Google ने de-Googled Android उपयोगकर्ताओं के लिए reCAPTCHA को काम न करने वाला बना दिया

 (reclaimthenet.org)
2 पॉइंट द्वारा GN⁺ 2026-05-09 | 5 टिप्पणियां | WhatsApp पर शेयर करें
  • Google ने Android के लिए अगली पीढ़ी के reCAPTCHA को Google Play Services से जोड़ दिया है, जिससे de-Googled Android उपयोगकर्ता अतिरिक्त सत्यापन चरण में अपने आप असफल हो जाते हैं
  • Android उपयोगकर्ताओं को यह साबित करने के लिए कि वे इंसान हैं, Google का proprietary app framework Google Play Services 25.41.30 या उससे ऊपर चलाना होगा
  • संदिग्ध गतिविधि मानी जाने पर पुरानी image puzzle की जगह QR code scan की मांग की जाती है, और यह प्रक्रिया तभी पूरी होती है जब Play Services Google सर्वरों से संचार करे
  • iOS 16.4 या उससे ऊपर वाले डिवाइस बिना अतिरिक्त Google software के यही सत्यापन पार कर लेते हैं, लेकिन Play Services को अस्वीकार करने वाले Android उपयोगकर्ताओं के लिए ही असममित व्यवस्था बन जाती है
  • चूंकि reCAPTCHA लाखों वेबसाइटों के सामने लगा है, यह बदलाव एक ऐसी मिसाल बनाता है जिसमें बुनियादी web access के लिए Google software चलाना और Google सर्वरों को डेटा भेजना जरूरी हो जाता है

Google Play Services से बंधी सत्यापन प्रणाली

  • Android पर इंसान होने का प्रमाण देने की प्रक्रिया Google के proprietary app framework Google Play Services 25.41.30 या उससे ऊपर पर निर्भर करती है
  • जब reCAPTCHA किसी गतिविधि को संदिग्ध मानता है, तो पुरानी image puzzle की जगह QR code scan मांगा जाता है
  • QR scan के लिए background में चल रही Play Services को Google सर्वरों से संचार करना पड़ता है, इसलिए GrapheneOS या Google software हटाए गए अन्य custom ROM पर सत्यापन विफल हो जाता है
  • de-Googled phone इस्तेमाल करने वाले उपयोगकर्ता सिस्टम द्वारा अतिरिक्त सत्यापन मांगे जाने पर अपने आप असफल हो जाते हैं

Google Cloud Fraud Defense और इसकी शुरुआत

  • Google ने 23 अप्रैल को Cloud Next में बड़े सिस्टम Google Cloud Fraud Defense की घोषणा की
  • इस सिस्टम को autonomous AI agents और पारंपरिक bots दोनों से निपटने वाले trust platform के रूप में पेश किया गया
  • Android पर इंसान होने का प्रमाण देने की प्रक्रिया Google के proprietary software चलाने से जुड़ी है, यह बात घोषणा में प्रमुखता से सामने नहीं लाई गई
  • यह बदलाव अचानक नहीं आया; उसी support page के 2025 अक्टूबर के Internet Archive snapshot में पहले से Play Services 25.39.30 की आवश्यकता दिखाई गई थी
  • Reddit के degoogle subreddit उपयोगकर्ताओं ने इसे पहचाना, और PiunikaWeb तथा Android Authority की रिपोर्टों के बाद यह और व्यापक रूप से जाना गया

iOS और Android के बीच अंतर

  • iOS 16.4 या उससे ऊपर चलाने वाले Apple डिवाइस वही सत्यापन बिना कोई अतिरिक्त app install किए पूरा कर लेते हैं
  • Google, iPhone उपयोगकर्ताओं से reCAPTCHA पार करने के लिए Google software install करने की मांग नहीं करता
  • केवल वे Android उपयोगकर्ता लॉक आउट होते हैं जो Play Services को अस्वीकार करते हैं
  • यह अंतर सुरक्षा से ज्यादा ecosystem control जैसा दिखता है

