Google macht reCAPTCHA für de-Googled-Android-Nutzer unbrauchbar

 (reclaimthenet.org)
2 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Google koppelt die nächste Generation von reCAPTCHA unter Android an die Google Play Services, wodurch de-Googled-Android-Nutzer bei zusätzlichen Verifizierungsschritten automatisch scheitern
  • Android-Nutzer müssen zur Bestätigung, dass sie Menschen sind, Googles proprietäres App-Framework Google Play Services 25.41.30 oder neuer ausführen
  • Bei als verdächtig eingestuften Aktivitäten wird statt des bisherigen Bilderrätsels ein QR-Code-Scan verlangt; dieser Prozess kann nur abgeschlossen werden, wenn die Play Services mit Google-Servern kommunizieren
  • Geräte mit iOS 16.4 oder neuer bestehen dieselbe Verifizierung ohne zusätzliche Google-Software, wodurch eine asymmetrische Struktur entsteht, bei der nur Android-Nutzer ausgesperrt werden, die Play Services ablehnen
  • Da reCAPTCHA vor Hunderten Millionen Websites vorgeschaltet ist, schafft diese Änderung einen Präzedenzfall dafür, dass für grundlegenden Webzugang Google-Software ausgeführt und Daten an Google-Server übertragen werden müssen

An Google Play Services gebundene Verifizierung

  • Der Prozess zum Nachweis, dass man unter Android ein Mensch ist, hängt von Googles proprietärem App-Framework Google Play Services 25.41.30 oder neuer ab
  • Wenn reCAPTCHA verdächtige Aktivitäten feststellt, verlangt es statt des bisherigen Bilderrätsels einen QR-Code-Scan
  • Der QR-Scan erfordert, dass im Hintergrund laufende Play Services mit Google-Servern kommunizieren; auf GrapheneOS oder anderen Custom-ROMs, aus denen Google-Software entfernt wurde, schlägt die Verifizierung daher fehl
  • Nutzer mit einem de-Googled phone scheitern automatisch, wenn das System eine zusätzliche Verifizierung verlangt

Google Cloud Fraud Defense und der Einführungsweg

  • Google stellte am 23. April auf der Cloud Next das umfassendere System Google Cloud Fraud Defense vor
  • Das System wurde als Vertrauensplattform präsentiert, die sowohl autonome KI-Agenten als auch herkömmliche Bots adressieren soll
  • Dass der Prozess zum Nachweis, dass man unter Android ein Mensch ist, an die Ausführung proprietärer Google-Software gekoppelt wurde, stand bei der Ankündigung nicht im Vordergrund
  • Die Änderung kam nicht plötzlich: In einem Internet-Archive-Snapshot vom Oktober 2025 derselben Support-Seite war bereits die Anforderung an Play Services 25.39.30 vermerkt
  • Ein Nutzer im degoogle-Subreddit bestätigte dies; Berichte von PiunikaWeb und Android Authority machten es anschließend breiter bekannt

Unterschiede zwischen iOS und Android

  • Apple-Geräte mit iOS 16.4 oder neuer können dieselbe Verifizierung ohne Installation zusätzlicher Apps abschließen
  • Google verlangt von iPhone-Nutzern nicht, Google-Software zu installieren, um reCAPTCHA zu bestehen
  • Dadurch entsteht eine asymmetrische Struktur, bei der nur Android-Nutzer ausgesperrt werden, die Play Services ablehnen
  • Dieser Unterschied wirkt eher wie Kontrolle über das Ökosystem als wie Sicherheit

Probleme bei Webzugang und Datenübertragung

  • reCAPTCHA ist vor Hunderten Millionen Websites vorgeschaltet
  • Wenn Google die Verifizierung an Play Services bindet, entsteht ein Präzedenzfall dafür, dass für den Zugriff auf grundlegende Webinhalte Google-Software ausgeführt und Daten an Google-Server übertragen werden müssen
  • Nutzer de-Googled-Telefone wählen diese Konfiguration, weil sie die Datenpraktiken der Play Services geprüft haben und ihnen nicht zustimmen
  • Das neue System behandelt das Fehlen proprietärer Google-Software grundsätzlich als verdächtig und benachteiligt damit diese Entscheidung

