Google, de-Googled Android kullanıcıları için reCAPTCHA’yı çalışmayacak şekilde değiştirdi

 (reclaimthenet.org)
2 puan yazan GN⁺ 2026-05-09 | 5 yorum | WhatsApp'ta paylaş
  • Google, Android için yeni nesil reCAPTCHA’yı Google Play Services’e bağladı; böylece de-Googled Android kullanıcıları ek doğrulama adımında otomatik olarak başarısız oluyor
  • Android kullanıcılarının insan olduğunu kanıtlayabilmesi için Google’ın kapalı kaynak uygulama çerçevesi Google Play Services 25.41.30 ve üzeri sürümünü çalıştırması gerekiyor
  • Sistem şüpheli etkinlik tespit ettiğinde eski görsel bulmaca yerine QR kod taraması istiyor ve bu süreç ancak Play Services’ın Google sunucularıyla iletişim kurmasıyla tamamlanabiliyor
  • iOS 16.4 ve üzeri cihazlar ek Google yazılımı olmadan aynı doğrulamayı geçebilirken, yalnızca Play Services’ı reddeden Android kullanıcılarının dışarıda kaldığı asimetrik bir yapı ortaya çıkıyor
  • reCAPTCHA yüz milyonlarca web sitesinin önünde yer aldığı için bu değişiklik, temel web erişimi için Google yazılımı çalıştırmayı ve verilerin Google sunucularına gönderilmesini gerektiren bir emsal oluşturuyor

Google Play Services’a bağlı doğrulama yöntemi

  • Android’de insan olduğunu kanıtlama süreci, Google’ın kapalı kaynak uygulama çerçevesi Google Play Services 25.41.30 ve üzeri sürümüne bağlı
  • reCAPTCHA, şüpheli etkinlik algıladığında eski görsel bulmaca yerine QR kod taraması istiyor
  • QR taraması, arka planda çalışan Play Services’ın Google sunucularıyla iletişim kurmasını gerektirdiği için GrapheneOS veya Google yazılımının kaldırıldığı diğer özel ROM’larda doğrulama başarısız oluyor
  • de-Googled phone kullanan kullanıcılar, sistem ek doğrulama istediğinde otomatik olarak başarısız oluyor

Google Cloud Fraud Defense ve sürecin ortaya çıkışı

  • Google, 23 Nisan’da Cloud Next etkinliğinde daha geniş kapsamlı bir sistem olan Google Cloud Fraud Defense’i duyurdu
  • Bu sistem, otonom yapay zeka ajanları ile geleneksel botların tamamını ele alan bir güven platformu olarak tanıtıldı
  • Android’de insan olduğunu kanıtlama sürecinin Google’ın kapalı kaynak yazılımını çalıştırmaya bağlandığı gerçeği, duyurunun ön planında yer almadı
  • Bu değişiklik aniden ortaya çıkmadı; aynı destek sayfasının 2025 Ekim tarihli Internet Archive anlık görüntüsünde de Play Services 25.39.30 gereksinimi zaten görünüyordu
  • Bunu Reddit’teki degoogle subreddit kullanıcıları fark etti; ardından PiunikaWeb ve Android Authority haberleriyle daha geniş kitlelere ulaştı
Reklam

iOS ve Android arasındaki fark

  • iOS 16.4 ve üzerini çalıştıran Apple cihazları, aynı doğrulamayı ek uygulama yüklemeden tamamlayabiliyor
  • Google, iPhone kullanıcılarından reCAPTCHA’yı geçmek için Google yazılımı yüklemelerini istemiyor
  • Böylece yalnızca Play Services’ı reddeden Android kullanıcılarının dışarıda kaldığı asimetrik bir yapı oluşuyor
  • Bu fark, güvenlikten çok ekosistem kontrolüne benziyor

Web erişilebilirliği ve veri aktarımı sorunu

  • reCAPTCHA, yüz milyonlarca web sitesinin önünde yer alıyor
  • Google doğrulamayı Play Services’a bağladığında, temel web içeriğine erişim için Google yazılımı çalıştırmayı ve verilerin Google sunucularına gönderilmesini gerektiren bir emsal oluşuyor
  • de-Googled telefon kullanıcıları, Play Services’ın veri uygulamalarını kabul etmedikleri ve bunları denetlemek istedikleri için bu tür yapılandırmaları tercih ediyor
  • Yeni sistem, Google’ın kapalı kaynak yazılımı bulunmayan cihazları varsayılan olarak şüpheli kabul ederek bu tercihi fiilen cezalandırıyor