web accessibility और data transfer की समस्या

  • reCAPTCHA लाखों वेबसाइटों के सामने तैनात है
  • जब Google सत्यापन को Play Services से बांधता है, तो यह ऐसी मिसाल बनाता है जिसमें बुनियादी web content तक पहुंच के लिए Google software चलाना और Google सर्वरों को डेटा भेजना जरूरी हो जाता है
  • de-Googled फोन उपयोगकर्ता अक्सर इस तरह का सेटअप इसलिए चुनते हैं क्योंकि वे Play Services की data practices की जांच कर चुके होते हैं और उनसे सहमत नहीं होते
  • नया सिस्टम मूल रूप से Google proprietary software की अनुपस्थिति को ही संदिग्ध मानता है, और इस विकल्प को दंडित करता है

web developers के सामने आने वाला बहिष्कार

  • इस reCAPTCHA को अपनाने वाली वेबसाइटें यह संकेत देंगी कि वे de-Googled Android उपयोगकर्ताओं का स्वागत नहीं करतीं
  • यह उपयोगकर्ता वर्ग अभी छोटा है, लेकिन वेबसाइटें डेटा को कैसे संभालती हैं, इसे लेकर सबसे अधिक संवेदनशील भी यही हैं
  • इस उपयोगकर्ता वर्ग के Google Play Services की आवश्यकता के आगे आसानी से झुकने की संभावना कम है

संबंधित पढ़ाई

5 टिप्पणियां

 
holywork 2026-05-12

क्या ऐसे मामले रिपोर्ट हुए हैं जहाँ मौजूदा image या audio challenge का इस्तेमाल नहीं किया जा सका हो?
 
holywork 2026-05-12

यह क्लिक दिलाने के लिए की गई अतिशयोक्ति है या Google जो भी करे उसे बस नकारात्मक नज़र से देखने की प्रवृत्ति, यह तो पता नहीं, लेकिन "When the system flags suspicious activity, it drops the old image puzzles." जैसे बिना आधार वाले दावे बार-बार बिना किसी सत्यापन के दोहराए जा रहे हैं, यह समझना मुश्किल है.

संभवतः यह "To complete the mobile verification, you must use a compatible mobile device." वाले वाक्य से पैदा हुई गलतफ़हमी के ज़्यादा करीब है. इस वाक्य का मतलब है "mobile verification इस्तेमाल करने के लिए compatible device चाहिए", न कि "अब सिर्फ mobile verification ही इस्तेमाल करना होगा".

आधिकारिक दस्तावेज़ भी केवल यह बताते हैं कि mobile verification किन environments में supported है; वे यह नहीं कहते कि पुराना image challenge हटा दिया गया है. Cloud Console या developer documentation देखने पर भी कहीं यह नहीं मिलता कि site operator या developer challenge के प्रकार को सीमित कर सकते हैं. वास्तव में, संबंधित news article, /r/degoogle post, Google की आधिकारिक help page, और मेरे अपने परीक्षण के नतीजों को देखें तो QR code के नीचे आंख के आकार का या headset के आकार का icon लगातार दिखाई देता है, और उसके ज़रिए पुराने challenge अब भी वैसे ही इस्तेमाल किए जा सकते हैं.

यानी mobile verification, supported devices पर सुविधा के लिए दिया गया एक अतिरिक्त verification method ज़्यादा लगता है, और "de-googled device अब reCAPTCHA हल नहीं कर सकते" जैसी बात को निश्चित रूप से कहने लायक पर्याप्त आधार नहीं है.

यह समझना मुश्किल है कि Google अगर fraud prevention या user experience सुधारने के लिए कुछ करे तो उसे बिना शर्त बुराई मान लिया जाए, लेकिन दूसरी तरफ़ बिना पुष्टि की गई जानकारी फैलाना स्वीकार्य समझा जाए. कम से कम आलोचना करनी है तो पहले तथ्य जांच लेने चाहिए, है न? ऐसे भेद के बिना बार-बार बढ़ा-चढ़ाकर जानकारी फैलाना आलोचना से ज़्यादा डर फैलाने के करीब लगता है.
 
