Google ने de-Googled Android उपयोगकर्ताओं के लिए reCAPTCHA को तोड़ दिया

 (reclaimthenet.org)
2 पॉइंट द्वारा GN⁺ 4 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google ने Android के लिए अगली पीढ़ी के reCAPTCHA को Google Play Services से जोड़ दिया है, जिससे de-Googled Android उपयोगकर्ता अतिरिक्त सत्यापन चरण में अपने-आप असफल हो जाते हैं
  • Android उपयोगकर्ता को यह साबित करने के लिए कि वह इंसान है, Google का proprietary app framework Google Play Services 25.41.30 या उससे ऊपर चलाना होगा
  • संदिग्ध गतिविधि मानी जाने पर पुराने image puzzle की जगह QR code scan मांगा जाता है, और यह प्रक्रिया तभी पूरी होती है जब Play Services Google सर्वर से संचार करे
  • iOS 16.4 या उससे ऊपर वाले डिवाइस बिना अतिरिक्त Google software के वही सत्यापन पार कर लेते हैं, लेकिन Play Services को अस्वीकार करने वाले Android उपयोगकर्ता ही इस असममित संरचना में लॉक हो जाते हैं
  • चूंकि reCAPTCHA लाखों वेबसाइटों के फ्रंट पर मौजूद है, यह बदलाव एक ऐसी मिसाल बनाता है जिसमें बुनियादी web access के लिए Google software चलाना और Google सर्वरों को डेटा भेजना जरूरी हो जाता है

Google Play Services से बंधी सत्यापन व्यवस्था

  • Android पर इंसान होने का प्रमाण देने की प्रक्रिया Google के proprietary app framework Google Play Services 25.41.30 या उससे ऊपर पर निर्भर करती है
  • जब reCAPTCHA किसी गतिविधि को संदिग्ध मानता है, तो पुराने image puzzle की जगह QR code scan की मांग करता है
  • QR scan के लिए बैकग्राउंड में चल रही Play Services को Google सर्वर से संचार करना होता है, इसलिए GrapheneOS या Google software हटाए गए अन्य custom ROM पर सत्यापन विफल हो जाता है
  • de-Googled phone इस्तेमाल करने वाले उपयोगकर्ता, जब सिस्टम अतिरिक्त सत्यापन मांगता है, तो अपने-आप असफल हो जाते हैं

Google Cloud Fraud Defense और इसकी शुरुआत

  • Google ने 23 अप्रैल को Cloud Next में एक बड़े सिस्टम Google Cloud Fraud Defense की घोषणा की
  • इस सिस्टम को autonomous AI agents और मौजूदा bots, दोनों से निपटने के लिए एक trust platform के रूप में पेश किया गया
  • Android पर इंसान साबित करने की प्रक्रिया Google के proprietary software चलाने से जुड़ी है, यह बात घोषणा में प्रमुख रूप से सामने नहीं लाई गई
  • यह बदलाव अचानक नहीं आया; 2025 के अक्टूबर के Internet Archive snapshot में उसी support page पर Play Services 25.39.30 की requirement पहले से दर्ज थी
  • Reddit के degoogle subreddit के उपयोगकर्ताओं ने इसे नोटिस किया, और PiunikaWeb तथा Android Authority की रिपोर्टों से यह बात और व्यापक हुई

iOS और Android के बीच अंतर

  • iOS 16.4 या उससे ऊपर चलाने वाले Apple डिवाइस वही सत्यापन बिना अतिरिक्त app install किए पूरा कर लेते हैं
  • Google, iPhone उपयोगकर्ताओं से reCAPTCHA पार करने के लिए Google software install करने की मांग नहीं करता
  • केवल Play Services को अस्वीकार करने वाले Android उपयोगकर्ता ही लॉक हो जाते हैं, जिससे एक असममित संरचना बनती है
  • यह अंतर सुरक्षा से अधिक ecosystem control जैसा दिखता है

