Google rompe reCAPTCHA para usuarios de Android sin Google

 (reclaimthenet.org)
2 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Google vinculó reCAPTCHA de nueva generación para Android con Google Play Services, haciendo que los usuarios de Android sin Google fallen automáticamente en los pasos de verificación adicionales
  • Para que un usuario de Android demuestre que es humano, debe ejecutar el marco propietario de apps de Google Google Play Services 25.41.30 o superior
  • Si se detecta actividad sospechosa, en lugar del rompecabezas tradicional de imágenes ahora se exige escanear un código QR, y este proceso solo se completa si Play Services se comunica con los servidores de Google
  • Los dispositivos con iOS 16.4 o superior superan la misma verificación sin software adicional de Google, pero se crea una estructura asimétrica en la que solo quedan bloqueados los usuarios de Android que rechazan Play Services
  • Como reCAPTCHA está al frente de millones de sitios web, este cambio sienta un precedente en el que el acceso web básico exige ejecutar software de Google y enviar datos a los servidores de Google

Un método de verificación atado a Google Play Services

  • En Android, el proceso para demostrar que un usuario es humano depende del marco propietario de apps de Google Google Play Services 25.41.30 o superior
  • Si reCAPTCHA considera que hay actividad sospechosa, en lugar del rompecabezas tradicional de imágenes exige escanear un código QR
  • Como el escaneo del QR requiere que Play Services, ejecutándose en segundo plano, se comunique con los servidores de Google, la verificación falla en GrapheneOS y en otras ROM personalizadas donde se ha eliminado el software de Google
  • Los usuarios que usan un de-Googled phone fallan automáticamente cuando el sistema exige una verificación adicional

Google Cloud Fraud Defense y cómo se introdujo

  • Google presentó el 23 de abril en Cloud Next un sistema más amplio llamado Google Cloud Fraud Defense
  • El sistema fue presentado como una plataforma de confianza para lidiar tanto con agentes autónomos de IA como con bots tradicionales
  • El hecho de que, en Android, el proceso para demostrar que un usuario es humano haya quedado vinculado a la ejecución de software propietario de Google no quedó visible en primer plano durante el anuncio
  • Este cambio no apareció de repente: en la misma página de soporte, una captura de Internet Archive de octubre de 2025 ya mostraba el requisito de Play Services 25.39.30
  • Un usuario del subreddit de degoogle lo confirmó, y luego se conoció más ampliamente a través de reportes de PiunikaWeb y Android Authority

La diferencia entre iOS y Android

  • Los dispositivos Apple con iOS 16.4 o superior completan la misma verificación sin instalar apps adicionales
  • Google no exige a los usuarios de iPhone instalar software de Google para pasar reCAPTCHA
  • Esto crea una estructura asimétrica en la que solo quedan bloqueados los usuarios de Android que rechazan Play Services
  • Esta diferencia parece estar más relacionada con el control del ecosistema que con la seguridad

Problemas de accesibilidad web y transferencia de datos

  • reCAPTCHA está al frente de millones de sitios web
  • Si Google ata la verificación a Play Services, se crea un precedente en el que el acceso a contenido web básico requiere ejecutar software de Google y transferir datos a los servidores de Google
  • Los usuarios de teléfonos sin Google eligen esa configuración precisamente porque no están de acuerdo con las prácticas de datos de Play Services
  • El nuevo sistema trata por defecto como sospechosa la ausencia de software propietario de Google y penaliza esa elección

La exclusión que terminarán eligiendo los desarrolladores web

  • Los sitios web que adopten este reCAPTCHA terminarán enviando la señal de que no dan la bienvenida a los usuarios de Android sin Google
  • Ese grupo de usuarios es pequeño por ahora, pero también es el más sensible a cómo los sitios web manejan los datos
  • Es poco probable que ese grupo ceda fácilmente ante la exigencia de Google Play Services

