नया reCAPTCHA पास करने के लिए अब मंज़ूरशुदा फ़ोन ज़रूरी
(cybernews.com)- Google का नया reCAPTCHA अब डेस्कटॉप या लैपटॉप पर इस्तेमाल के दौरान भी compatible mobile device से QR कोड स्कैन करके verification मांगता है
- GrapheneOS ने चेतावनी दी है कि अगर आपके पास iOS या Google Play Services इंस्टॉल किया हुआ Android डिवाइस नहीं है, तो online services तक पहुंच रुक सकती है
- Google की support list में सिर्फ Google Play Services वाले Android और iOS/iPadOS डिवाइस शामिल हैं, इसलिए deGoogled Android smartphones जैसे डिवाइस verification पूरा नहीं कर पाएंगे
- Google का कहना है कि QR कोड आधारित challenge का मकसद AI agents द्वारा पुराने challenges को आसानी से हल करने की स्थिति को रोकना और automated fraud को आर्थिक रूप से असंभव बनाना है
- Hacker News, X और Reddit आदि पर remote attestation और authenticated device की मांग को security से ज़्यादा computing freedom और mobile market competition को सीमित करने वाला कदम बताकर तीखी प्रतिक्रिया हो रही है
क्या बदला है - नए reCAPTCHA की device restrictions
- इंसान होने का प्रमाण देने के लिए अब approved Android या iPhone का मालिक होना ज़रूरी होता जा रहा है, और users को "compatible mobile device" से QR कोड स्कैन करना पड़ता है
- GrapheneOS के अनुसार privacy-केंद्रित OS और device इस्तेमाल करने वाले users verification से बाहर हो सकते हैं
- हाल के बदलाव के बाद deGoogled Android smartphones जैसे मनमाने device या operating system अब Google के reCAPTCHA verification को पूरा नहीं कर सकते
- verification पूरा करने वाले devices की सूची अब सिर्फ Google Play Services इंस्टॉल वाले Android और iOS/iPadOS devices तक सीमित है
- reCAPTCHA एक security tool है जिसका इस्तेमाल लाखों websites और बड़े services करते हैं, और इसका काम इंसानों और bots में फर्क करना है
- यह आम तौर पर background में बिना दिखे काम करता है, लेकिन संदिग्ध activity दिखने पर fire hydrant या traffic light पहचानने जैसे challenges देता है
-
GrapheneOS की आलोचना
- GrapheneOS ने एक public statement में इस कदम को "बेहद anti-competitive" बताया
- "reCAPTCHA पर नियंत्रण Google को ऐसी स्थिति में रखता है जहाँ वह web के बड़े हिस्से का इस्तेमाल करने के लिए iOS या certified Android device की मांग कर सकता है"
- इस बदलाव को उसने hardware-based attestation का विस्तार बताया, जो hardware और OS competition को लगातार बाहर कर रहा है
- attestation : built-in security chip के ज़रिए यह cryptographic proof देना कि hardware असली device है
- "इस system का उद्देश्य Apple या Google द्वारा मंज़ूर न किए गए hardware और software के इस्तेमाल को रोकना है, और इसे security feature के रूप में गलत तरीके से पेश किया जा रहा है"
- "10 साल से patch न हुए devices को मंज़ूरी दी जाती है, लेकिन उनसे कहीं ज़्यादा सुरक्षित OS को रोका जाता है", और दावा है कि मकसद Google Mobile Services licensing के ज़रिए monopoly थोपना है
-
Cloud Fraud Defense और AI-resistant challenges
- नया reCAPTCHA, 22 अप्रैल को घोषित Cloud Fraud Defense platform का हिस्सा है, जिसे bots, humans और AI agents की legitimacy verify करने के लिए design किया गया है
- Google के मुताबिक "sophisticated automation की बढ़ोतरी risk management में बुनियादी बदलाव की मांग करती है"
- support list में सिर्फ Google Play Services वाले Android devices और iOS/iPadOS devices शामिल हैं
- website operators को risk score, automation type और agent identity जैसी conditions के आधार पर bots और AI agents को allow या block करने के लिए granular controls मिलते हैं
