ามีมนุษย์ที่ไม่ซ้ำกันอยู่จริง"
    • GrapheneOS อธิบายว่านี่คือการนำ ข้อกำหนดด้าน hardware attestation ไปใช้กับ Windows, desktop Linux, OpenBSD และแพลตฟอร์มอื่น ๆ โดยกำหนดให้ต้องสแกน QR ด้วยสมาร์ตโฟนที่ผ่านการรับรอง และอาจขยายวงกว้างขึ้นได้อีก
    • นักปกป้องความเป็นส่วนตัวเตือนว่าบริการที่เริ่มบังคับใช้ Apple App Attest หรือ Google Play Integrity มากขึ้นกำลังทำให้การผูกขาดสองขั้วในตลาดมือถือแข็งแกร่งขึ้น
      • GrapheneOS ระบุว่า "สหภาพยุโรปกำลังเป็นผู้นำในการผลักดันข้อกำหนดลักษณะนี้ในด้านการชำระเงินดิจิทัล บัตรประจำตัว และการยืนยันอายุ และแอปของรัฐบาลหลายประเทศในสหภาพยุโรปก็กำหนดสิ่งนี้"

กระแสคัดค้านและความกังวล

  • ผู้ดูแลเว็บไซต์เป็นผู้ตัดสินใจว่าจะใช้โซลูชัน CAPTCHA แบบใดและจะบังคับใช้อย่างเข้มงวดเพียงไหน
  • นักปกป้องความเป็นส่วนตัวเตือนว่าการเรียกร้องให้ใช้ Apple App Attest หรือ Google Play Integrity ที่เพิ่มขึ้นกำลังตอกย้ำโครงสร้างตลาดมือถือแบบสองขั้ว
  • GrapheneOS มองว่าสหภาพยุโรปกำลังเป็นผู้นำแนวโน้มการใช้ข้อกำหนดลักษณะนี้กับการชำระเงินดิจิทัล บัตรประจำตัว และการยืนยันอายุ และแอปภาครัฐของสหภาพยุโรปจำนวนมากก็ต้องการสิ่งนี้

  • ปฏิกิริยาจากชุมชนเทคนิคและโซเชียลมีเดีย

    • ในชุมชนเทคนิคบน Hacker News มีความเห็นแพร่หลายว่าหัวใจของข้อถกเถียงนี้ไม่ใช่เรื่องความปลอดภัย แต่เป็นเรื่องการรวบอำนาจ
    • ผู้ใช้ Hacker News คนหนึ่งเขียนว่า “remote attestation จะเป็นวิธีที่เสรีภาพในการใช้คอมพิวเตอร์ของเราตายลง”
    • บน X โพสต์ที่เกี่ยวข้องมียอดดูหลายล้านครั้งและมีปฏิกิริยาตอบสนองหลายหมื่นรายการ
    • International Cyber Digest เขียนว่าผู้ใช้โทรศัพท์ Android แบบ deGoogled เช่น GrapheneOS, CalyxOS และ /e/OS จะถูกบล็อกจากเว็บไซต์หลายล้านแห่งหากไม่ติดตั้ง Google Play Services ที่พวกเขาตั้งใจลบออก
    • International Cyber Digest ระบุว่า "ตอนนี้ Google ปฏิบัติต่อ ความเป็นส่วนตัวเสมือนเป็นพฤติกรรมที่น่าสงสัยโดยปริยาย"