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Opiniones en Hacker News

  • Este nuevo reCAPTCHA se entiende básicamente como atestación remota (remote attestation)
    La atestación remota no usa firmas ciegas, porque eso permitiría reutilizarlas a gran escala. Entonces, si los servidores de Google se ponen de acuerdo, pueden vincular técnicamente el dispositivo con quien presenta la prueba: el flujo sería EK (clave privada fija grabada en el hardware) → AIK (clave de identidad temporal del área segura, firmada por los servidores de Google) → atestación (firmada por la AIK)
    Si los servidores de Google registran la conversión EK → AIK, pueden rastrear fácilmente una atestación específica hasta la EK del dispositivo. Por eso casi no existen servicios en línea que ofrezcan atestación remota falsa, y parece difícil que los haya en el futuro. Porque el siguiente paso de operar uno de esos servicios es que Google se haga cliente y ponga todos los dispositivos en una lista de bloqueo
    Si este nuevo reCAPTCHA no tiene medidas especiales, no solo estaría encerrando los servicios de internet detrás de un chip TPM, sino también entregándole el anonimato a Google. A menos que consigas un dispositivo temporal no rastreable para cada servicio, este esquema permite vincular entre sí todas tus cuentas en varios servicios. Es parecido a la verificación de edad: aunque parezca que el servicio tendría que cooperar para conectar la sesión de reCAPTCHA con el registro, es muy probable que solo con la hora de registro el conjunto anónimo casi se desmorone

    • Si operas un sitio web, también parece fácil subir el mismo código a tu propio sitio para reenviar solicitudes de atestación a otras personas y hacer que Google bloquee el dispositivo de esa persona en vez del tuyo
    • Si existe una empresa así, no veo qué sentido tiene depender del TPM. El futuro de los bots financiados por VC se ve prometedor
      https://doublespeed.ai/
    • No creo que “interpretar este código QR” entre ni siquiera en la lista de las 500 mil tareas en las que “los humanos pueden hacerlo mejor que las computadoras”
    • En la documentación de reCAPTCHA no veo un requisito de que el soporte de atestación por hardware sea obligatorio; parece que con Play Services basta
      Probablemente Google haga la atestación de forma remota y use una app con acceso enorme al teléfono, como Play Services, para correlacionar distintos datos. Puede ser con el pretexto de juzgar mejor la “humanidad” de alguien, incluso incluyendo la actividad local del teléfono
      Para la gente que usa una cuenta de Google, quizá no haya una gran diferencia en cuanto a los datos recolectados
      Con este enfoque, en teoría también sería posible falsificarla, pero desde la perspectiva de Google sería fácil detectar atestaciones compartidas entre muchas personas
      De entrada es una actualización de un sistema muy aproximado, así que todavía no requiere seguridad absoluta, pero es probable que eludirlo se vuelva extremadamente difícil
    • Si Google no les pidió a los usuarios de iPhone instalar software de Google para pasar la prueba, ¿podría un teléfono Android des-Googleado hacerse pasar por un iPhone?

  • Ahora no uso Android, casi tampoco he usado Android con Google en casi 10 años, y tampoco lo haré en el futuro. Si esta es la línea que hay que mantener hasta el final, así será
    No voy a usar atestación por hardware, la controle Google o no. Incluso si tuviera un teléfono Android certificado por Google y sin root, creo que no debería usarse

    • Cuando una app fintech deja de funcionar y ya no puedes recibir dinero, deja de ser un problema interesante. Por eso hace falta regulación
      Aunque no parece que los políticos vayan a enfrentarse a una empresa de publicidad. Al fin y al cabo, son sus clientes

  • Tenía un Android viejo y barato como respaldo, y hace poco me pasé a GrapheneOS. Mantengo un solo perfil de Google y lo uso solo para Uber, Google Chat del trabajo y mapas
    Un banco se negaba a funcionar incluso con los servicios de Google, así que me cambié de banco. Gran parte de mi uso móvil lo moví a cosas autoalojadas, y configuré freshrss de texto completo, mi gestor de contraseñas, calendario, gestión de tareas y demás para no exponerlos directamente a internet
    Es algo molesto, pero me alegra haber empezado este camino. Cada vez parece más que uno terminará evitando el internet mismo

    • ¿Cuál sería la mejor alternativa a Google Drive? Yo también me fui por ese camino, pero Samba a veces es medio fastidioso