ndrgrd 2026-05-12

ऐप इंस्टॉल करने पर पाबंदियां भी हैं, इसलिए अब Android को एक बंद ecosystem ही मानना चाहिए।
 
GN⁺ 2026-05-09
Hacker News टिप्पणियाँ

  • यह नया reCAPTCHA मूल रूप से remote attestation जैसा समझा जा रहा है
    remote attestation blind signatures का उपयोग नहीं करता, क्योंकि तब उन्हें बड़े पैमाने पर दोबारा इस्तेमाल किया जा सकता है। इसलिए अगर Google server मिलीभगत करे, तो device और attestation के subject को तकनीकी रूप से बाँधा जा सकता है: EK (स्थायी रूप से जला हुआ private key) → AIK (secure enclave का अस्थायी identity key, जिस पर Google server sign करता है) → attestation (जिस पर AIK sign करता है) का flow है
    अगर Google server EK → AIK रूपांतरण को लॉग करे, तो किसी खास attestation को device के EK तक आसानी से trace किया जा सकता है। इसलिए नकली remote attestation देने वाली online services लगभग नहीं हैं, और आगे भी दिखने की संभावना कम है। क्योंकि ऐसी service चलाने का अगला चरण यह होगा कि Google ग्राहक बनकर सभी devices को blocklist में डाल दे
    अगर इस नए reCAPTCHA में कोई विशेष सुरक्षा उपाय नहीं है, तो यह सिर्फ internet services को TPM chip के पीछे बंद करना नहीं है, बल्कि anonymity Google को सौंपना भी है। जब तक हर service के लिए untraceable अस्थायी device न मिले, यह तरीका अलग-अलग services के सभी accounts को आपस में जोड़ने की सुविधा देता है। यह age verification जैसा है, और भले ही लगे कि service को reCAPTCHA session और signup को जोड़ने के लिए सहयोग करना पड़ेगा, लेकिन सिर्फ signup समय से ही anonymity set लगभग टूट सकता है

    • अगर आप website चलाते हैं, तो वही code अपनी site पर डालकर attestation request किसी और तक forward करना, और अपनी device के बजाय उस व्यक्ति की device को Google से block करवाना भी आसान लगता है
    • अगर ऐसी company मौजूद है, तो TPM पर निर्भर रहने का मतलब क्या है, समझ नहीं आता। VC-funded bots का भविष्य उज्ज्वल दिखता है
      https://doublespeed.ai/
    • “इस QR code को समझो” वाला काम शायद “ऐसे काम जो इंसान computer से बेहतर कर सकता है” की शीर्ष 5 लाख सूची में भी नहीं आएगा
    • reCAPTCHA documentation में hardware attestation support को अनिवार्य बताने की मांग नहीं दिखती, और केवल Play Services भी काफी लगती है
      संभवतः Google remote रूप से attest करेगा, और Play Services जैसे फोन में गहरी पहुँच रखने वाले app के जरिए कई तरह के data को जोड़ सकता है। इसमें फोन की local activity तक शामिल हो सकती है, इस बहाने कि “मानव होने” का बेहतर अनुमान लगाया जाए
      जो लोग Google account इस्तेमाल करते हैं, उनके लिए इकट्ठे किए जाने वाले data के लिहाज से शायद बड़ा फर्क न हो
      इस तरह के model में सैद्धांतिक रूप से forgery संभव हो सकती है, लेकिन Google के लिए साझा attestation को पहचानना आसान होगा
      यह शुरुआत से ही बहुत मोटे ढंग का system update है, इसलिए अभी absolute security जरूरी नहीं है, लेकिन bypass करना बेहद कठिन हो सकता है
    • अगर Google ने iPhone users से test pass करने के लिए Google software install करने को नहीं कहा, तो क्या de-Googled Android phone खुद को iPhone की तरह दिखा सकता है?