web access और data transfer की समस्या

  • reCAPTCHA लाखों वेबसाइटों के सामने लगा हुआ है
  • अगर Google सत्यापन को Play Services से बांधता है, तो बुनियादी web content access के लिए Google software चलाना और Google सर्वरों को data transfer करना आवश्यक होने की मिसाल बनती है
  • de-Googled phone उपयोगकर्ता अक्सर ऐसी configuration इसलिए चुनते हैं क्योंकि वे Play Services की data practices को न तो स्वीकार करते हैं और न उनसे सहमत होते हैं
  • नई प्रणाली Google के proprietary software के बिना होने की स्थिति को डिफॉल्ट रूप से संदिग्ध मानती है, और इस चुनाव को नुकसान पहुंचाती है

web developers के सामने बहिष्करण का विकल्प

  • जो वेबसाइटें इस reCAPTCHA को अपनाती हैं, वे संकेत देती हैं कि de-Googled Android उपयोगकर्ता स्वागतयोग्य नहीं हैं
  • यह उपयोगकर्ता समूह अभी छोटा है, लेकिन वेबसाइटें डेटा को कैसे संभालती हैं, इस पर सबसे अधिक संवेदनशील भी यही समूह है
  • संभावना कम है कि यह उपयोगकर्ता समूह Google Play Services requirement के आगे आसानी से झुक जाएगा

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 4 시간 전
Hacker News टिप्पणियाँ

  • यह नया reCAPTCHA मूल रूप से remote attestation जैसा समझा जा रहा है
    remote attestation blind signatures का उपयोग नहीं करता, क्योंकि तब उन्हें बड़े पैमाने पर दोबारा इस्तेमाल किया जा सकता है। इसलिए अगर Google server मिलीभगत करे, तो device और attestation के subject को तकनीकी रूप से बाँधा जा सकता है: EK (स्थायी रूप से जला हुआ private key) → AIK (secure enclave का अस्थायी identity key, जिस पर Google server sign करता है) → attestation (जिस पर AIK sign करता है) का flow है
    अगर Google server EK → AIK रूपांतरण को लॉग करे, तो किसी खास attestation को device के EK तक आसानी से trace किया जा सकता है। इसलिए नकली remote attestation देने वाली online services लगभग नहीं हैं, और आगे भी दिखने की संभावना कम है। क्योंकि ऐसी service चलाने का अगला चरण यह होगा कि Google ग्राहक बनकर सभी devices को blocklist में डाल दे
    अगर इस नए reCAPTCHA में कोई विशेष सुरक्षा उपाय नहीं है, तो यह सिर्फ internet services को TPM chip के पीछे बंद करना नहीं है, बल्कि anonymity Google को सौंपना भी है। जब तक हर service के लिए untraceable अस्थायी device न मिले, यह तरीका अलग-अलग services के सभी accounts को आपस में जोड़ने की सुविधा देता है। यह age verification जैसा है, और भले ही लगे कि service को reCAPTCHA session और signup को जोड़ने के लिए सहयोग करना पड़ेगा, लेकिन सिर्फ signup समय से ही anonymity set लगभग टूट सकता है

    • अगर आप website चलाते हैं, तो वही code अपनी site पर डालकर attestation request किसी और तक forward करना, और अपनी device के बजाय उस व्यक्ति की device को Google से block करवाना भी आसान लगता है
    • अगर ऐसी company मौजूद है, तो TPM पर निर्भर रहने का मतलब क्या है, समझ नहीं आता। VC-funded bots का भविष्य उज्ज्वल दिखता है
      https://doublespeed.ai/
    • “इस QR code को समझो” वाला काम शायद “ऐसे काम जो इंसान computer से बेहतर कर सकता है” की शीर्ष 5 लाख सूची में भी नहीं आएगा
    • reCAPTCHA documentation में hardware attestation support को अनिवार्य बताने की मांग नहीं दिखती, और केवल Play Services भी काफी लगती है
      संभवतः Google remote रूप से attest करेगा, और Play Services जैसे फोन में गहरी पहुँच रखने वाले app के जरिए कई तरह के data को जोड़ सकता है। इसमें फोन की local activity तक शामिल हो सकती है, इस बहाने कि “मानव होने” का बेहतर अनुमान लगाया जाए
      जो लोग Google account इस्तेमाल करते हैं, उनके लिए इकट्ठे किए जाने वाले data के लिहाज से शायद बड़ा फर्क न हो
      इस तरह के model में सैद्धांतिक रूप से forgery संभव हो सकती है, लेकिन Google के लिए साझा attestation को पहचानना आसान होगा
      यह शुरुआत से ही बहुत मोटे ढंग का system update है, इसलिए अभी absolute security जरूरी नहीं है, लेकिन bypass करना बेहद कठिन हो सकता है
    • अगर Google ने iPhone users से test pass करने के लिए Google software install करने को नहीं कहा, तो क्या de-Googled Android phone खुद को iPhone की तरह दिखा सकता है?

