Neues reCAPTCHA erfordert ein zugelassenes Smartphone zum Bestehen

 (cybernews.com)
2 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Googles neues reCAPTCHA verlangt zur Verifizierung, dass auch bei Nutzung eines Desktop-PCs oder Laptops ein QR-Code mit einem kompatiblen Mobilgerät gescannt wird
  • GrapheneOS warnt, dass der Zugang zu Online-Diensten blockiert werden könnte, wenn kein iOS-Gerät oder Android-Gerät mit installierten Google Play Services vorhanden ist
  • Googles Support-Liste enthält nur Android mit installierten Google Play Services sowie iOS-/iPadOS-Geräte, sodass degoogelte Android-Smartphones die Verifizierung nicht abschließen können
  • Google sieht den QR-Code-basierten Ablauf als Methode, um zu verhindern, dass AI-Agenten frühere Aufgaben leicht lösen, und um automatisierten Betrug wirtschaftlich unmöglich zu machen
  • Bei Hacker News, X, Reddit und anderswo wächst die Kritik, dass Fernattestierung und die Anforderung zertifizierter Geräte eher Computing-Freiheit und Wettbewerb im Mobilmarkt einschränken als die Sicherheit zu verbessern

Was hat sich geändert? - Gerätebeschränkungen im neuen reCAPTCHA

  • Die Struktur verlangt den Besitz eines zugelassenen Android-Geräts oder iPhones, um die menschliche Identität nachzuweisen; Nutzer müssen den QR-Code mit einem „kompatiblen Mobilgerät“ scannen
    • Nutzer von datenschutzorientierten Betriebssystemen und Geräten würden dadurch von der Verifizierung ausgeschlossen, warnt GrapheneOS
  • Durch die jüngste Änderung können beliebige Geräte und Betriebssysteme wie degoogelte Android-Smartphones Googles reCAPTCHA-Verifizierung nicht mehr abschließen
  • Die Liste der Geräte, mit denen sich die Verifizierung abschließen lässt, ist auf Android mit installierten Google Play Services und iOS/iPadOS-Geräte beschränkt
  • reCAPTCHA ist ein Sicherheitstool, das von Millionen Websites und großen Diensten genutzt wird, um Menschen von Bots zu unterscheiden
    • Meist arbeitet es unsichtbar im Hintergrund, zeigt aber bei verdächtigen Umständen Challenges wie das Erkennen von Hydranten oder Ampeln an

  • Kritik von GrapheneOS

    • GrapheneOS bezeichnete die Maßnahme in einer öffentlichen Erklärung als „extrem wettbewerbsfeindlich
    • „Die Kontrolle über reCAPTCHA versetzt Google in die Lage, für die Nutzung riesiger Teile des Webs iOS oder zertifizierte Android-Geräte verlangen zu können“
    • Die Änderung wird als Ausweitung hardwarebasierter Attestierung beschrieben, die Hardware- und OS-Wettbewerb zunehmend ausschließe
      • attestation: ein Verfahren, bei dem Hardware über einen eingebauten Sicherheitschip kryptografisch nachweist, dass es sich um ein echtes Gerät handelt
    • „Der Zweck dieses Systems ist es, die Nutzung von Hardware und Software zu verhindern, die nicht von Apple oder Google genehmigt wurde, und dies wird fälschlich als Sicherheitsfunktion dargestellt
      • „Geräte ohne Patches seit 10 Jahren werden zugelassen, deutlich sicherere Betriebssysteme aber blockiert“; Ziel sei die monopolistische Durchsetzung über die Lizenzierung von Google Mobile Services, so die Behauptung