  • मैं अभी Android इस्तेमाल नहीं करता, और Google वाले Android भी लगभग 10 साल से नहीं इस्तेमाल किए हैं, और आगे भी नहीं करूँगा। अगर यह आखिरी हद है जिसे बचाकर रखना है, तो मैं ऐसा ही करूँगा
    चाहे Google के नियंत्रण में हो या नहीं, मैं hardware attestation का उपयोग नहीं करूँगा। अगर मेरे पास unrooted Google-certified Android phone भी हो, तब भी उसका इस्तेमाल नहीं करना चाहिए, ऐसा मानता हूँ

    • जब fintech app काम न करे और पैसे मिलना बंद हो जाए, तब यह मज़ेदार समस्या नहीं रह जाती। इसलिए regulation ज़रूरी है
      लेकिन यह नहीं लगता कि राजनेता ad companies के खिलाफ खड़े होंगे। वे उनके ग्राहक हैं

  • मैं पुराने सस्ते Android को backup के तौर पर रखता था, और हाल में GrapheneOS पर चला गया। एक ही Google profile रखी है, और उसे सिर्फ Uber, दफ़्तर के Google Chat, और maps के लिए इस्तेमाल करता हूँ
    एक bank ने Google services होने के बावजूद काम करने से मना कर दिया, तो मैंने bank ही बदल दिया। mobile उपयोग का अधिकांश हिस्सा self-hosted चीज़ों की ओर ले गया, और freshrss full text, password manager, calendar, task management आदि को सीधे internet पर expose न होने देने के हिसाब से सेट किया
    थोड़ा झंझट है, लेकिन यह सफर शुरू किया, इसका खुशी है। लगता है धीरे-धीरे खुद internet से ही बचने लगूँगा

    • Google Drive का सबसे अच्छा alternative क्या है? मैं भी इसी रास्ते पर आया हूँ, लेकिन Samba कभी-कभी काफ़ी झंझट वाला होता है

  • archive.is ने QR code scan करने को कहा, और Cloudflare के पीछे छिपकर यह करना बहुत शर्मनाक है। क्या website visitors पर KYC थोपा जा रहा है? क्या यह होश में हैं?
    अगर इस दिशा में धकेला गया, तो web टूट जाएगा। क्या अचानक लाखों websites KYC लागू करने लगेंगी?
    https://ibb.co/X9Q6Y84
    मैंने KYC इसलिए कहा, क्योंकि KYC के बिना SIM लेना और phone number के बिना Play Store के लिए Google account बनाना गैर-अपराधिक तरीके से बहुत मुश्किल है। तब हर website visit असली पहचान से जुड़ जाएगा
    मैं stock Android नहीं चलाता, इसलिए अभी वास्तव में कई websites तक पहुँच नहीं पा रहा हूँ। यह सचमुच बेहूदा है

    • इसमें लिखा है, “reCAPTCHA इस site के साथ आपकी details साझा नहीं करता,” लेकिन यह नहीं कहता कि Google के साथ साझा नहीं करता। तो क्या इसका मतलब है कि करता है?
    • यह सच में बहुत बुरा है :-(
      खासकर archive.is जैसी जगहों पर, phone के बिना internet देखना बहुत मुश्किल हो जाएगा
      पता नहीं यह चर्चा से कितना जुड़ा है, लेकिन अगर मददगार हो, तो मैंने archive.is pages को archive.org/Wayback Machine में सहेजने वाला एक project बनाया है। यह singlefile का उपयोग करता है
      लगता है community इसे बड़े पैमाने पर भी इस्तेमाल कर सकती है। उम्मीद है archive.is QR code की मांग वाली समस्या को ठीक करेगा, और यह स्थायी समस्या नहीं बनेगी
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • समझ नहीं आता कि Private Access Tokens को क्यों नहीं अपनाया गया। वह भी शानदार नहीं है, लेकिन कम से कम इसे ऐसे पेश किया जा सकता था: लोगों की privacy में दखल देना मकसद नहीं है, ऐसा दिखाना; “Apple भी ऐसा करता है” वाली पारंपरिक दलील देना; standards-oriented होने का दिखावा करना; और इसे end users के लिए पूरी तरह transparent feature की तरह प्रचारित करना
    ऐसा करते तो किसी न किसी रूप में device attestation हासिल हो जाती और विरोध भी काफी कम होता। लेकिन लगता है कि असली लक्ष्य वह नहीं है

    • मूल रूप से यह कुछ भी हल नहीं करता। लक्ष्य यह है कि किसी खास व्यक्ति या कम से कम अपेक्षाकृत महंगे device की पहचान हो, ताकि उसे block करने पर वह blocked ही रहे
    • क्या यह Not Invented Here syndrome नहीं है?