Web geliştiricilerin seçeceği dışlama

  • Bu reCAPTCHA sürümünü kullanan web siteleri, de-Googled Android kullanıcılarını hoş karşılamadıkları mesajını vermiş oluyor
  • Bu kullanıcı grubu şu an küçük olsa da, web sitelerinin verileri nasıl işlediğine en duyarlı topluluklardan biri
  • Bu kitlenin, Google Play Services zorunluluğuna kolayca boyun eğmesi pek olası değil

İlgili okumalar

5 yorum

 
holywork 28 일 전

Eski görüntü veya ses doğrulamalarının kullanılamadığı durumların bildirildiği oldu mu?
 
holywork 28 일 전

Bunun tıklama çekmek için yapılmış bir abartı mı olduğunu, yoksa Google ne yaparsa yapsın peşinen olumsuz bakma eğilimi mi olduğunu bilmiyorum ama, "When the system flags suspicious activity, it drops the old image puzzles." gibi temelsiz bir iddianın neden doğrulanmadan sürekli yeniden üretildiğini anlamak zor.

Muhtemelen bu, "To complete the mobile verification, you must use a compatible mobile device." ifadesinden kaynaklanan bir yanlış anlamaya daha yakın görünüyor. Bu cümle, "mobil doğrulamayı kullanmak için uyumlu bir cihaz gerekir" anlamına gelir; "artık yalnızca mobil doğrulama kullanılmalı" demek değildir.

Resmî belgeler de yalnızca mobil doğrulamanın hangi ortamlarda desteklendiğini açıklıyor; mevcut görsel challenge'ların ortadan kalktığını söylemiyor. Cloud Console'a ya da geliştirici dokümantasyonuna bakıldığında da, site yöneticilerinin veya geliştiricilerin challenge türünü sınırlayabildiğine dair bir içerik bulunmuyor. Nitekim ilgili haber yazısı, /r/degoogle gönderisi, Google'ın resmî yardım sayfası ve benim doğrudan yaptığım testin sonuçlarına göre, QR kodunun altında göz şeklinde veya headset şeklinde ikonlar görünmeye devam ediyor ve bunlar üzerinden mevcut challenge'lar aynen kullanılabiliyor.

Yani mobil doğrulama, desteklenen cihazlarda kolaylık için sunulan ek bir doğrulama yöntemi olmaya daha yakın; "de-googled cihazlar artık reCAPTCHA çözemiyor" diye kesin hüküm vermeyi destekleyecek yeterli dayanak yok.

Google dolandırıcılığı önlemek ya da kullanıcı deneyimini iyileştirmek için bir şey yaptığında bunu otomatik olarak kötü ilan ederken, doğrulanmamış bilgilerin yayılmasını sorun etmemek anlaşılır gelmiyor. En azından eleştiri yapılacaksa önce olguların doğrulanması gerekmez mi? Böyle bir ayrım yapmadan abartılı bilgileri tekrar tekrar yaymak, eleştiriden çok korku yaymaya daha yakın görünüyor.
 
ndrgrd 28 일 전

Uygulama yükleme kısıtlamaları da cabası; Android’i artık kapalı bir ekosistem olarak görmek gerekiyor.
 
GN⁺ 2026-05-09
Hacker News yorumları

  • Bu yeni reCAPTCHA temelde uzaktan doğrulama (remote attestation) olarak anlaşılıyor
    Uzaktan doğrulama kör imza kullanmaz; çünkü o zaman toplu şekilde yeniden dağıtılabilir. Bu yüzden Google sunucuları işbirliği yaparsa cihazı ve doğrulanan tarafı teknik olarak birbirine bağlayabilir: EK(sabit şekilde gömülü özel anahtar) → AIK(güvenli alandaki geçici kimlik anahtarı, Google sunucusu imzalar) → doğrulama(AIK imzalar) akışı söz konusu
    Google sunucusu EK → AIK dönüşümünü kaydederse belirli bir doğrulamayı cihazın EK’sine kadar kolayca izleyebilir. Bu yüzden sahte uzaktan doğrulama sunan çevrimiçi hizmet neredeyse yok ve gelecekte de görmek zor görünüyor. Çünkü böyle bir hizmeti işletmenin bir sonraki aşaması, Google’ın müşteri olup tüm cihazları engelleme listesine ekletmesi olurdu
    Bu yeni reCAPTCHA’da özel bir önlem yoksa bu, internet hizmetlerini yalnızca TPM çipinin arkasına kilitlemek değil, anonimliği Google’a teslim etmek anlamına gelir. Her hizmet için izlenemeyen geçici cihazlar bulmadıkça bu yöntem, farklı hizmetlerdeki tüm hesapların birbirine bağlanmasına izin verir. Yaş doğrulamaya benziyor; hizmetin reCAPTCHA oturumunu üyelikle ilişkilendirmesi için işbirliği yapması gerekiyormuş gibi görünse de yalnızca kayıt zamanı bile anonim kümesini neredeyse çökertebilir

