Yeni reCAPTCHA’yı geçmek için onaylı bir telefon gerekiyor

 (cybernews.com)
2 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Google’ın yeni reCAPTCHA’sı, masaüstü veya dizüstü bilgisayar kullanırken bile doğrulama için uyumlu bir mobil cihazla QR kod taranmasını istiyor
  • GrapheneOS, iOS ya da Google Play Services yüklü bir Android cihaz yoksa çevrimiçi hizmetlere erişimin engellenebileceği uyarısında bulundu
  • Google’ın destek listesinde yalnızca Google Play Services yüklü Android ve iOS/iPadOS cihazlar yer aldığından, deGoogled Android akıllı telefonlar gibi cihazlar doğrulamayı tamamlayamıyor
  • Google, QR kod tabanlı görevin yapay zeka ajanlarının önceki görevleri kolayca çözmesini engellediğini ve otomatik dolandırıcılığı ekonomik olarak imkansız hale getirmeyi hedeflediğini düşünüyor
  • Hacker News, X ve Reddit’te ise uzaktan kanıtlama ve onaylı cihaz zorunluluğunun güvenlikten çok hesaplama özgürlüğünü ve mobil pazar rekabetini sınırladığı yönünde tepki büyüyor

Ne değişti: yeni reCAPTCHA’nın cihaz kısıtlaması

  • İnsan olduğunu kanıtlamak için onaylı bir Android veya iPhone sahibi olmayı gerektiren bir yapı var; kullanıcıların "uyumlu bir mobil cihaz" ile QR kod taraması gerekiyor
    • GrapheneOS, gizlilik odaklı OS ve cihaz kullanıcılarının doğrulama dışında bırakıldığını söylüyor
  • Son değişiklikle deGoogled Android akıllı telefonlar gibi istenen herhangi bir cihaz ve işletim sistemi artık Google’ın reCAPTCHA doğrulamasını tamamlayamıyor
  • Doğrulamayı tamamlayabilen cihaz listesi yalnızca Google Play Services yüklü Android ve iOS/iPadOS cihazlarla sınırlı
  • reCAPTCHA, milyonlarca web sitesi ve büyük hizmet tarafından kullanılan; insanlarla botları ayırt etmeyi amaçlayan bir güvenlik aracı
    • Çoğu zaman arka planda görünmeden çalışsa da şüpheli bir durum algıladığında yangın musluğu veya trafik ışığı seçme gibi görevler gösterebiliyor

  • GrapheneOS’un eleştirisi

    • GrapheneOS, yayımladığı açıklamada bu adımı "son derece rekabete aykırı" olarak niteledi
    • "reCAPTCHA üzerindeki kontrol, Google’ı web’in çok büyük bir bölümünü kullanmak için iOS ya da sertifikalı bir Android cihaz şart koşabilecek bir konuma getiriyor"
    • Bu değişikliği donanım tabanlı attestation’ın genişletilmesi olarak tanımlıyor ve bunun donanım ile OS rekabetini giderek daha fazla dışladığını söylüyor
      • attestation: yerleşik güvenlik çipi üzerinden donanımın orijinal cihaz olduğunu kriptografik olarak kanıtlama yöntemi
    • "Bu sistemin amacı, Apple veya Google tarafından onaylanmayan donanım ve yazılımların kullanımını engellemektir; bu da güvenlik özelliği gibi yanlış sunuluyor"
      • "10 yıldır yama almamış cihazlara izin verilirken çok daha güvenli OS’ler engelleniyor" diyerek amacın Google Mobile Services lisanslaması üzerinden tekel dayatmak olduğunu savunuyor