Von Webentwicklern gewählte Ausgrenzung

  • Websites, die dieses reCAPTCHA einsetzen, senden das Signal, dass de-Googled-Android-Nutzer nicht willkommen sind
  • Diese Nutzergruppe ist derzeit zwar klein, gehört aber zu den sensibelsten Gruppen, wenn es darum geht, wie Websites mit Daten umgehen
  • Es ist unwahrscheinlich, dass diese Nutzergruppe der Anforderung von Google Play Services leicht nachgibt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Hacker-News-Kommentare

  • Dieses neue reCAPTCHA ist im Grunde als Remote Attestation zu verstehen
    Remote Attestation verwendet keine Blind Signatures, weil diese sich massenhaft weiterverteilen ließen. Wenn also die Google-Server mitspielen, können sie Gerät und attestierte Person technisch miteinander verknüpfen: EK (fest eingebrannter privater Schlüssel) → AIK (temporärer Identitätsschlüssel im Sicherheitsbereich, von den Google-Servern signiert) → Attestierung (von AIK signiert)
    Wenn die Google-Server die EK→AIK-Umwandlung protokollieren, lässt sich eine bestimmte Attestierung leicht bis zur EK eines Geräts zurückverfolgen. Deshalb gibt es kaum Online-Dienste, die gefälschte Remote Attestations anbieten, und vermutlich wird es auch weiterhin kaum welche geben. Denn der nächste Schritt beim Betrieb eines solchen Dienstes wäre, dass Google als Kunde auftritt und alle Geräte auf die Sperrliste setzt
    Wenn dieses neue reCAPTCHA keine besonderen Schutzmaßnahmen hat, bedeutet das nicht nur, Internetdienste hinter TPM-Chips zu verschließen, sondern auch, Google die Anonymität zu überlassen. Sofern man sich nicht für jeden Dienst ein eigenes, nicht nachverfolgbares Wegwerfgerät besorgt, macht dieser Ansatz es möglich, alle Konten über verschiedene Dienste hinweg miteinander zu verknüpfen. Das ist ähnlich wie bei einer Altersverifikation, und auch wenn es so aussieht, als müssten Dienste zusammenarbeiten, um eine reCAPTCHA-Sitzung mit einer Registrierung zu verknüpfen, dürfte schon allein der Registrierungszeitpunkt die Anonymitätsmenge fast vollständig zusammenbrechen lassen

    • Wenn man eine Website betreibt, scheint es auch leicht zu sein, denselben Code auf der eigenen Seite zu hosten, Attestierungsanfragen an andere weiterzuleiten und dafür zu sorgen, dass statt des eigenen Geräts deren Gerät bei Google gesperrt wird
    • Wenn es solche Firmen gibt, verstehe ich nicht, welchen Sinn es hat, sich auf TPM zu verlassen. Die Zukunft VC-finanzierter Bots sieht rosig aus
      https://doublespeed.ai/
    • Eine Aufgabe wie „Diesen QR-Code interpretieren“ dürfte es wohl nicht einmal in die Top 500.000 der Aufgaben schaffen, „die Menschen besser können als Computer“
    • In der reCAPTCHA-Dokumentation sehe ich keine Anforderung, dass Unterstützung für Hardware Attestation Pflicht wäre; offenbar reichen Play Services allein aus
      Wahrscheinlich ist es eher so, dass Google selbst remote attestiert und mit einer App wie Play Services, die enorme Zugriffsrechte auf dem Telefon hat, verschiedene Datenpunkte miteinander verknüpfen kann. Unter dem Vorwand, die „Menschlichkeit“ besser beurteilen zu wollen, möglicherweise sogar bis hin zur lokalen Aktivität auf dem Telefon
      Für Leute mit Google-Konto macht das in Bezug auf die gesammelten Daten vielleicht keinen großen Unterschied
      Theoretisch ließe sich so etwas zwar fälschen, aber aus Googles Sicht wäre es leicht, Attestierungen zu erkennen, die von mehreren Personen gemeinsam benutzt werden
      Es ist ohnehin nur ein Update eines sehr groben Systems, absolute Sicherheit ist also noch nicht erforderlich, aber Umgehungen dürften extrem viel schwieriger werden
    • Falls Google iPhone-Nutzer nicht dazu verpflichtet hat, zum Bestehen des Tests Google-Software zu installieren: Könnte sich ein de-googeltes Android-Telefon dann als iPhone ausgeben?

