Google, de-Googled Android kullanıcıları için reCAPTCHA'yı bozdu

 (reclaimthenet.org)
2 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Google, Android için yeni nesil reCAPTCHA'yı Google Play Services'e bağlayarak de-Googled Android kullanıcılarının ek doğrulama adımında otomatik olarak başarısız olmasına yol açıyor
  • Android kullanıcılarının insan olduğunu kanıtlayabilmesi için Google'ın kapalı kaynak uygulama çerçevesi Google Play Services 25.41.30 veya üzeri sürümünü çalıştırması gerekiyor
  • Şüpheli etkinlik tespit edilirse eski görsel bulmacalar yerine QR kod taraması isteniyor ve bu süreç ancak Play Services'ın Google sunucularıyla iletişim kurmasıyla tamamlanabiliyor
  • iOS 16.4 ve üzeri cihazlar aynı doğrulamayı ek Google yazılımı olmadan geçebilirken, yalnızca Play Services'ı reddeden Android kullanıcılarının dışarıda kaldığı asimetrik bir yapı ortaya çıkıyor
  • reCAPTCHA milyonlarca web sitesinin girişinde yer aldığından, bu değişiklik temel web erişimi için Google yazılımı çalıştırmayı ve verilerin Google sunucularına gönderilmesini gerektiren bir emsal oluşturuyor

Google Play Services'a bağlı doğrulama yöntemi

  • Android'de insan olduğunu kanıtlama süreci, Google'ın kapalı kaynak uygulama çerçevesi Google Play Services 25.41.30 veya üzeri sürümüne bağlı
  • reCAPTCHA şüpheli etkinlik tespit ettiğinde eski görsel bulmacalar yerine QR kod taraması istiyor
  • QR taraması, arka planda çalışan Play Services'ın Google sunucularıyla iletişim kurmasını gerektirdiği için GrapheneOS veya Google yazılımı kaldırılmış diğer özel ROM'larda doğrulama başarısız oluyor
  • de-Googled phone kullanan kullanıcılar, sistem ek doğrulama istediğinde otomatik olarak başarısız oluyor

Google Cloud Fraud Defense ve devreye alınma süreci

  • Google, 23 Nisan'da Cloud Next etkinliğinde daha geniş kapsamlı bir sistem olan Google Cloud Fraud Defense'ı duyurdu
  • Bu sistem, otonom yapay zeka ajanlarını ve mevcut botları birlikte ele almak için bir güven platformu olarak tanıtıldı
  • Android'de insan olduğunu kanıtlama sürecinin Google'ın kapalı yazılımını çalıştırmaya bağlandığı gerçeği duyurunun ön yüzünde yer almadı
  • Bu değişiklik bir anda ortaya çıkmadı; 2025 Ekim tarihli Internet Archive anlık görüntüsünde aynı destek sayfasında Play Services 25.39.30 gereksinimi zaten görünüyordu
  • Bunu Reddit'teki degoogle alt dizinindeki kullanıcılar fark etti ve konu PiunikaWeb ile Android Authority haberleri sayesinde daha geniş kitlelere ulaştı

iOS ve Android arasındaki fark

  • iOS 16.4 veya üzerini çalıştıran Apple cihazları aynı doğrulamayı ek uygulama yüklemeden tamamlayabiliyor
  • Google, iPhone kullanıcılarından reCAPTCHA'yı geçmek için Google yazılımı yüklemelerini istemiyor
  • Böylece yalnızca Play Services'ı reddeden Android kullanıcılarının dışarıda kaldığı asimetrik bir yapı oluşuyor
  • Bu fark, güvenlikten çok ekosistem kontrolüne benziyor