- नया QR कोड आधारित CAPTCHA, पुराने challenges को आसानी से हल करने वाले AI agents को रोकने के लिए बनाया गया है
- Google का कहना है, "मानव उपस्थिति साबित करने वाला यह AI-resistant mitigation challenge automated fraud को आर्थिक रूप से असंभव बनाने के लिए design किया गया है"
- Google मौजूदा reCAPTCHA customers को बिना किसी अलग action या price change के Fraud Defense में migrate कर रहा है
- कम से कम अक्टूबर 2025 से यह feature चुपचाप rollout किया जा रहा था, और उस समय के blog post में "और मज़बूत AI-resistant security" देने वाले QR कोड approach की घोषणा की गई थी
- PC या Mac पर browse करते समय भी physical mobile device की भागीदारी "एक अलग मानव की मौजूदगी का high-confidence attestation" देती है
- GrapheneOS का कहना है, "यह Windows, desktop Linux, OpenBSD आदि पर hardware attestation requirement लागू करने जैसा है, जिसमें certified smartphone से QR scan कराना पड़ता है। इसे आगे और बढ़ाया जा सकता है"
- privacy advocates ने चेतावनी दी है कि Apple App Attest या Google Play Integrity की बढ़ती मांग mobile market में दो दिग्गजों का दबदबा और मजबूत कर रही है
- GrapheneOS ने कहा, "EU digital payments, ID और age verification जैसी चीज़ों में ऐसी मांगों को आगे बढ़ा रहा है, और कई EU government apps इन्हें मांगते हैं"
विरोध और चिंताएँ
- website operators तय करते हैं कि कौन-सा CAPTCHA solution इस्तेमाल करना है और उसे कितना सख्ती से लागू करना है
- privacy advocates का कहना है कि Apple App Attest या Google Play Integrity की बढ़ती मांग mobile market के दो-खिलाड़ी ढांचे को और मजबूत कर रही है
- GrapheneOS का मानना है कि EU digital payments, ID और age verification में ऐसे requirements लागू करने की दिशा में आगे है, और कई EU government apps इन्हें मांगते हैं
-
technical community और social media की प्रतिक्रिया
- Hacker News की technical community में यह राय व्यापक है कि बहस का असली मुद्दा security नहीं बल्कि power grab है
- एक Hacker News user ने लिखा, “remote attestation ही हमारी computing freedom के खत्म होने का रास्ता बनेगा”
- X पर इससे जुड़ी posts को millions of views और tens of thousands reactions मिले
- International Cyber Digest ने लिखा कि GrapheneOS, CalyxOS, /e/OS जैसे deGoogled Android phones इस्तेमाल करने वाले users अगर जानबूझकर हटाए गए Google Play Services को दोबारा install नहीं करते, तो उन्हें लाखों websites पर block किया जा सकता है
- International Cyber Digest ने इसे यूँ कहा: "Google अब privacy को डिफ़ॉल्ट रूप से संदिग्ध व्यवहार मान रहा है"
-
पहले की समान कोशिशें और security concerns
- online privacy company Mega ने कहा कि Google ने 2023 में Web Environment Integrity नाम का ऐसा ही कदम लागू करने की कोशिश की थी, लेकिन public backlash के बाद उसे वापस ले लिया गया
- "इस बार इसे public proposal की जगह commercial product के रूप में launch किया गया है। पुराना CAPTCHA तरीका फिलहाल fallback के रूप में उपलब्ध है, लेकिन यह कब तक रहेगा, पता नहीं"
- "जिन लोगों के पास certified device नहीं है, वे verification ही नहीं कर पाएंगे"
- Reddit पर भी इसी तरह की चर्चा जारी है
- एक Reddit user ने CAPTCHA में QR कोड के शामिल होने का विरोध किया और चेतावनी दी कि यह age verification और anti-VPN की तरह surveillance का एक और तरीका है
- कुछ users को चिंता है कि नया QR कोड reCAPTCHA scammers के लिए नकली QR confirmation और verification flow की नकल जैसे नए attack paths खोल सकता है
- "इसे design करने वालों ने security के बारे में बिल्कुल नहीं सोचा। scammers तो खुशी से झूम उठेंगे"