  • Cloud Fraud Defense ve yapay zekaya dayanıklı görevler

    • Yeni reCAPTCHA, 22 Nisan’da duyurulan Cloud Fraud Defense platformunun bir parçası ve botların, insanların ve yapay zeka ajanlarının meşruiyetini doğrulamak için tasarlandı
    • Google, "gelişmiş otomasyonun artışı risk yönetiminde köklü bir değişimi gerektiriyor" diyor
    • Destek listesi yalnızca Google Play Services yüklü Android cihazlar ile iOS/iPadOS cihazları içeriyor
    • Web sitesi işletmecileri, risk puanı, otomasyon türü ve ajan kimliği gibi koşullara göre botlara ve yapay zeka ajanlarına izin vermek veya engellemek için ayrıntılı kontroller kullanabiliyor
    • Yeni QR kod tabanlı CAPTCHA, mevcut görevleri kolayca çözebilen yapay zeka ajanlarını engellemeyi amaçlıyor
      • Google, "insan varlığını kanıtlayan bu yapay zekaya dayanıklı hafifletme görevi, otomatik dolandırıcılığı ekonomik olarak imkansız hale getirecek şekilde tasarlandı" açıklamasını yapıyor
    • Google, mevcut reCAPTCHA müşterilerini ek işlem veya fiyat değişikliği olmadan Fraud Defense’e taşıyor
    • Özellik en az Ekim 2025’ten beri sessizce dağıtılıyor; o dönemdeki bir blog yazısı, "daha güçlü yapay zekaya dayanıklı güvenlik" sunan QR kod yaklaşımını duyurmuştu
      • PC veya Mac üzerinde geziniliyor olsa bile fiziksel bir mobil cihazın devreye girmesi, "benzersiz bir insanın mevcut olduğuna dair yüksek güvenli attestation" sağlıyor
    • GrapheneOS, bunun "Windows, masaüstü Linux, OpenBSD ve benzeri platformlara donanım attestation zorunluluğu getirdiğini ve sertifikalı bir akıllı telefonla QR kod taraması istediğini; bunun daha da genişleyebileceğini" söylüyor
    • Gizlilik savunucuları, giderek daha fazla hizmetin Apple App Attest veya Google Play Integrity istemesinin mobil pazardaki iki büyük oyuncunun hakimiyetini pekiştirdiği uyarısında bulunuyor
      • GrapheneOS, "AB’nin dijital ödemeler, kimlik ve yaş doğrulama gibi alanlarda bu tür gereksinimleri öne çıkardığını ve birçok AB hükümet uygulamasının bunu istediğini" belirtiyor

Tepkiler ve endişeler

  • Web sitesi işletmecileri hangi CAPTCHA çözümünü kullanacaklarına ve bunu ne kadar sıkı uygulayacaklarına kendileri karar veriyor
  • Gizlilik savunucuları, Apple App Attest veya Google Play Integrity gereksinimlerinin artmasının mobil pazardaki iki kutuplu yapıyı daha da sağlamlaştırdığı uyarısında bulunuyor
  • GrapheneOS, AB’nin dijital ödemeler, kimlik ve yaş doğrulaması gibi alanlarda bu gereksinimlerin uygulanmasına öncülük ettiğini ve birçok AB hükümet uygulamasının bunu zorunlu tuttuğunu düşünüyor

  • Teknik topluluk ve sosyal medya tepkisi

    • Hacker News teknik topluluğunda tartışmanın özünün güvenlik değil güç konsolidasyonu olduğu yönünde görüşler yaygınlaştı
    • Bir Hacker News kullanıcısı, "uzaktan kanıtlama hesaplama özgürlüğümüzün ölme biçimi olacak" diye yazdı
    • X’te ilgili paylaşımlar milyonlarca görüntülenme ve on binlerce etkileşim aldı
    • International Cyber Digest, GrapheneOS, CalyxOS ve /e/OS gibi deGoogled Android telefon kullanıcılarının, bilerek kaldırdıkları Google Play Services’i yeniden yüklemedikçe milyonlarca web sitesinde engellendiğini yazdı
    • International Cyber Digest bunu, "Google artık gizliliği varsayılan olarak şüpheli davranış sayıyor" sözleriyle ifade etti

  • Geçmişteki benzer girişimler ve güvenlik endişeleri

    • Çevrimiçi gizlilik şirketi Mega, Google’ın 2023’te Web Environment Integrity adlı benzer bir önlem uygulamaya çalıştığını ancak kamuoyu tepkisinin ardından geri adım attığını söyledi
      • "Bu kez bunu açık bir teklif yerine ticari ürün olarak piyasaya sürdü. Mevcut CAPTCHA yöntemleri bir süre daha geri dönüş seçeneği olarak erişilebilir kalabilir ama bunun ne kadar süreceği bilinmiyor"
      • "Onaylı cihazı olmayan hiç kimse doğrulama yapamaz"
    • Reddit’te de benzer tartışmalar sürüyor
      • Bir Reddit kullanıcısı CAPTCHA’ya QR kodun dahil edilmesini reddederek bunun yaş doğrulama ve anti-VPN gibi gözetim için kullanılan bir başka yöntem olduğu uyarısında bulundu
      • Bazı kullanıcılar, yeni QR kodlu reCAPTCHA’nın dolandırıcılara sahte QR kod onayı ve doğrulama akışını taklit etme gibi yeni saldırı yolları açabileceğinden endişe ediyor
      • "Bunu tasarlayanlar güvenliği hiç düşünmemiş. Dolandırıcılar buna bayılacak" sonucuna varılıyor