  • Ich nutze schon jetzt kein Android mehr, habe seit fast zehn Jahren auch kein Android mit Google mehr genutzt und werde das auch künftig nicht tun. Wenn das die Grenze ist, die man bis zum Ende verteidigen muss, dann sei es so
    Hardware Attestation würde ich nicht verwenden, egal ob unter Googles Kontrolle oder nicht. Selbst wenn ich ein nicht gerootetes, von Google zertifiziertes Android-Telefon hätte, sollte man es meiner Meinung nach nicht benutzen

    • Wenn Fintech-Apps nicht mehr funktionieren und man deshalb kein Geld empfangen kann, ist das kein interessantes Problem mehr. Deshalb braucht es Regulierung
      Allerdings glaube ich nicht, dass Politiker gegen Werbekonzerne vorgehen werden. Sie sind schließlich deren Kunden

  • Ich hatte ein altes günstiges Android als Reserve und bin vor Kurzem auf GrapheneOS umgestiegen. Ich habe nur noch ein Google-Profil und nutze es nur für Uber, den Google Chat der Firma und Karten
    Eine Bank verweigerte den Betrieb selbst mit vorhandenen Google-Diensten, also habe ich die Bank gewechselt. Den Großteil meiner mobilen Nutzung habe ich auf selbst gehostete Lösungen umgestellt und Dinge wie freshrss mit Volltext, Passwortmanager, Kalender und Aufgabenverwaltung so eingerichtet, dass sie nicht direkt dem Internet ausgesetzt sind
    Es ist etwas lästig, aber ich bin froh, diese Reise begonnen zu haben. Es sieht immer mehr so aus, als würde man anfangen, das Internet selbst zu meiden

    • Was ist die beste Alternative zu Google Drive? Ich bin auch diesen Weg gegangen, aber Samba ist manchmal etwas mühsam

  • archive.is verlangte das Scannen eines QR-Codes, und diese Sache hinter Cloudflare ist einfach zu peinlich. Zwingt man Website-Besucher jetzt zu KYC? Seid ihr noch ganz bei Trost?
    Wenn man das in diese Richtung weiterdrückt, geht das Web kaputt. Sollen plötzlich Millionen von Websites KYC erzwingen?
    https://ibb.co/X9Q6Y84
    Ich nenne es KYC, weil es nur sehr wenige nicht kriminelle Wege gibt, eine SIM ohne KYC zu bekommen und ein Google-Konto für den Play Store ohne Telefonnummer anzulegen. Damit würde jeder Website-Besuch an eine echte Identität gebunden
    Weil ich kein Stock-Android nutze, kann ich aktuell tatsächlich auf viele Websites nicht zugreifen. Das ist völlig absurd

    • Der Text lautet: „reCAPTCHA teilt dieser Website Ihre Daten nicht mit“, aber dort steht nicht, dass es sie nicht mit Google teilt. Bedeutet das dann, dass es sie teilt?
    • Das ist wirklich übel :-(
      Gerade bei Seiten wie archive.is wird es offenbar deutlich schwieriger, ohne Telefon im Internet unterwegs zu sein
      Ich weiß nicht, wie sehr das zur Diskussion passt, aber falls es hilft: Ich habe ein Projekt gebaut, mit dem man archive.is-Seiten in archive.org/Wayback Machine archivieren kann. Es verwendet singlefile
      Die Community könnte so etwas vielleicht auch in großem Maßstab nutzen. Hoffentlich behebt archive.is das Problem mit der QR-Code-Pflicht und es wird kein dauerhaftes Problem
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Ich verstehe nicht, warum man nicht Private Access Tokens übernommen hat. Perfekt sind die auch nicht, aber man hätte es zumindest so verpacken können: so tun, als sei das Ziel nicht die Verletzung der Privatsphäre der Leute, die traditionelle Ausrede „Apple macht das auch“ benutzen, so tun, als sei man standardorientiert, und es als völlig transparentes Feature für Endnutzer vermarkten
    Damit hätte man vermutlich irgendeine Form von Geräteattestierung erreicht und dabei deutlich weniger Gegenreaktionen ausgelöst. Aber offenbar war das nicht das eigentliche Ziel