Web erişilebilirliği ve veri aktarımı sorunu

  • reCAPTCHA milyonlarca web sitesinin girişinde bulunuyor
  • Google doğrulamayı Play Services'a bağladığında, temel web içeriğine erişim için Google yazılımı çalıştırmayı ve verileri Google sunucularına göndermeyi gerektiren bir emsal oluşuyor
  • de-Googled telefon kullanıcıları bu yapılandırmayı, Play Services'ın veri uygulamalarını inceleyip onaylamadıkları için tercih ediyor
  • Yeni sistem, Google'ın kapalı yazılımı olmayan durumları varsayılan olarak şüpheli sayarak bu tercihi cezalandırıyor

Web geliştiricilerin tercih edeceği dışlama

  • Bu reCAPTCHA'yı kullanan web siteleri, de-Googled Android kullanıcılarını hoş karşılamadıkları mesajını vermiş oluyor
  • Bu kullanıcı kitlesi bugün küçük olsa da, web sitelerinin verileri nasıl işlediğine en duyarlı gruplardan biri
  • Bu kullanıcı kitlesinin Google Play Services gereksinimine kolayca boyun eğmesi pek olası görünmüyor

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları

  • Bu yeni reCAPTCHA temelde uzaktan doğrulama (remote attestation) olarak anlaşılıyor
    Uzaktan doğrulama kör imza kullanmaz; çünkü o zaman toplu şekilde yeniden dağıtılabilir. Bu yüzden Google sunucuları işbirliği yaparsa cihazı ve doğrulanan tarafı teknik olarak birbirine bağlayabilir: EK(sabit şekilde gömülü özel anahtar) → AIK(güvenli alandaki geçici kimlik anahtarı, Google sunucusu imzalar) → doğrulama(AIK imzalar) akışı söz konusu
    Google sunucusu EK → AIK dönüşümünü kaydederse belirli bir doğrulamayı cihazın EK’sine kadar kolayca izleyebilir. Bu yüzden sahte uzaktan doğrulama sunan çevrimiçi hizmet neredeyse yok ve gelecekte de görmek zor görünüyor. Çünkü böyle bir hizmeti işletmenin bir sonraki aşaması, Google’ın müşteri olup tüm cihazları engelleme listesine ekletmesi olurdu
    Bu yeni reCAPTCHA’da özel bir önlem yoksa bu, internet hizmetlerini yalnızca TPM çipinin arkasına kilitlemek değil, anonimliği Google’a teslim etmek anlamına gelir. Her hizmet için izlenemeyen geçici cihazlar bulmadıkça bu yöntem, farklı hizmetlerdeki tüm hesapların birbirine bağlanmasına izin verir. Yaş doğrulamaya benziyor; hizmetin reCAPTCHA oturumunu üyelikle ilişkilendirmesi için işbirliği yapması gerekiyormuş gibi görünse de yalnızca kayıt zamanı bile anonim kümesini neredeyse çökertebilir

    • Bir web sitesi işletiyorsanız aynı kodu kendi sitenize koyup doğrulama isteğini başkasına iletmek ve kendi cihazınız yerine onun cihazının Google tarafından engellenmesini sağlamak da kolay görünüyor
    • Böyle şirketler varsa TPM’ye dayanmanın ne anlamı olduğunu bilmiyorum. VC yatırımı almış botların geleceği parlak görünüyor
      https://doublespeed.ai/
    • “Bu QR kodunu yorumla” görevi, “insanların bilgisayarlardan daha iyi yapabildiği işler” listesinin ilk 500 bini arasına bile girmez gibi görünüyor
    • reCAPTCHA belgelerinde donanım doğrulaması desteğinin zorunlu olduğuna dair bir gereklilik görmüyorum; yalnızca Play Services bile yeterli görünüyor
      Muhtemelen Google uzaktan doğrulama yapacak ve Play Services gibi telefonda devasa erişim yetkilerine sahip bir uygulamayı kullanarak çok sayıda veriyi ilişkilendirebilecek. Telefonda yerel etkinlikler de dahil olmak üzere “insanlık” değerlendirmesini daha iyi yapmak bahanesi olabilir
      Google hesabı kullananlar için toplanan veri açısından çok büyük bir fark olmayabilir
      Böyle bir yöntemde teorik olarak sahtecilik de mümkün olabilir, ama Google açısından birçok kişinin paylaşıp kullandığı doğrulamaları tespit etmek kolay olur
      Zaten çok kabaca çalışan bir sistemin güncellemesi; henüz mutlak güvenlik gerekmiyor ama aşılması son derece zor hale gelebilir
    • Google iPhone kullanıcılarından testi geçmek için Google yazılımı kurmalarını istemediyse, Google’sız Android telefonlar kendilerini iPhone gibi gösterebilir mi?