  • ความพยายามคล้ายกันในอดีตและความกังวลด้านความปลอดภัย

    • Mega บริษัทด้านความเป็นส่วนตัวออนไลน์ ระบุว่า Google เคยพยายามใช้มาตรการคล้ายกันในปี 2023 ภายใต้ชื่อ Web Environment Integrity แต่ถอนกลับหลังเผชิญกระแสคัดค้านสาธารณะ
      • "ครั้งนี้ Google เปิดตัวออกมาเป็น ผลิตภัณฑ์เชิงพาณิชย์ แทนข้อเสนอสาธารณะ วิธี CAPTCHA เดิมยังอาจใช้เป็น fallback ได้ในระยะหนึ่ง แต่ไม่มีใครรู้ว่าจะคงไว้นานแค่ไหน"
      • "ใครก็ตามที่ไม่มีอุปกรณ์ที่ผ่านการรับรองจะไม่สามารถยืนยันตัวตนได้เลย"
    • บน Reddit ก็มีการถกเถียงในลักษณะเดียวกันต่อเนื่อง
      • ผู้ใช้ Reddit คนหนึ่ง ปฏิเสธการนำ QR โค้ดมาใช้กับ CAPTCHA และเตือนว่านี่เป็นอีกวิธีหนึ่งเพื่อการเฝ้าระวัง คล้ายกับการยืนยันอายุและ anti-VPN
      • ผู้ใช้บางส่วนกังวลว่า reCAPTCHA แบบ QR โค้ดใหม่นี้อาจเปิดช่องทางโจมตีรูปแบบใหม่ให้มิจฉาชีพ เช่น การยืนยัน QR โค้ดปลอมและการเลียนแบบขั้นตอนยืนยัน
      • "คนที่ออกแบบสิ่งนี้ไม่ได้คำนึงถึงความปลอดภัยเลยแม้แต่น้อย พวกมิจฉาชีพคงจะชอบกันมาก" คือข้อสรุปหนึ่ง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความเห็นจาก Lobste.rs

  • จากมุมมองของ ความปลอดภัยด้านพฤติกรรมผู้ใช้ นี่ดูเหมือนเป็นการถอยหลังครั้งใหญ่
    ตอนนี้ผู้โจมตีสามารถปลอมแปลง QR code ของ reCAPTCHA เพื่อส่งผู้ใช้ไปยังที่ที่ต้องการได้ และไม่มีหลักประกันหรือความคาดหวังใด ๆ ว่าจะตรวจสอบได้ว่าโค้ดนี้เป็นของจริงหรือไม่
    ตอนนี้ก็มีหน้า Cloudflare Turnstile ปลอมที่สั่งให้กด Windows+R แล้ววางอะไรบางอย่างอยู่แล้ว จึงแทบเป็นไปไม่ได้เลยที่จะสอนผู้ใช้อย่างไรดี

    • นี่เป็นวิธีที่เหมาะมากสำหรับโจมตี การยืนยันตัวตนแบบ 2 ขั้นตอน ที่มีโทรศัพท์เป็นปัจจัยที่สอง
      ตอนนี้ผู้โจมตีสามารถพาผู้ใช้ไปยังจุดที่ตัวเองควบคุมได้ทั้งสองปัจจัยแล้ว
    • แย่มาก
      ฉันนึกว่าการสแกน QR code จะต้องใช้แอป reCAPTCHA โดยเฉพาะ แต่ที่จริงมันเป็นแค่ QR code ที่บรรจุ URL ทั่วไป เท่านั้น
    • ดูเหมือนว่าสามารถคัดค้านในระดับองค์กรได้ด้วยเหตุผลทำนองว่า “นี่แยกไม่ออกจากฟิชชิงจริง และผู้ใช้จะโดนกันหนักมาก”
      แต่ถ้าเริ่มลองใช้กันไปแล้วก็ไม่รู้ว่าจะยอมฟังหรือเปล่า

  • ตอนเห็นสิ่งนี้ครั้งแรก ฉันตกใจเพราะคิดว่าเป็นความพยายามฟิชชิงแบบหยาบ ๆ
    ตอนนั้นฉันใช้ Tor อยู่ และถ้าสแกนโค้ดด้วยโทรศัพท์ที่ผูกกับบัญชี Google ความไม่ระบุตัวตนนั้นอาจพังได้
    ยังย้อนกลับไปใช้ CAPTCHA แบบภาพได้ แต่ก็กังวลว่าอีกไม่นานตัวเลือกนั้นอาจหายไปด้วย
    แบบนี้จะทำให้ การใช้อินเทอร์เน็ตแบบไม่ระบุตัวตน ยากขึ้นมาก
    คำกล่าวอ้างว่า “AI-resistant” ก็ไร้สาระ
    เหมือนพวกเขานึกภาพไม่ออกจริง ๆ หรือว่าการสแกน QR code นั้นทำให้เป็นอัตโนมัติได้

