ハクソク

世界を動かす技術を、日本語で。

Googleが「reCAPTCHA」を非Google化されたAndroidユーザー向けに無効化した

7時間前原文(reclaimthenet.org)

概要

  • Googleの次世代reCAPTCHA がAndroidのGoogle Play Servicesに依存
  • de-Googled端末 では認証が自動的に失敗
  • Play Services v25.41.30以上 が必要条件
  • iOSでは追加アプリ不要、Androidのみ制限
  • エコシステムコントロールの強化と プライバシー懸念

GoogleのreCAPTCHA新仕様とAndroidユーザーへの影響

  • Googleの新しいreCAPTCHA がAndroid端末で Google Play Services への依存を強化
  • de-Googled端末 (GrapheneOSやカスタムROM等)では認証プロセスが自動的に失敗
  • Play Services v25.41.30以上 がインストールされていないと人間認証不可
  • 疑わしいアクティビティ が検出されると従来の画像パズルではなく QRコードスキャン 方式に切り替え
  • QRコードのスキャンには バックグラウンドでPlay Servicesが必要、Googleサーバーとの通信が必須
  • Google Cloud Fraud Defense として2024年4月23日Cloud Nextで発表、AIエージェントやボット対策も目的
  • 人間である証明のためにGoogle独自の監視に同意が必要 という新たな前提

仕様変更の経緯と透明性の問題

  • 2023年10月のInternet Archive スナップショットで、既にPlay Services要件が記載
  • 少なくとも7ヶ月前から静かに依存関係を構築
  • Redditのdegoogleサブレディット投稿 をきっかけに、PiunikaWebやAndroid Authorityが報道
  • Googleは公式発表で依存強化を強調せず

iOSとの比較とエコシステムコントロール

  • iOS 16.4以降のApple端末 では追加アプリ不要で同じ認証プロセスを完了
  • iPhoneユーザーにGoogleソフトウェアのインストールを要求せず
  • AndroidのみPlay Services未使用時に認証不可
  • セキュリティではなくエコシステム制御が主目的 との指摘
  • reCAPTCHAが多数のWebサイトで利用されており、 Googleソフトウェアの利用が事実上の条件

プライバシーとユーザー選択の否定

  • de-Googled端末利用者 はGoogleのデータ収集方針を理解し、同意しない選択をしたユーザー層
  • Googleの新システムはその選択を「疑わしい」と見なして排除
  • reCAPTCHA導入サイトはde-Googledユーザーを事実上排除
  • 現時点で対象ユーザーは少数だが、 プライバシー意識の高い層を排除する動き

Web開発者への注意喚起

  • reCAPTCHA導入は「Google非依存ユーザーは歓迎しない」という意思表示
  • プライバシー重視層 への配慮や代替手段の検討が必要

関連情報

Hackerたちの意見

私の理解では、この新しいreCAPTCHAは基本的にリモート認証に過ぎないんだよね。リモート認証はブラインド署名を使わないから(それだと「ファーム可能」になっちゃうし)、デバイスを「認証対象」に結びつけるのは技術的には可能なんだ。Googleサーバーの共謀があればね。EK(静的に焼き付けられた秘密鍵)→AIK(Googleサーバーに署名されたセキュアエンクレーブ内の一時的なアイデンティティキー)→認証(AIKによって署名されたもの)。見ての通り、GoogleサーバーがEK→AIKの変換をログに残していれば、認証は簡単にあなたのデバイスのEKに追跡できる。だから、偽のリモート認証を提供するオンラインサービスはほとんど見かけないし、これからも見ないだろうね。そんなサービスを運営する次のステップはGoogleを顧客にすることだし、すべてのデバイスがブラックリストに載っちゃうから。プライベートファームも長持ちしないだろうね。Googleはすべてをログに残して相関関係を見つけるだろうし。新しいreCAPTCHAで特別なことが行われない限り、TPMチップの背後にインターネットサービスをロックしているだけでなく、Googleに匿名性を渡していることになる。すべてのサービスに対して追跡不可能なバーナーを手に入れない限り、新しいreCAPTCHAはすべてのアカウントを結びつける技術的な能力を持っていることになる。年齢確認みたいにね。サービスがreCAPTCHAセッションを登録にリンクさせるために協力する必要があるように見えるかもしれないけど、登録時間だけでも十分だろうし(匿名性のセットはほぼ壊滅状態になるだろう)。

GoogleはiPhoneユーザーにテストを通過するためにGoogleソフトをインストールするよう要求しなかった。デゴグルされたAndroidフォンはiPhoneとして自己主張できるの?

ウェブサイトを運営しているなら、同じコードを自分のサイトに載せて、他の誰かに認証を転送するのは簡単そうだね。自分のデバイスを禁止される代わりに、相手のデバイスが禁止されるってわけ。

reCAPTCHAを使っているサイトやサービスには行かないようにしよう。それで問題解決。

私の理解では、この新しいreCAPTCHAは基本的にリモート認証に過ぎない。そうだね、「このQRコードを解析して」っていうのは、私の「人間がコンピュータよりも効果的にできるタスク500,000個」のリストには入らないな。

reCAPTCHAのドキュメントにはハードウェア認証をサポートする必要があるとは書いてないし、Playサービスで「十分」みたいだね。おそらくGoogleによってリモートで認証される可能性が高いと思う。彼らはアプリを使って(Playサービスが持つ膨大なアクセス権を使って)たくさんのデータをリンクさせるかもしれない。公式には、すべてに基づいて人類の評価をより良くするためにね。Googleアカウントを使っている人にとっては、収集されるデータに大きな違いはないだろう。もしそうなるなら、スプーフィングは理論的には可能かもしれないけど、Googleが複数の人が使った認証を検出するのは簡単だろう。これは非常に大まかなシステムの更新であることを忘れないで。絶対的なセキュリティは(まだ)必要ないけど、それでも回避するのは非常に難しい可能性が高いね。