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Lobste.rs görüşleri

  • Kullanıcı davranışı güvenliği açısından büyük bir geri adım gibi görünüyor
    Artık bir saldırgan reCaptcha QR kodunu sahte olarak üretip kullanıcıları istediği yere yönlendirebilir ve bu kodun gerçek olduğunu doğrulamanın ya da buna dair bir beklentinin hiçbir garantisi yok
    Zaten Windows+R tuşlarına basıp bir şey yapıştırmanızı isteyen sahte Cloudflare Turnstile sayfaları da var; kullanıcıları buna karşı nasıl eğitmek gerektiğini düşünmek neredeyse imkansız görünüyor

    • İkinci faktörün telefon olduğu iki faktörlü kimlik doğrulamaya saldırmak için çok elverişli bir yöntem
      Artık iki doğrulama faktörünün ikisini de saldırganın kontrol ettiği yere yönlendirmek mümkün
    • Korkunç
      QR kodunu taramak için özel bir reCaptcha uygulaması gerekeceğini sanmıştım ama bu, sadece normal bir URL içeren bir QR kodmuş
    • Kurumsal düzeyde “bu, gerçek phishing'den ayırt edilemez ve kullanıcılar ağır zarar görür” diye itiraz edilebilir gibi duruyor
      Ama zaten deneniyorsa dinlerler mi emin değilim

  • Bunu ilk gördüğümde ne kadar özensiz bir phishing girişimi olduğuna şaşırmıştım
    O sırada Tor kullanıyordum ve Google hesabımla bağlantılı telefonla kodu taratırsam o anonimlik bozulabilirdi
    Görsel CAPTCHA'ya geri dönebilmiştim ama yakında bu seçeneğin de ortadan kalkacağından endişeleniyorum
    Böyle olursa interneti anonim kullanmak çok daha zor hale gelecek
    “AI-resistant” iddiası da saçmalık
    QR kod tarama sürecinin otomasyonunu gerçekten kimsenin hayal edemediğini sanmıyorum

    • Zaten amaç tam olarak bu
      Nihai hedef, genel amaçlı bilişime serbestçe erişebilen tüm cihazları dışlamak ve tüm ziyaretçilerin anonimliğini ortadan kaldırmak
    • Elbette QR kod taramanın otomatikleştirilebileceğini biliyorlardır
      Ama yazıda da dendiği gibi bu süreç belirli donanımların kullanılmasını gerektiriyor ve asıl nokta, bu donanımın fiziksel olarak kanıtlanabilmesi
      Amaç, ölçek büyütmeyi pahalı hale getirmek
      Telefonunuz engellenirse bir Docker container'ını yeniden başlatmaz, yeni bir telefon almak zorunda kalırsınız
      QR kodun tam olarak nasıl çalıştığını ya da kalıcı bir tanımlayıcı kullanıp kullanmadığını bilmiyorum
      TPM sayacı gibi daha az müdahaleci seçenekler olabilir, ya da tamamen başka bir yöntem kullanıyor olabilirler
      Yine de belirli bir donanım gerektirmesinin nedeni, donanım kanıtını mümkün kılmak gibi görünüyor
      Bu, web environment integrity proposal ile esasen aynı hedefe daha can sıkıcı bir yoldan ulaşma girişimi
      WEI'ye gelen tepki nedeniyle bu yaklaşım durduruldu ama çözmeye çalıştığı Sybil saldırısı sorunu ortadan kalkmış değil ve sınırsız Sybil saldırısının maliyeti neredeyse sıfırken web'in mevcut hali temelden sürdürülemez
      Bu yüzden bunu bir şekilde çözmeye çalışmaya devam edecekler

  • Web'de gezinmeyi çoğunlukla masaüstü ya da dizüstü bilgisayarda yapıyorum ve rastgele bir web sitesindeki QR kodunu telefonumla taramayı düşünmüyorum
    O zaman başka yere giderim

  • GrapheneOS kullanıyorum; kullanmaya devam edebilsem iyi olur
    Giderek bankacılık uygulamaları ve şimdi de CAPTCHA için ikincil bir cihaz gerekecekmiş gibi hissettiriyor, bu da büyük israf

    • Hatta böyle şeyler talep eden hizmetlere giderek daha fazla hayır demek önemli hale geliyor

  • Bunun nasıl çalıştığını anlamıyorum
    Kodu hangi cihazla taradığımı nasıl doğrulayabiliyorlar?
    Kolayca taklit edilebilir gibi görünüyor, o yüzden mantığını kavrayamıyorum

  • Benim sadece kapaklı bir telefonum var; bu durumda artık reCaptcha sitelerini kullanamayacak mıyım?

  • Teknoloji kapitalistleri, “paylaşım kalıplarına bakarak kullanıcının anonimliğini çözme” sorununu yeterince hızlı çözememiş galiba