  • archive.is me pidió escanear un código QR, y esto detrás de Cloudflare da demasiada vergüenza. ¿Le están imponiendo KYC a los visitantes del sitio web? ¿Están locos?
    Si siguen empujando en esta dirección, la web se rompe. ¿De repente millones de sitios web van a imponer KYC?
    https://ibb.co/X9Q6Y84
    Digo KYC porque hay muy pocas formas no delictivas de conseguir una SIM sin KYC y crear una cuenta de Google para Play Store sin número de teléfono. Entonces cada visita a un sitio web quedaría vinculada a una identidad real
    Como no uso Android stock, en este momento de verdad no puedo acceder a muchos sitios web. Es absurdísimo

    • El texto dice “reCAPTCHA no comparte tus datos con este sitio”, pero no dice que no los comparta con Google. Entonces, ¿sí los comparte?
    • Esto sí está muy mal :-(
      Sobre todo en lugares como archive.is, parece que ver internet sin teléfono se va a volver mucho más difícil
      No sé qué tan relacionado esté con la discusión, pero por si sirve, hice un proyecto para archivar páginas de archive.is en archive.org/Wayback Machine. Usa singlefile
      La comunidad podría usar algo así a gran escala. Ojalá archive.is arregle este problema de exigir códigos QR y no se vuelva algo permanente
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • No entiendo por qué no adoptaron Private Access Tokens. Tampoco son maravillosos, pero al menos habrían podido venderlo así: fingir que no se trata de invadir la privacidad de la gente, usar la excusa tradicional de “Apple también lo hace”, aparentar orientación a estándares y promocionarlo como una función completamente transparente para el usuario final
    Si lo hubieran hecho, parece que habrían logrado algún tipo de atestación de dispositivo con mucha menos resistencia. Pero no parece que ese fuera el objetivo real

    • En el fondo no resuelve nada. Lo que quieren es identificar a una persona específica, o al menos un dispositivo relativamente caro, para que si lo bloquean, siga bloqueado
    • ¿No será el síndrome de Not Invented Here?

  • Esto ya cruzó la línea en la que el gobierno debería intervenir para prohibírselo con fuerza a Google o multarlo. Es una conducta monopólica

    • Lo monopólico se nota en que, si vas al sitio de documentación, la mitad del video trata de conectar esta función con Google Analytics
      Es una estructura para reforzar su monopolio de búsqueda y publicidad usando otros productos
      Ya no se podría raspar contenido para hacer un mejor Google o Gemini, ni construir un sistema operativo que compita con Google o Apple, ni crear un competidor de Google Analytics
      Es claramente anticompetitivo
    • Justamente los gobiernos son quienes más necesitan algo así. Quieren saber quiénes son los disidentes potenciales y actuales
    • Aquí sí parece haber base clara para investigar por venta atada ilegal o abuso de poder de mercado. Ojalá la FTC también esté mirando esto
    • Peor aún, el gobierno ya está usando esto incluso en sitios .gov y nos lo está imponiendo

  • ¿Alguien sabe qué cambió en iOS 16.5 para que Google dejara de exigir instalar una app? Por lo que se ve, parece estar relacionado con Private Access Tokens, la atestación remota de Apple
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Es la clásica movida de quitar la escalera para bloquear agentes de IA competidores mientras aseguran el acceso para los suyos
    El mercado de agentes autónomos que prestan servicios y realizan tareas en línea va a ser enorme, así que necesitan fichas de negociación para que sus bots no queden bloqueados en activos controlados por Amazon, Cloudflare, Microsoft y otros

  • Hace poco ayudé a familiares confundidos a borrar dos cuentas de Google Cloud cuya existencia ni siquiera conocían. Solo se enteraron al recibir un correo diciendo que reCAPTCHA se integraría con otros productos de Google
    No tengo idea de qué pasó. Mi mejor hipótesis hasta ahora es que resolvieron un CAPTCHA mientras tenían iniciada sesión en una cuenta de Google en el mismo navegador y realmente apretaron el botón equivocado. Es rarísimo

    • ¿No habrá sido el playground de AI Studio? Todo parece estar integrado

  • Para ser justos, ya hay apps que piden teléfono para registrarte. Por ejemplo, VK y Telegram hacen eso
    También parece que Google exige escanear un código QR para registrar cuentas, así que si el objetivo es cualquiera, quizá sea más fácil simplemente comprar cuentas de Google en el mercado negro
    Hoy en día nadie confía en el navegador web