  • Cloud Fraud Defense und AI-resistente Challenges

    • Das neue reCAPTCHA ist Teil der am 22. April vorgestellten Plattform Cloud Fraud Defense, die darauf ausgelegt ist, die Legitimität von Bots, Menschen und AI-Agenten zu prüfen
    • Google erklärt, der „Anstieg ausgefeilter Automatisierung erfordere einen grundlegenden Wandel im Risikomanagement“
    • Die Support-Liste enthält nur Android-Geräte mit installierten Google Play Services sowie iOS-/iPadOS-Geräte
    • Website-Betreiber erhalten feingranulare Kontrolle, um Bots und AI-Agenten anhand von Bedingungen wie Risikoscore, Automatisierungstyp und Agentenidentität zuzulassen oder zu blockieren
    • Das neue QR-Code-basierte CAPTCHA soll AI-Agenten blockieren, die bisherige Challenges leicht lösen können
      • Google erklärt: „Diese AI-resistente Mitigation-Challenge, die menschliche Anwesenheit nachweist, wurde so entwickelt, dass automatisierter Betrug wirtschaftlich unmöglich wird“
    • Google migriert bestehende reCAPTCHA-Kunden ohne zusätzliche Maßnahmen oder Preisänderungen zu Fraud Defense
    • Die Funktion werde bereits seit mindestens Oktober 2025 stillschweigend ausgerollt; ein damaliger Blogpost kündigte den QR-Code-Ansatz für „stärkere AI-resistente Sicherheit“ an
      • Selbst beim Surfen auf PC oder Mac liefere die Beteiligung eines physischen Mobilgeräts „eine hochvertrauenswürdige Attestierung, dass ein einzigartiger Mensch anwesend ist“
    • GrapheneOS erklärt, dies führe Hardware-Attestierungsanforderungen für Windows, Desktop-Linux, OpenBSD und andere Plattformen ein und verlange das Scannen des QR-Codes mit einem zertifizierten Smartphone. Das könne noch ausgeweitet werden
    • Datenschützer warnen, dass Dienste, die zunehmend Apple App Attest oder Google Play Integrity verlangen, das Duopol im Mobilmarkt verfestigen
      • GrapheneOS erwähnt, dass die EU solche Anforderungen bei digitalen Zahlungen, IDs und Altersverifikation vorantreibe und viele Apps von EU-Regierungen sie verlangten

Kritik und Bedenken

  • Website-Betreiber entscheiden, welche CAPTCHA-Lösung sie einsetzen und wie strikt sie diese anwenden
  • Datenschützer warnen, dass die wachsende Forderung nach Apple App Attest oder Google Play Integrity die Zweimarktstruktur im Mobilbereich verfestigt
  • GrapheneOS sieht die EU als treibende Kraft hinter der Anwendung solcher Anforderungen bei digitalen Zahlungen, IDs und Altersverifikation; viele Apps von EU-Regierungen verlangten dies bereits

  • Reaktionen aus Tech-Community und sozialen Medien

    • In der Tech-Community auf Hacker News ist weit verbreitet die Ansicht, im Kern gehe es nicht um Sicherheit, sondern um Machtkontrolle
    • Ein Hacker-News-Nutzer schrieb: „Fernattestierung wird die Art sein, wie unsere Computing-Freiheit stirbt“
    • Auf X erzielten entsprechende Posts Millionen Aufrufe und Zehntausende Reaktionen
    • International Cyber Digest schrieb, dass Nutzer degoogelter Android-Handys wie GrapheneOS, CalyxOS und /e/OS auf Millionen Websites blockiert würden, wenn sie nicht die absichtlich entfernten Google Play Services wieder installieren
    • International Cyber Digest formulierte: „Google behandelt Privatsphäre jetzt standardmäßig als verdächtiges Verhalten

  • Frühere ähnliche Versuche und Sicherheitsbedenken

    • Das Online-Privacy-Unternehmen Mega erklärte, Google habe 2023 versucht, eine ähnliche Maßnahme namens Web Environment Integrity einzuführen, diese aber nach öffentlichem Widerstand zurückgezogen
      • „Diesmal wurde sie nicht als öffentlicher Vorschlag, sondern als kommerzielles Produkt eingeführt. Bestehende CAPTCHA-Methoden bleiben vorerst als Fallback zugänglich, aber wie lange noch, ist unklar“
      • „Niemand ohne zertifiziertes Gerät kann sich verifizieren“
    • Auch auf Reddit läuft eine ähnliche Debatte
      • Ein Reddit-Nutzer lehnt die Einbindung von QR-Codes in CAPTCHA ab und warnt, dies sei eine weitere Form der Überwachung wie Altersverifikation und Anti-VPN
      • Einige Nutzer befürchten, dass das neue QR-Code-reCAPTCHA für Betrüger neue Angriffswege schaffen könnte, etwa durch gefälschte QR-Code-Bestätigungen und das Nachahmen des Verifizierungsablaufs
      • „Die Leute, die das entworfen haben, haben Sicherheit überhaupt nicht bedacht. Betrüger werden begeistert sein“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Lobste.rs-Kommentare

  • Aus Sicht der Sicherheit des Nutzerverhaltens wirkt das wie ein großer Rückschritt
    Angreifer können jetzt reCaptcha-QR-Codes fälschen und Nutzer an beliebige Orte schicken, und es gibt weder eine Garantie noch eine realistische Erwartung, prüfen zu können, ob dieser Code echt ist
    Es gibt bereits gefälschte Cloudflare-Turnstile-Seiten, die dazu auffordern, Windows+R zu drücken und etwas einzufügen; es scheint fast unmöglich, Nutzern beizubringen, wie sie damit umgehen sollen