  • Şu anda Android kullanmıyorum, Google’lı Android’i de neredeyse 10 yıldır kullanmadım ve gelecekte de kullanmayacağım. Sonuna kadar korunması gereken çizgi buysa öyle olsun
    Google tarafından kontrol edilsin ya da edilmesin donanım doğrulaması kullanmayacağım. Rootsuz, Google sertifikalı bir Android telefonum olsa bile kullanılmaması gerektiğini düşünüyorum

    • Bir fintech uygulaması çalışmadığı için para alamaz hale gelince bu artık eğlenceli bir sorun olmuyor. Bu yüzden düzenleme gerekiyor
      Ama siyasetçilerin reklam şirketlerinin karşısına çıkacağını sanmıyorum. Sonuçta müşterileri onlar

  • Yedek olarak eski ucuz bir Android tutuyordum, son zamanlarda ise GrapheneOS’a geçtim. Yalnızca bir Google profili bırakıp onu Uber, iş için Google Chat ve haritalar için kullanıyorum
    Bir banka, Google hizmetleri olsa bile çalışmayı reddettiği için bankayı değiştirdim. Mobil kullanımın çoğunu kendi barındırdığım çözümlere taşıdım; freshrss tam metin, parola yöneticisi, takvim, görev yönetimi gibi şeyleri doğrudan internete açık olmayacak şekilde yapılandırdım
    Biraz uğraştırıcı ama bu yolculuğa başladığım için memnunum. Gittikçe internetin kendisinden kaçınır hale gelecekmişim gibi görünüyor

    • Google Drive için en iyi alternatif nedir? Ben de bu yola girdim ama Samba bazen biraz can sıkıcı olabiliyor

  • archive.is QR kod taraması istedi ve Cloudflare arkasında yapılan bu şey çok utanç verici. Web sitesi ziyaretçilerine KYC mi dayatılıyor? Aklınızı mı kaçırdınız?
    Bu yöne zorlanırsa web bozulur. Milyonlarca web sitesi bir anda KYC mi dayatacak?
    https://ibb.co/X9Q6Y84
    Buna KYC dememin nedeni, KYC olmadan SIM edinmenin ve telefon numarası olmadan Play Store için Google hesabı açmanın suç dışı yollarının çok az olması. O zaman tüm web sitesi ziyaretleri gerçek kimliğe bağlanmış olur
    Stok Android kullanmadığım için şu anda gerçekten birçok web sitesine erişemiyorum. Bu gerçekten saçma

    • Metinde “reCAPTCHA bu siteyle sizin ayrıntılarınızı paylaşmaz” deniyor ama Google ile paylaşmaz demiyor. O halde paylaşıyor mu?
    • Bu gerçekten kötü :-(
      Özellikle archive.is gibi yerlerde telefonsuz internete bakmak çok daha zor hale gelecek gibi görünüyor
      Tartışmayla ne kadar ilgili olduğundan emin değilim ama faydalı olacaksa archive.is sayfalarını archive.org/Wayback Machine’e kaydedebilen bir proje yaptım. singlefile kullanıyor
      Topluluk bunu büyük ölçekte kullanabilir gibi görünüyor. Umarım archive.is QR kod zorunluluğu sorununu düzeltir ve kalıcı bir mesele haline gelmez
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Neden Private Access Tokens benimsenmediğini bilmiyorum. O da harika değil ama en azından şöyle paketlenebilirdi: insanların mahremiyetini ihlal etmenin amaç olmadığı izlenimi vermek, “Apple da yapıyor” şeklindeki geleneksel bahaneyi kullanmak, standart odaklıymış gibi görünmek, son kullanıcıya tamamen şeffaf bir özellik diye pazarlamak
    Bunu yapsalardı bir şekilde cihaz doğrulamasını yine elde ederlerdi ama tepki çok daha az olurdu. Ama belli ki asıl hedef bu değil

