Google、de-Googled AndroidユーザーのreCAPTCHAが動作しないよう変更

従来の画像または音声チャレンジが使えないケースが報告されたことはありますか？

クリックを誘うための誇張なのか、それともGoogleのすることなら何でも無条件に否定的に見るのかは分かりませんが、"When the system flags suspicious activity, it drops the old image puzzles." という根拠のない主張が、なぜ検証もされないまま繰り返し広まっているのか理解しがたいです。

おそらく "To complete the mobile verification, you must use a compatible mobile device." という文言から生じた誤解に近いのでしょう。この文は「モバイル検証を利用するには互換性のある端末が必要だ」という意味であって、「今後はモバイル検証しか使えない」という意味ではありません。

公式ドキュメントも、モバイル検証がどの環境でサポートされるかを説明しているだけで、従来の画像チャレンジがなくなったとは述べていません。Cloud Console や開発者向けドキュメントを見ても、サイト運営者や開発者がチャレンジの種類を制限できるという記述は見当たりません。実際、該当のニュース記事、/r/degoogle の投稿、Google公式ヘルプページ、そして私自身が直接テストした結果を見ると、QRコードの下には目の形またはヘッドセットの形のアイコンが引き続き表示されており、そこから従来のチャレンジをそのまま利用できます。

つまり、モバイル検証は対応端末で利便性のために提供される追加の認証方式に近く、「de-Googled デバイスではもう reCAPTCHA を解けない」と断定できるだけの根拠は不足しています。

Googleが不正防止やユーザー体験の改善のために何かをすると、何でも無条件に悪だと決めつける一方で、確認されていない情報を広めるのは構わない、というような態度は理解しがたいです。少なくとも批判をするなら、まず事実関係を確認すべきではないでしょうか。そうした区別もなく誇張された情報を繰り返し拡散するのは、批判というより恐怖を広めることに近いように思えます。

アプリのインストール制限もそうですし、Android はもう閉鎖的なエコシステムだと見るべきでしょう

Hacker Newsのコメント

• この新しい reCAPTCHA は、基本的に リモート証明(remote attestation) だと理解される
  リモート証明はブラインド署名を使わない。そうすると大量に再配布できてしまうからだ。したがって Google サーバーが共謀すれば、デバイスと証明対象者を技術的に結び付けられる: EK（固定で焼き込まれた秘密鍵）→ AIK（セキュア領域の一時的な識別鍵、Google サーバーが署名）→ 証明（AIK が署名）という流れになる
  Google サーバーが EK → AIK の変換を記録すれば、特定の証明をそのデバイスの EK まで簡単に追跡できる。だから偽のリモート証明を提供するオンラインサービスはほとんど存在せず、今後も出てきそうにない。そうしたサービスを運営した次の段階では、Google が顧客となってすべてのデバイスをブロックリストに載せるだろうからだ
  この新しい reCAPTCHA に特別な対策がなければ、インターネットサービスを TPM チップの背後に閉じ込めるだけでなく、匿名性を Google に明け渡すことになる。サービスごとに追跡不能な一時デバイスを用意しない限り、この方式では複数サービス上のすべてのアカウントを相互に結び付けられる。年齢確認に近く、サービスが reCAPTCHA セッションと登録を結び付けるには協力が必要に見えるとしても、登録時刻だけで匿名集合はほぼ崩壊する可能性が高い

  • サイトを運営しているなら、同じコードを自分のサイトに載せて 証明リクエストを他人に転送し、自分のデバイスではなくその人のデバイスが Google にブロックされるようにするのも簡単に見える
  • こういう会社が存在するなら、TPM に依存することにどんな意味があるのかわからない。VC 出資を受けたボットたちの未来は明るそうだ
    https://doublespeed.ai/
  • 「この QR コードを解釈しろ」という作業は、「人間がコンピューターよりうまくできる作業」の上位 50 万件にも入らないだろう
  • reCAPTCHA のドキュメントを見る限り、ハードウェア証明 のサポートが必須という要件は見当たらず、Play Services だけでも足りそうだ
    おそらく Google がリモートで証明を行う可能性が高く、Play Services のようにスマートフォンに強大なアクセス権を持つアプリを使って、さまざまなデータを関連付けられる。スマートフォン上のローカルな活動まで含めて「人間らしさ」の判定を改善したいという名目かもしれない
    Google アカウントを使っている人にとっては、収集されるデータという意味では大差ないのかもしれない
    この方式なら理論上は偽造も可能だろうが、Google にとっては複数人で共有して使う証明を検知しやすい
    もともとかなり大まかなシステムの更新にすぎず、絶対的な安全性がまだ必要というわけではないが、回避は極めて難しくなる可能性が高い
  • Google が iPhone ユーザーにテスト通過のため Google ソフトウェアのインストールを要求していないのなら、脱Google Android のスマートフォンが自分を iPhone のように見せることはできるのだろうか？

• 今は Android を使っておらず、Google 入りの Android もほぼ 10 年使っていないし、今後も使うつもりはない。これが最後まで守るべき一線なら、その通りにする
  Google が制御しているかどうかに関係なく、ハードウェア証明 は使わない。root 化していない Google 認証済み Android スマートフォンを持っていても、使うべきではないと思う

  • フィンテックアプリが動かず、お金を受け取れなくなったら、もう面白い問題ではない。だから 規制 が必要だ
    ただし政治家たちが広告会社を相手に立ち向かうとは思えない。彼らは顧客なのだから