  • यह वह सीमा पार कर चुका है जहाँ सरकार को दखल देकर Google पर कड़ी रोक या भारी जुर्माना लगाना चाहिए। यह monopolistic behavior है

    • monopoly होने का संकेत इसी से मिलता है कि documentation website पर जाएँ तो आधे video इस feature को Google Analytics से जोड़ने की बात करते हैं
      यह दूसरे products का इस्तेमाल करके search और advertising monopoly को और मजबूत करने वाली संरचना है
      इससे कोई बेहतर Google या Gemini बनाने के लिए content scrape नहीं कर सकता, Google या Apple से प्रतिस्पर्धा करने वाला operating system नहीं बना सकता, और Google Analytics का competitor भी नहीं बना सकता
      यह साफ तौर पर anti-competitive है
    • सरकार को ही ऐसी चीज़ों की सबसे ज़्यादा ज़रूरत होती है। उन्हें जानना होता है कि संभावित या मौजूदा dissenters कौन हैं
    • यहाँ illegal tying या market dominance के दुरुपयोग की जाँच के लिए स्पष्ट आधार दिखता है। अगर FTC की नज़र यहाँ भी है, तो उम्मीद है वह सुन रहा हो
    • बल्कि सरकारें खुद .gov sites पर भी यह इस्तेमाल कर रही हैं और हम पर थोप रही हैं

  • क्या किसी को पता है कि iOS 16.5 में क्या बदला था, जिसकी वजह से Google ने app install कराने की मांग बंद कर दी? देखने में यह Apple के remote attestation Private Access Tokens से जुड़ा लगता है
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • यह प्रतिस्पर्धी AI agents को रोककर अपनी तरफ़ की पहुँच सुरक्षित रखने वाला एक क्लासिक ladder-pulling कदम है
    services देने और online काम करने वाले autonomous agents का बाज़ार बहुत बड़ा होने वाला है, इसलिए Amazon, Cloudflare, Microsoft आदि जिन assets की रक्षा करते हैं, वहाँ अपने bots को block न होने देने के लिए bargaining chip चाहिए

  • मैंने हाल ही में एक उलझन में पड़े परिवार की मदद की, जिनके बारे में उन्हें खुद पता भी नहीं था कि उनके नाम पर दो Google Cloud accounts हैं, और उन्हें delete कराया। उन्हें तब पता चला जब reCAPTCHA के दूसरे Google products में integrate होने वाला email आया
    मुझे बिल्कुल समझ नहीं आ रहा कि क्या हुआ। अब तक का सबसे अच्छा अनुमान यही है कि उसी browser में Google account login रहते हुए CAPTCHA हल करते समय उन्होंने सचमुच कोई बहुत गलत button दबा दिया। अजीब है

    • क्या यह AI Studio playground हो सकता है? सब कुछ integrated लगता है

  • निष्पक्षता से कहें तो पहले से ऐसे apps हैं जो signup के लिए phone माँगते हैं। जैसे VK, Telegram
    लगता है Google भी account registration के लिए QR code scan माँगता है, इसलिए अगर कोई खास मकसद हो तो शायद black market से Google account खरीदना ही आसान पड़े
    आजकल कोई भी web browser पर भरोसा नहीं करता
 
holywork 2026-05-12

"क्या तुम होश में हो?" जैसी प्रतिक्रिया कैसी है? archive.is ने बिना किसी विज्ञापन के अब तक मुफ़्त में सेवा दी है, तो शायद यह कोई बुनियादी अधिकार है जिसका मज़ा लेना उनका हक़ समझा जा रहा है। लगता है अगर वह विज्ञापन लगा दे, तो लोग उसे जान से मारने की धमकी तक भेज देंगे।