    • Temelde hiçbir şeyi çözmüyor. İstedikleri şey, belirli kişileri ya da en azından nispeten pahalı cihazları tanımlayabilmek ve engellendiklerinde engelli kalmalarını sağlamak
    • Bu bir Not Invented Here sendromu olabilir mi?

  • Bu, hükümetin devreye girip Google’ı ağır şekilde yasaklaması ya da para cezası vermesi gereken çizgiyi aştı. Bu tekelci davranış

    • Tekel olduğu, belgelendirme sitesine gidince videoların yarısının bu özelliği Google Analytics’e bağlamakla ilgili olmasından da anlaşılıyor
      Arama ve reklam tekelini başka ürünleri kullanarak güçlendiren bir yapı bu
      Daha iyi bir Google ya da Gemini yapmak için içerik kazıyamazsınız, Google ya da Apple ile rekabet edecek bir işletim sistemi yapamazsınız, Google Analytics rakibi de geliştiremezsiniz
      Açıkça rekabete aykırı
    • Böyle bir şeye en çok ihtiyaç duyan zaten devletin kendisi. Çünkü potansiyel ve mevcut muhaliflerin kim olduğunu bilmek istiyorlar
    • Burada yasa dışı bağlama ya da pazar gücünün kötüye kullanılması nedeniyle soruşturma açmak için açık gerekçeler var gibi görünüyor. FTC’nin burada da gözü varsa umarım dinliyordur
    • Hatta devlet bunu .gov sitelerinde de kullanıyor ve bize dayatıyor

  • iOS 16.5’te ne değişti de Google uygulama yükleme şartını bırakmış olabilir, bilen var mı? Görünüşe göre Apple’ın uzaktan doğrulaması olan Private Access Tokens ile ilgili olabilir
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Bu, rakip AI agent’ları engelleyip kendi tarafının erişimini güvenceye almaya yönelik tipik bir merdiveni itme hamlesi
    Hizmet sunan ve çevrimiçi işleri yapan otonom agent pazarı devasa olacak; dolayısıyla Amazon, Cloudflare, Microsoft gibi şirketlerin koruduğu varlıklarda kendi botlarının engellenmemesi için pazarlık kozuna ihtiyaçları var

  • Son zamanlarda kafası karışmış bir aile üyesinin varlığından bile haberi olmadığı iki Google Cloud hesabını silmesine yardım ettim. reCAPTCHA’nın başka Google ürünlerine entegre edildiğini söyleyen e-postayı aldıktan sonra fark etti
    Ne olduğuna dair hiçbir fikrim yok. Şu ana kadarki en iyi tahminim, aynı tarayıcıda Google hesabına giriş yapmışken CAPTCHA çözerken gerçekten yanlış bir düğmeye basmış olması. Çok tuhaf

    • AI Studio playground olabilir mi? Her şey entegre olmuş gibi görünüyor

  • Adil olmak gerekirse, zaten kayıt için telefon isteyen uygulamalar var. Örneğin VK ve Telegram böyle
    Google da hesap kaydı için QR kod taraması istiyor gibi görünüyor; bu yüzden bir amacınız varsa kara piyasadan Google hesabı satın almak daha kolay olabilir
    Bugünlerde kimse web browser’a güvenmiyor