  • मैं अभी Android इस्तेमाल नहीं करता, और Google वाले Android भी लगभग 10 साल से नहीं इस्तेमाल किए हैं, और आगे भी नहीं करूँगा। अगर यह आखिरी हद है जिसे बचाकर रखना है, तो मैं ऐसा ही करूँगा
    चाहे Google के नियंत्रण में हो या नहीं, मैं hardware attestation का उपयोग नहीं करूँगा। अगर मेरे पास unrooted Google-certified Android phone भी हो, तब भी उसका इस्तेमाल नहीं करना चाहिए, ऐसा मानता हूँ

    • जब fintech app काम न करे और पैसे मिलना बंद हो जाए, तब यह मज़ेदार समस्या नहीं रह जाती। इसलिए regulation ज़रूरी है
      लेकिन यह नहीं लगता कि राजनेता ad companies के खिलाफ खड़े होंगे। वे उनके ग्राहक हैं

  • मैं पुराने सस्ते Android को backup के तौर पर रखता था, और हाल में GrapheneOS पर चला गया। एक ही Google profile रखी है, और उसे सिर्फ Uber, दफ़्तर के Google Chat, और maps के लिए इस्तेमाल करता हूँ
    एक bank ने Google services होने के बावजूद काम करने से मना कर दिया, तो मैंने bank ही बदल दिया। mobile उपयोग का अधिकांश हिस्सा self-hosted चीज़ों की ओर ले गया, और freshrss full text, password manager, calendar, task management आदि को सीधे internet पर expose न होने देने के हिसाब से सेट किया
    थोड़ा झंझट है, लेकिन यह सफर शुरू किया, इसका खुशी है। लगता है धीरे-धीरे खुद internet से ही बचने लगूँगा

    • Google Drive का सबसे अच्छा alternative क्या है? मैं भी इसी रास्ते पर आया हूँ, लेकिन Samba कभी-कभी काफ़ी झंझट वाला होता है

  • archive.is ने QR code scan करने को कहा, और Cloudflare के पीछे छिपकर यह करना बहुत शर्मनाक है। क्या website visitors पर KYC थोपा जा रहा है? क्या यह होश में हैं?
    अगर इस दिशा में धकेला गया, तो web टूट जाएगा। क्या अचानक लाखों websites KYC लागू करने लगेंगी?
    https://ibb.co/X9Q6Y84
    मैंने KYC इसलिए कहा, क्योंकि KYC के बिना SIM लेना और phone number के बिना Play Store के लिए Google account बनाना गैर-अपराधिक तरीके से बहुत मुश्किल है। तब हर website visit असली पहचान से जुड़ जाएगा
    मैं stock Android नहीं चलाता, इसलिए अभी वास्तव में कई websites तक पहुँच नहीं पा रहा हूँ। यह सचमुच बेहूदा है

    • इसमें लिखा है, “reCAPTCHA इस site के साथ आपकी details साझा नहीं करता,” लेकिन यह नहीं कहता कि Google के साथ साझा नहीं करता। तो क्या इसका मतलब है कि करता है?
    • यह सच में बहुत बुरा है :-(
      खासकर archive.is जैसी जगहों पर, phone के बिना internet देखना बहुत मुश्किल हो जाएगा
      पता नहीं यह चर्चा से कितना जुड़ा है, लेकिन अगर मददगार हो, तो मैंने archive.is pages को archive.org/Wayback Machine में सहेजने वाला एक project बनाया है। यह singlefile का उपयोग करता है
      लगता है community इसे बड़े पैमाने पर भी इस्तेमाल कर सकती है। उम्मीद है archive.is QR code की मांग वाली समस्या को ठीक करेगा, और यह स्थायी समस्या नहीं बनेगी
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • समझ नहीं आता कि Private Access Tokens को क्यों नहीं अपनाया गया। वह भी शानदार नहीं है, लेकिन कम से कम इसे ऐसे पेश किया जा सकता था: लोगों की privacy में दखल देना मकसद नहीं है, ऐसा दिखाना; “Apple भी ऐसा करता है” वाली पारंपरिक दलील देना; standards-oriented होने का दिखावा करना; और इसे end users के लिए पूरी तरह transparent feature की तरह प्रचारित करना
    ऐसा करते तो किसी न किसी रूप में device attestation हासिल हो जाती और विरोध भी काफी कम होता। लेकिन लगता है कि असली लक्ष्य वह नहीं है