    • Bir web sitesi işletiyorsanız aynı kodu kendi sitenize koyup doğrulama isteğini başkasına iletmek ve kendi cihazınız yerine onun cihazının Google tarafından engellenmesini sağlamak da kolay görünüyor
    • Böyle şirketler varsa TPM’ye dayanmanın ne anlamı olduğunu bilmiyorum. VC yatırımı almış botların geleceği parlak görünüyor
      https://doublespeed.ai/
    • “Bu QR kodunu yorumla” görevi, “insanların bilgisayarlardan daha iyi yapabildiği işler” listesinin ilk 500 bini arasına bile girmez gibi görünüyor
    • reCAPTCHA belgelerinde donanım doğrulaması desteğinin zorunlu olduğuna dair bir gereklilik görmüyorum; yalnızca Play Services bile yeterli görünüyor
      Muhtemelen Google uzaktan doğrulama yapacak ve Play Services gibi telefonda devasa erişim yetkilerine sahip bir uygulamayı kullanarak çok sayıda veriyi ilişkilendirebilecek. Telefonda yerel etkinlikler de dahil olmak üzere “insanlık” değerlendirmesini daha iyi yapmak bahanesi olabilir
      Google hesabı kullananlar için toplanan veri açısından çok büyük bir fark olmayabilir
      Böyle bir yöntemde teorik olarak sahtecilik de mümkün olabilir, ama Google açısından birçok kişinin paylaşıp kullandığı doğrulamaları tespit etmek kolay olur
      Zaten çok kabaca çalışan bir sistemin güncellemesi; henüz mutlak güvenlik gerekmiyor ama aşılması son derece zor hale gelebilir
    • Google iPhone kullanıcılarından testi geçmek için Google yazılımı kurmalarını istemediyse, Google’sız Android telefonlar kendilerini iPhone gibi gösterebilir mi?

  • Şu anda Android kullanmıyorum, Google’lı Android’i de neredeyse 10 yıldır kullanmadım ve gelecekte de kullanmayacağım. Sonuna kadar korunması gereken çizgi buysa öyle olsun
    Google tarafından kontrol edilsin ya da edilmesin donanım doğrulaması kullanmayacağım. Rootsuz, Google sertifikalı bir Android telefonum olsa bile kullanılmaması gerektiğini düşünüyorum

    • Bir fintech uygulaması çalışmadığı için para alamaz hale gelince bu artık eğlenceli bir sorun olmuyor. Bu yüzden düzenleme gerekiyor
      Ama siyasetçilerin reklam şirketlerinin karşısına çıkacağını sanmıyorum. Sonuçta müşterileri onlar

  • Yedek olarak eski ucuz bir Android tutuyordum, son zamanlarda ise GrapheneOS’a geçtim. Yalnızca bir Google profili bırakıp onu Uber, iş için Google Chat ve haritalar için kullanıyorum
    Bir banka, Google hizmetleri olsa bile çalışmayı reddettiği için bankayı değiştirdim. Mobil kullanımın çoğunu kendi barındırdığım çözümlere taşıdım; freshrss tam metin, parola yöneticisi, takvim, görev yönetimi gibi şeyleri doğrudan internete açık olmayacak şekilde yapılandırdım
    Biraz uğraştırıcı ama bu yolculuğa başladığım için memnunum. Gittikçe internetin kendisinden kaçınır hale gelecekmişim gibi görünüyor

    • Google Drive için en iyi alternatif nedir? Ben de bu yola girdim ama Samba bazen biraz can sıkıcı olabiliyor

  • archive.is QR kod taraması istedi ve Cloudflare arkasında yapılan bu şey çok utanç verici. Web sitesi ziyaretçilerine KYC mi dayatılıyor? Aklınızı mı kaçırdınız?
    Bu yöne zorlanırsa web bozulur. Milyonlarca web sitesi bir anda KYC mi dayatacak?
    https://ibb.co/X9Q6Y84
    Buna KYC dememin nedeni, KYC olmadan SIM edinmenin ve telefon numarası olmadan Play Store için Google hesabı açmanın suç dışı yollarının çok az olması. O zaman tüm web sitesi ziyaretleri gerçek kimliğe bağlanmış olur
    Stok Android kullanmadığım için şu anda gerçekten birçok web sitesine erişemiyorum. Bu gerçekten saçma