- online privacy company Mega ने कहा कि Google ने 2023 में Web Environment Integrity नाम का ऐसा ही कदम लागू करने की कोशिश की थी, लेकिन public backlash के बाद उसे वापस ले लिया गया
1 टिप्पणियां
Lobste.rs की राय
यूज़र बिहेवियर सिक्योरिटी के नज़रिए से यह बहुत बड़ा पीछे हटना लगता है
अब हमलावर reCaptcha QR कोड को नकली बनाकर यूज़र को अपनी मनचाही जगह भेज सकता है, और इस बात की कोई गारंटी या उम्मीद नहीं है कि यूज़र यह जांच पाएगा कि यह असली है या नहीं
पहले से ही नकली Cloudflare Turnstile पेज मौजूद हैं जो Windows+R दबाकर कुछ पेस्ट करने को कहते हैं, इसलिए यूज़र्स को इसके खिलाफ कैसे प्रशिक्षित किया जाए, यह लगभग असंभव लगता है
अब दोनों authentication factors को हमलावर के नियंत्रण वाली जगह पर भेजा जा सकता है
मुझे लगा था कि QR कोड स्कैन करने के लिए कोई खास reCaptcha app चाहिए होगा, लेकिन यह तो बस साधारण URL वाला QR कोड है
लेकिन अगर वे इसे पहले ही आजमा रहे हैं, तो पता नहीं वे सुनेंगे भी या नहीं
जब मैंने इसे पहली बार देखा तो मैं चौंक गया, क्योंकि यह किसी ढीले-ढाले phishing प्रयास जैसा लगा
उस समय मैं Tor इस्तेमाल कर रहा था, और अगर मैं Google account से जुड़े फ़ोन से कोड स्कैन करता तो मेरी anonymity टूट सकती थी
मैं visual CAPTCHA पर वापस जा सका, लेकिन चिंता है कि जल्द ही वह विकल्प भी गायब हो सकता है
ऐसा हुआ तो अनाम रूप से इंटरनेट इस्तेमाल करना बहुत ज़्यादा मुश्किल हो जाएगा
“AI-resistant” वाला दावा भी बकवास है
क्या वे सच में कल्पना नहीं कर सकते कि QR कोड स्कैन करने की प्रक्रिया को automate किया जा सकता है?
अंतिम लक्ष्य उन सभी डिवाइसों को बाहर करना है जिनसे general-purpose computing तक स्वतंत्र पहुंच मिलती है, और सभी विज़िटर्स की anonymity खत्म करना है
लेकिन जैसा पोस्ट में कहा गया है, यह प्रक्रिया खास hardware के इस्तेमाल की मांग करती है, और असली बात यह है कि उस hardware को भौतिक रूप से प्रमाणित किया जा सकता है
उद्देश्य यह है कि बड़े पैमाने पर विस्तार करना महंगा बनाया जाए
अगर फ़ोन ब्लॉक हो जाए तो Docker container को फिर से reset नहीं किया जा सकता, बल्कि नया फ़ोन लेना पड़ेगा
मुझे नहीं पता QR कोड ठीक-ठीक कैसे काम करता है, या इसमें स्थायी identifier इस्तेमाल होता है या नहीं
TPM counter जैसे कम दखल देने वाले विकल्प भी हो सकते हैं, या कोई बिल्कुल अलग तरीका अपनाया जा सकता है
फिर भी, मुझे लगता है कि खास hardware की मांग का कारण hardware attestation को संभव बनाना है
यह मूलतः web environment integrity proposal के उसी लक्ष्य को बस ज़्यादा झंझट वाले तरीके से हासिल करने जैसा है
WEI के खिलाफ विरोध के कारण वह तरीका रुक गया, लेकिन जिस Sybil attack समस्या को वह हल करना चाहता था, वह गायब नहीं हुई, और अगर असीमित Sybil attacks की लागत लगभग 0 रहे तो मौजूदा रूप वाला वेब मूल रूप से टिक नहीं सकता
इसलिए वे किसी-न-किसी तरीके से इसे हल करने की कोशिश करते रहेंगे
मैं वेब ज़्यादातर desktop या laptop पर browse करता हूँ, और किसी random website के QR कोड को फ़ोन से स्कैन करने का मेरा कोई इरादा नहीं है
तब मैं बस कहीं और चला जाऊँगा
मैं GrapheneOS इस्तेमाल करता हूँ, और उम्मीद है कि मैं इसे इस्तेमाल करता रह सकूँ
ऐसा लग रहा है कि धीरे-धीरे bank apps और अब CAPTCHA के लिए भी secondary device चाहिए होगा, जो बहुत फ़िज़ूलखर्ची है
मुझे समझ नहीं आता कि यह कैसे काम करता है
यह कैसे सत्यापित करेगा कि मैं किस डिवाइस से कोड स्कैन कर रहा हूँ?
यह तो आसानी से नकली बनाया जा सकने वाला लगता है, इसलिए समझ नहीं आता
मेरे पास तो सिर्फ़ flip phone है, तो क्या अब मैं reCaptcha वाली साइटें इस्तेमाल नहीं कर पाऊँगा?
क्या टेक पूंजीपतियों ने “पोस्टिंग पैटर्न के आधार पर यूज़र की anonymity खत्म करना” वाली समस्या को पर्याप्त तेजी से हल नहीं किया?