• 古い低価格 Android を予備として持っていて、最近 GrapheneOS に移った。Google プロファイルは 1 つだけ残し、Uber、会社の Google Chat、地図にだけ使っている
  ある銀行は Google サービスがあっても動作を拒否したので、銀行を変えた。モバイル利用の大半はセルフホスト側へ移し、freshrss の全文配信、パスワードマネージャー、カレンダー、タスク管理などを、直接インターネットにさらさないよう構成している
  少し面倒ではあるが、この道を歩み始めてよかったと感じている。だんだんインターネットそのものを避けるようになりそうだ

  • Google Drive の最良の代替は何だろう？ 私もこの道を進んでいるが、Samba は時々ちょっと面倒だ

• archive.is が QR コードのスキャンを要求してきたが、Cloudflare の背後でこんなことをするのはあまりにも恥ずかしい。サイト訪問者に KYC を強制するのか？ 正気なのか？
  この方向に押し進めるなら、ウェブは壊れる。何百万ものウェブサイトが突然 KYC を強制するようになるのか？
  https://ibb.co/X9Q6Y84
  KYC と言ったのは、KYC なしで SIM を入手し、電話番号なしで Play Store 用の Google アカウントを作る非犯罪的な方法がほとんどないからだ。そうなると、あらゆるウェブサイト訪問が実名の身元に結び付いてしまう
  素の Android を使っていないので、今では実際に多くのウェブサイトへアクセスできない。本当にばかげている

  • 文言には「reCAPTCHA はこのサイトとあなたの詳細情報を共有しません」とあるが、Google と共有しないとは書いていない。ということは共有するという意味なのか？
  • これは本当にひどい :-(
    特に archive.is のような場所では、スマートフォンなしでインターネットを見るのがずっと難しくなりそうだ
    議論とどれほど関係あるかはわからないが、役に立つなら、archive.is のページを archive.org/Wayback Machine に保存できるプロジェクトを作った。singlefile を使っている
    コミュニティがこういうものを大規模に活用することもできそうだ。archive.is が QR コード要求の問題を修正し、恒久的な問題にならないことを願う
    [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

• なぜ Private Access Tokens を採用しなかったのかわからない。それも素晴らしいものではないが、少なくともこう包装することはできたはずだ: 人々のプライバシー侵害が目的ではないふりをすること、「Apple もやっている」という伝統的な言い訳を使うこと、標準志向のふりをすること、最終ユーザーに完全に透明な機能のように宣伝すること
  そうしていれば、何らかの形でデバイス証明を達成しつつ、反発はずっと少なかっただろう。しかしそれが本当の目的ではないように見える

  • 根本的には何も解決しない。特定の人物、あるいは少なくとも比較的高価なデバイスを識別し、ブロックしたらそのままブロックされ続けるようにしたいのだ
  • Not Invented Here 症候群 ではないだろうか？

• これは政府が介入して Google を強く禁止するか、罰金を科すべき一線を越えている。独占的行為 だ

  • 独占だということは、ドキュメントサイトを見れば動画の半分がこの機能を Google Analytics に結び付ける話になっている点からも明らかだ
    他の製品を使って検索と広告の独占を強化する構造になっている
    より良い Google や Gemini を作るためにコンテンツをスクレイピングすることもできず、Google や Apple と競争する OS を作ることもできず、Google Analytics の競合も作れなくなる
    明白に反競争的だ
  • 政府こそ、こういうものを最も必要としている。潜在的・現在の反体制派が誰なのか知りたがっているからだ
  • ここには違法な抱き合わせ販売や市場支配力の乱用として調査する明確な根拠があるように見える。FTC がここにも目を向けているなら、聞いていてほしい
  • むしろ政府がこうしたものを .gov サイトでも使い、私たちに強制している

• iOS 16.5 で何が変わって、Google がアプリのインストール要求をやめたのか知っている人はいるだろうか？ 見たところ Apple のリモート証明である Private Access Tokens に関係しているようだ
  https://developer.apple.com/videos/play/wwdc2022/10077/

• 競合する AI エージェント を阻止しつつ、自分たちの側のアクセスは確保しようとする、典型的なはしご外しだ
  サービスを提供しオンライン作業を遂行する自律エージェントの市場は巨大になるだろうから、Amazon、Cloudflare、Microsoft などが守る資産で自社ボットがブロックされないようにするには、交渉材料が必要になる

• 最近、混乱していた家族が存在すら知らなかった Google Cloud アカウント 2 つ を削除するのを手伝った。reCAPTCHA が他の Google 製品に統合されるというメールを受け取って、初めてその存在を知ったのだ
  何が起きたのかまったくわからない。今のところ最善の推測は、同じブラウザーで Google アカウントにログインした状態で CAPTCHA を解いていて、本当にまずいボタンを押してしまったのではないかということだ。奇妙だ

  • AI Studio のプレイグラウンドではないだろうか？ 全部統合されているように見える

• 公平に言えば、すでに登録にスマートフォンを要求するアプリはある。たとえば VK や Telegram だ
  Google もアカウント登録に QR コードのスキャンを要求しているようなので、何か目的があるなら、闇市場で Google アカウントを買ったほうが簡単かもしれない
  今では誰も ウェブブラウザー を信用していない

「正気か？」という反応は何なんでしょう？ 広告も入れずにこれまで無料でサービスを提供してきた archive.is は、当然享受できるべき基本権か何かのようです。広告を入れたら殺害予告でも送りつけてきそうな勢いですね。