    • Metinde “reCAPTCHA bu siteyle sizin ayrıntılarınızı paylaşmaz” deniyor ama Google ile paylaşmaz demiyor. O halde paylaşıyor mu?
    • Bu gerçekten kötü :-(
      Özellikle archive.is gibi yerlerde telefonsuz internete bakmak çok daha zor hale gelecek gibi görünüyor
      Tartışmayla ne kadar ilgili olduğundan emin değilim ama faydalı olacaksa archive.is sayfalarını archive.org/Wayback Machine’e kaydedebilen bir proje yaptım. singlefile kullanıyor
      Topluluk bunu büyük ölçekte kullanabilir gibi görünüyor. Umarım archive.is QR kod zorunluluğu sorununu düzeltir ve kalıcı bir mesele haline gelmez
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Neden Private Access Tokens benimsenmediğini bilmiyorum. O da harika değil ama en azından şöyle paketlenebilirdi: insanların mahremiyetini ihlal etmenin amaç olmadığı izlenimi vermek, “Apple da yapıyor” şeklindeki geleneksel bahaneyi kullanmak, standart odaklıymış gibi görünmek, son kullanıcıya tamamen şeffaf bir özellik diye pazarlamak
    Bunu yapsalardı bir şekilde cihaz doğrulamasını yine elde ederlerdi ama tepki çok daha az olurdu. Ama belli ki asıl hedef bu değil

    • Temelde hiçbir şeyi çözmüyor. İstedikleri şey, belirli kişileri ya da en azından nispeten pahalı cihazları tanımlayabilmek ve engellendiklerinde engelli kalmalarını sağlamak
    • Bu bir Not Invented Here sendromu olabilir mi?

  • Bu, hükümetin devreye girip Google’ı ağır şekilde yasaklaması ya da para cezası vermesi gereken çizgiyi aştı. Bu tekelci davranış

    • Tekel olduğu, belgelendirme sitesine gidince videoların yarısının bu özelliği Google Analytics’e bağlamakla ilgili olmasından da anlaşılıyor
      Arama ve reklam tekelini başka ürünleri kullanarak güçlendiren bir yapı bu
      Daha iyi bir Google ya da Gemini yapmak için içerik kazıyamazsınız, Google ya da Apple ile rekabet edecek bir işletim sistemi yapamazsınız, Google Analytics rakibi de geliştiremezsiniz
      Açıkça rekabete aykırı
    • Böyle bir şeye en çok ihtiyaç duyan zaten devletin kendisi. Çünkü potansiyel ve mevcut muhaliflerin kim olduğunu bilmek istiyorlar
    • Burada yasa dışı bağlama ya da pazar gücünün kötüye kullanılması nedeniyle soruşturma açmak için açık gerekçeler var gibi görünüyor. FTC’nin burada da gözü varsa umarım dinliyordur
    • Hatta devlet bunu .gov sitelerinde de kullanıyor ve bize dayatıyor

  • iOS 16.5’te ne değişti de Google uygulama yükleme şartını bırakmış olabilir, bilen var mı? Görünüşe göre Apple’ın uzaktan doğrulaması olan Private Access Tokens ile ilgili olabilir
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Bu, rakip AI agent’ları engelleyip kendi tarafının erişimini güvenceye almaya yönelik tipik bir merdiveni itme hamlesi
    Hizmet sunan ve çevrimiçi işleri yapan otonom agent pazarı devasa olacak; dolayısıyla Amazon, Cloudflare, Microsoft gibi şirketlerin koruduğu varlıklarda kendi botlarının engellenmemesi için pazarlık kozuna ihtiyaçları var

  • Son zamanlarda kafası karışmış bir aile üyesinin varlığından bile haberi olmadığı iki Google Cloud hesabını silmesine yardım ettim. reCAPTCHA’nın başka Google ürünlerine entegre edildiğini söyleyen e-postayı aldıktan sonra fark etti
    Ne olduğuna dair hiçbir fikrim yok. Şu ana kadarki en iyi tahminim, aynı tarayıcıda Google hesabına giriş yapmışken CAPTCHA çözerken gerçekten yanlış bir düğmeye basmış olması. Çok tuhaf

    • AI Studio playground olabilir mi? Her şey entegre olmuş gibi görünüyor

  • Adil olmak gerekirse, zaten kayıt için telefon isteyen uygulamalar var. Örneğin VK ve Telegram böyle
    Google da hesap kaydı için QR kod taraması istiyor gibi görünüyor; bu yüzden bir amacınız varsa kara piyasadan Google hesabı satın almak daha kolay olabilir
    Bugünlerde kimse web browser’a güvenmiyor
 
holywork 28 일 전

"Aklı başında mı?" şeklindeki tepki de ne? Şu ana kadar reklamsız biçimde ücretsiz hizmet sunan archive.is, anlaşılan herkesin doğal olarak yararlanması gereken temel bir hakmış. Reklam koysa herhalde ölüm tehdidi göndermeye kalkacaklar.