    • Im Grunde löst das gar nichts. Man will bestimmte Personen oder zumindest relativ teure Geräte identifizieren, damit sie nach einer Sperre auch gesperrt bleiben
    • Ist das nicht einfach das Not-Invented-Here-Syndrom?

  • Damit ist eine Grenze überschritten, bei der Regierungen eingreifen und Google hart verbieten oder mit Bußgeldern belegen sollten. Das ist monopolistisches Verhalten

    • Dass es ein Monopol ist, zeigt sich schon daran, dass man auf der Dokumentations-Website halb so viele Videos dazu findet, wie man diese Funktion mit Google Analytics verbindet
      Es ist eine Struktur, in der andere Produkte dazu benutzt werden, das Monopol bei Suche und Werbung zu stärken
      Man kann keine Inhalte scrapen, um ein besseres Google oder Gemini zu bauen, kein Betriebssystem entwickeln, das mit Google oder Apple konkurriert, und auch keinen Wettbewerber zu Google Analytics aufbauen
      Das ist eindeutig wettbewerbsfeindlich
    • Gerade Regierungen brauchen so etwas am meisten. Sie wollen schließlich wissen, wer potenzielle oder aktuelle Dissidenten sind
    • Es scheint hier klare Ansatzpunkte für Ermittlungen wegen illegaler Kopplung oder Missbrauchs einer marktbeherrschenden Stellung zu geben. Hoffentlich hört die FTC zu, falls sie auch hier ein Auge drauf hat
    • Eher ist es so, dass Regierungen das sogar auf .gov-Seiten verwenden und es uns aufzwingen

  • Weiß jemand, was sich in iOS 16.5 geändert hat, sodass Google aufgehört hat, die Installation einer App zu verlangen? Es sieht nach Apples Remote-Attestierungsansatz Private Access Tokens aus
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Das ist das typische Wegziehen der Leiter, um konkurrierende AI Agents auszusperren und gleichzeitig den eigenen Zugang zu sichern
    Der Markt für autonome Agenten, die Dienste bereitstellen und Online-Aufgaben ausführen, wird riesig werden, also braucht man Verhandlungsmacht, damit die eigenen Bots nicht von den von Amazon, Cloudflare, Microsoft usw. bewachten Vermögenswerten ausgesperrt werden

  • Ich habe kürzlich einem verwirrten Familienmitglied geholfen, zwei Google-Cloud-Konten zu löschen, von deren Existenz diese Person nicht einmal wusste. Erst durch eine E-Mail darüber, dass reCAPTCHA in andere Google-Produkte integriert wird, ist das aufgefallen
    Ich habe keine Ahnung, was da passiert ist. Die bisher beste Vermutung ist, dass die Person beim Lösen eines CAPTCHA in einem Browser, in dem gleichzeitig ein Google-Konto eingeloggt war, wirklich auf den falschen Button geklickt hat. Bizarr

    • Könnte das vielleicht der AI-Studio-Playground gewesen sein? Es sieht so aus, als wäre inzwischen alles integriert

  • Fairerweise muss man sagen, dass es bereits Apps gibt, die bei der Registrierung ein Telefon verlangen. Bei VK und Telegram ist das zum Beispiel so
    Google scheint für die Kontoerstellung ebenfalls das Scannen eines QR-Codes zu verlangen, daher könnte es, je nach Zweck, sogar einfacher sein, Google-Konten einfach auf dem Schwarzmarkt zu kaufen
    Heutzutage vertraut niemand mehr einem Webbrowser