こんな会社が存在するなら、TPMに頼る意味って何なの?VCが支援するボットたちの未来は明るいみたいだね。 https://doublespeed.ai/

なんで彼らがプライベートアクセス・トークンを採用しなかったのか理解できないよ(あれも完璧じゃないけど)。少なくとも、 - 人々のプライバシーを侵害することが目的じゃないフリができた。 - 伝統的な「でもAppleもやってる」って言い訳ができた。 - スタンダード志向を装えた。 - エンドユーザーにとって完全に透明なものとして宣伝できた。 これなら、目標である何らかの形のデバイス認証を達成しつつ、反発も少なかったと思うんだけど、実際の目標はそれじゃないんだろうね。

ここでの発明症候群?

根本的な解決にはなってないよ。特定の人や、少なくとも比較的高価なデバイスを識別できるようにしたいんだ。そうすれば、彼らを禁止したときに本当に禁止できるから。

今はAndroidを使ってないし、GoogleのAndroidもほぼ10年使ってない。これからも使うつもりはないよ。これが私のこだわりなら、それでいい。Googleが管理してるようなハードウェア認証なんて絶対に使わない。君も使うべきじゃないよ、たとえルート化されてないGoogle認証のAndroidフォンを持っていても。

楽しいのは、フィンテックアプリが動かなくてお金がもらえなくなるまでは。だからこそ規制が必要なんだ。政治家が広告会社に逆らう姿は全く見えないね、彼らの顧客なんだから。

これは政府が介入して、Googleに対して厳しい罰金や禁止を課すべきラインを越えてるよ。

それどころか、政府はこのクソみたいなものを使って、.govのサイトでも私たちに押し付けてるんだ。

同意する。ここには違法な結びつきや市場力の乱用について調査を始めるべき明確な根拠があるよ。FTCがここに関与しているかは分からないけど、もし聞いてるなら…

一番必要なのは政府だよね。彼らは潜在的な反体制派や現在の反体制派が誰なのかを知りたがってる。

archive.isがQRコードのスキャンを求めてきたんだけど、こんなクソみたいなことに恥ずかしさを感じるよ(Cloudflareの背後にあるし)。ウェブサイトの訪問者にKYCを強制するなんて、頭おかしいんじゃないの!?これを推進したらウェブは壊れるよ、突然KYCを強制する何百万ものウェブサイトが出てくるの?何だよ… https://ibb.co/X9Q6Y84 KYCが必要なのは、KYCなしでSIMを持つ非犯罪的な方法がほとんどないからで、Playstore用のGoogleアカウントを番号なしで取得するために、すべてのウェブサイト訪問が実際のIDに結びつくことになる。今、ストックのAndroidを使ってないから、実際に多くのウェブサイトにアクセスできないんだ。これは本当にクレイジーだよ。

面白いね、テキストには「reCAPTCHAはこのサイトとあなたの情報を共有しません」って書いてあるけど、Googleと情報を共有することについては何も言ってない。つまり、そういうこと?

https://ibb.co/X9Q6Y84 わあ、これは本当にひどい :-( スマホなしでインターネットを閲覧するのがかなり難しくなりそうだね、特にarchive.isとかのせいで。これが議論にどれだけ関係あるかわからないけど、もし役に立てば、archive.isのページをarchive.org/wayback machineにアーカイブするプロジェクトを作ったよ(これはsinglefileを使ってる)。こういうのがコミュニティ全体で使えるようになるといいな。それに、archive.isがQRコードの必要性を解決するために何かアクションを起こしてくれることを願ってる。これが永遠の問題にならないといいけど。

ほとんど関係ない話だけど、最近、すごく混乱している家族を手伝って、知らなかった二つのGoogle Cloudアカウントを削除したんだ。彼らは、reCAPTCHAが他のGoogle製品に統合されるっていうメールを見て初めてその存在を知ったみたい。何が起こったのか全然わからないけど、今のところの私の推測は、彼らが自分のGoogleアカウントにログインした状態で、キャプチャを解くときに本当に間違ったボタンをクリックしちゃったんじゃないかってこと。奇妙だよね。

AI Studioのプレイグラウンドかな?全部統合されてるみたいだね。

誰かがこれを独占禁止法違反として挑戦するのを見てみたいな。GoogleはreCAPTCHAの提供者としての市場力を使って、Google Playサービスを使わないデバイスが効果的に競争するのを妨げてるんだ。

予備の安いAndroidを長いこと使ってたけど、最近はGrapheneに切り替えたよ。Googleのプロファイルは一つだけで、Uberや仕事のGoogle Chat、地図にしか使ってない。ある銀行は(Googleサービスを使っても)使えなかったから、別の銀行に移った。ほとんどのモバイル利用は自己ホスティングに移行して、インターネット接続なしで(freshrssの全文、パスワードマネージャー、カレンダー、タスク)やってる。ちょっとイライラするけど、この道を進み始めてよかったと思ってる。ますますインターネットを避ける方向になりそうだから。

Googleドライブの代わりにおすすめのサービスって何かある?俺もこの道を選んだけど、Sambaはたまに面倒なんだよね。

確かに、サインアップに携帯電話が必要なアプリはもうあるよね、例えばVKやTelegramとか。それに、Googleもアカウント登録のためにQRコードをスキャンする必要があるから、何か目的があって必要なら、ブラックマーケットでGoogleアカウントを買った方が簡単だと思う。

90年代後半や2000年代のワイルドな時代みたいになるね。覚悟しとけ、めっちゃ盛り上がるぞ。