    • मूल रूप से यह कुछ भी हल नहीं करता। लक्ष्य यह है कि किसी खास व्यक्ति या कम से कम अपेक्षाकृत महंगे device की पहचान हो, ताकि उसे block करने पर वह blocked ही रहे
    • क्या यह Not Invented Here syndrome नहीं है?

  • यह वह सीमा पार कर चुका है जहाँ सरकार को दखल देकर Google पर कड़ी रोक या भारी जुर्माना लगाना चाहिए। यह monopolistic behavior है

    • monopoly होने का संकेत इसी से मिलता है कि documentation website पर जाएँ तो आधे video इस feature को Google Analytics से जोड़ने की बात करते हैं
      यह दूसरे products का इस्तेमाल करके search और advertising monopoly को और मजबूत करने वाली संरचना है
      इससे कोई बेहतर Google या Gemini बनाने के लिए content scrape नहीं कर सकता, Google या Apple से प्रतिस्पर्धा करने वाला operating system नहीं बना सकता, और Google Analytics का competitor भी नहीं बना सकता
      यह साफ तौर पर anti-competitive है
    • सरकार को ही ऐसी चीज़ों की सबसे ज़्यादा ज़रूरत होती है। उन्हें जानना होता है कि संभावित या मौजूदा dissenters कौन हैं
    • यहाँ illegal tying या market dominance के दुरुपयोग की जाँच के लिए स्पष्ट आधार दिखता है। अगर FTC की नज़र यहाँ भी है, तो उम्मीद है वह सुन रहा हो
    • बल्कि सरकारें खुद .gov sites पर भी यह इस्तेमाल कर रही हैं और हम पर थोप रही हैं

  • क्या किसी को पता है कि iOS 16.5 में क्या बदला था, जिसकी वजह से Google ने app install कराने की मांग बंद कर दी? देखने में यह Apple के remote attestation Private Access Tokens से जुड़ा लगता है
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • यह प्रतिस्पर्धी AI agents को रोककर अपनी तरफ़ की पहुँच सुरक्षित रखने वाला एक क्लासिक ladder-pulling कदम है
    services देने और online काम करने वाले autonomous agents का बाज़ार बहुत बड़ा होने वाला है, इसलिए Amazon, Cloudflare, Microsoft आदि जिन assets की रक्षा करते हैं, वहाँ अपने bots को block न होने देने के लिए bargaining chip चाहिए

  • मैंने हाल ही में एक उलझन में पड़े परिवार की मदद की, जिनके बारे में उन्हें खुद पता भी नहीं था कि उनके नाम पर दो Google Cloud accounts हैं, और उन्हें delete कराया। उन्हें तब पता चला जब reCAPTCHA के दूसरे Google products में integrate होने वाला email आया
    मुझे बिल्कुल समझ नहीं आ रहा कि क्या हुआ। अब तक का सबसे अच्छा अनुमान यही है कि उसी browser में Google account login रहते हुए CAPTCHA हल करते समय उन्होंने सचमुच कोई बहुत गलत button दबा दिया। अजीब है

    • क्या यह AI Studio playground हो सकता है? सब कुछ integrated लगता है

  • निष्पक्षता से कहें तो पहले से ऐसे apps हैं जो signup के लिए phone माँगते हैं। जैसे VK, Telegram
    लगता है Google भी account registration के लिए QR code scan माँगता है, इसलिए अगर कोई खास मकसद हो तो शायद black market से Google account खरीदना ही आसान पड़े
    आजकल कोई भी web browser पर भरोसा नहीं करता