    • Das ist auch ein guter Angriffsweg gegen Zwei-Faktor-Authentifizierung, bei der das zweite Element das Telefon ist
      Jetzt können beide Authentifizierungsfaktoren an einen vom Angreifer kontrollierten Ort geleitet werden
    • Schrecklich
      Ich dachte, zum Scannen des QR-Codes wäre eine spezielle reCaptcha-App nötig, aber es ist einfach nur ein QR-Code mit einer normalen URL
    • Dagegen ließe sich auf Organisationsebene wohl mit dem Argument vorgehen: „Das ist von echtem Phishing nicht zu unterscheiden, und Nutzer werden massiv darauf hereinfallen“
      Aber wenn sie das schon ausprobieren, ist fraglich, ob sie darauf hören

  • Als ich das zum ersten Mal gesehen habe, war ich schockiert, weil ich dachte, es sei ein schlampiger Phishing-Versuch
    Ich nutzte damals Tor, und wenn ich den Code mit einem Telefon gescannt hätte, das mit meinem Google-Konto verknüpft ist, wäre diese Anonymität zerstört worden
    Man konnte noch zu einem visuellen CAPTCHA zurückkehren, aber ich fürchte, auch diese Option wird bald verschwinden
    Dann wird es viel schwieriger, das Internet anonym zu nutzen
    Die Behauptung, das sei „AI-resistant“, ist ebenfalls Unsinn
    Können sie sich wirklich nicht vorstellen, den QR-Code-Scan-Prozess zu automatisieren?

    • Genau das ist das Ziel
      Das Endziel ist, alle Geräte auszuschließen, die freien Zugang zu allgemeinem Computing bieten, und die Anonymität aller Besucher zu beseitigen
    • Natürlich werden sie die Möglichkeit der Automatisierung von QR-Code-Scans kennen
      Aber wie im Beitrag gesagt wird, verlangt dieser Prozess die Nutzung bestimmter Hardware, und der Kernpunkt ist, dass sich diese Hardware physisch nachweisen lässt
      Der Zweck ist, Skalierung teuer zu machen
      Wenn ein Telefon gesperrt wird, setzt man nicht einfach einen Docker-Container neu auf, sondern muss ein neues Telefon beschaffen
      Ich weiß nicht genau, wie der QR-Code technisch funktioniert oder ob dabei ein stabiler Identifikator verwendet wird
      Es könnte weniger invasive Optionen geben, etwa TPM-Counter, oder auch einen völlig anderen Ansatz
      Trotzdem denke ich, dass die Anforderung bestimmter Hardware genau deshalb existiert, um Hardware-Nachweise zu ermöglichen
      Das erreicht im Grunde dasselbe Ziel wie der Web Environment Integrity Proposal, nur auf lästigere Weise
      Wegen des Widerstands gegen WEI wurde dieser Ansatz aufgegeben, aber das Problem der Sybil-Angriffe, das damit gelöst werden sollte, ist nicht verschwunden, und wenn die Kosten für unbegrenzte Sybil-Angriffe praktisch null sind, ist das heutige Web in seiner aktuellen Form grundsätzlich nicht haltbar
      Deshalb werden sie weiter versuchen, das irgendwie zu lösen

  • Ich surfe hauptsächlich auf Desktop oder Laptop und habe nicht vor, QR-Codes von zufälligen Websites mit meinem Telefon zu scannen
    Dann gehe ich eben woanders hin

  • Ich nutze GrapheneOS und hoffe, das weiterhin tun zu können
    Es fühlt sich immer mehr so an, als bräuchte man bald ein Zweitgerät für Banking-Apps und jetzt sogar für CAPTCHA, was ziemlich verschwenderisch ist

    • Gerade deshalb wird es immer wichtiger, zu Diensten, die so etwas verlangen, einfach nein zu sagen

  • Ich verstehe nicht, wie das funktionieren soll
    Wie wollen sie verifizieren, mit welchem Gerät ich den Code scanne?
    Es wirkt, als müsste es sich leicht fälschen lassen; ich verstehe es nicht

  • Ich habe nur ein Klapphandy, kann ich dann jetzt reCaptcha-Seiten nicht mehr nutzen?

  • Vielleicht haben die Tech-Kapitalisten das Problem, „Nutzern über Posting-Muster die Anonymität zu nehmen“, einfach nicht schnell genug gelöst