    • นั่นแหละคือจุดประสงค์
      เป้าหมายสุดท้ายคือการกีดกันอุปกรณ์ทุกชนิดที่เข้าถึงการประมวลผลทั่วไปได้อย่างเสรี และ ลบความไม่ระบุตัวตน ของผู้เข้าชมทุกคน
    • แน่นอนว่าพวกเขารู้อยู่แล้วว่าการสแกน QR code ทำอัตโนมัติได้
      แต่ตามที่โพสต์บอกไว้ กระบวนการนี้ต้องใช้งานฮาร์ดแวร์เฉพาะ และประเด็นสำคัญคือสามารถ พิสูจน์การมีอยู่จริงของฮาร์ดแวร์นั้นทางกายภาพ ได้
      เป้าหมายคือทำให้การขยายสเกลมีต้นทุนสูงขึ้น
      ถ้าโทรศัพท์ถูกบล็อก คุณต้องหาโทรศัพท์เครื่องใหม่ ไม่ใช่แค่รีเซ็ต Docker container อีกครั้ง
      ฉันไม่รู้แน่ชัดว่า QR code นี้ทำงานอย่างไร หรือใช้ตัวระบุที่คงที่หรือไม่
      อาจมีตัวเลือกที่รุกล้ำน้อยกว่าอย่าง TPM counter หรืออาจใช้วิธีที่ต่างออกไปโดยสิ้นเชิง
      ถึงอย่างนั้น ฉันคิดว่าเหตุผลที่ต้องใช้อุปกรณ์ฮาร์ดแวร์เฉพาะก็เพื่อให้สามารถพิสูจน์ฮาร์ดแวร์ได้
      นี่คือการบรรลุเป้าหมายเดียวกับ web environment integrity proposal แต่ด้วยวิธีที่น่ารำคาญกว่า
      แนวทางนั้นหยุดไปเพราะกระแสต้าน WEI แต่ปัญหา การโจมตีแบบ Sybil ที่มันพยายามแก้นั้นไม่ได้หายไป และถ้าต้นทุนของการโจมตีแบบ Sybil แบบไม่จำกัดแทบเป็นศูนย์ เว็บในรูปแบบปัจจุบันก็ไม่อาจดำรงอยู่ได้ในเชิงพื้นฐาน
      เพราะงั้นพวกเขาจะยังพยายามแก้ด้วยวิธีใดวิธีหนึ่งต่อไป

  • ปกติฉันท่องเว็บบนเดสก์ท็อปหรือโน้ตบุ๊กเป็นหลัก และไม่คิดจะสแกน QR code จากเว็บไซต์สุ่ม ๆ ด้วยโทรศัพท์
    ถ้าเป็นแบบนั้นฉันก็คงไปที่อื่นแทน

  • ฉันใช้ GrapheneOS และหวังว่าจะยังใช้ต่อได้
    ชักรู้สึกว่าเรื่อย ๆ ไปจะต้องมี อุปกรณ์เสริม สำหรับทั้งแอปธนาคารและตอนนี้แม้แต่สำหรับ CAPTCHA ซึ่งสิ้นเปลืองมาก

    • ตรงกันข้าม ยิ่งนับวันก็ยิ่งสำคัญที่จะต้องพูดว่า ปฏิเสธ กับบริการที่เรียกร้องอะไรแบบนี้

  • ฉันไม่เข้าใจว่ามันทำงานอย่างไร
    เขาจะตรวจสอบได้อย่างไรว่าฉันใช้เครื่องอะไรสแกนโค้ด
    มันดูเหมือนต้องปลอมได้ง่ายมากอยู่แล้ว เลยไม่เข้าใจจริง ๆ

  • ฉันมีแต่โทรศัพท์ฝาพับ แล้วอย่างนี้ฉันก็ใช้ เว็บไซต์ที่มี reCAPTCHA ไม่ได้แล้วหรือ?

  • ชวนให้สงสัยว่านักทุนนิยมสายเทคแก้ปัญหา “แกะตัวตนผู้ใช้จากรูปแบบการโพสต์” ได้ไม่เร็วพอหรือเปล่า