Googleが非Google系AndroidユーザーのreCAPTCHAを破壊？真の狙いは「WEI」の実装か

関連情報：Google Cloudの不正防止機能がreCAPTCHAの次なる進化形として登場しています（https://news.ycombinator.com/item?id=48039362 ）。また、このGoogle Cloud Fraud Defenceは実質的に「WEI（Web Environment Integrity）」の焼き直しではないかという指摘も挙がっています（https://news.ycombinator.com/item?id=48063199 ）。

新しいreCAPTCHAは、基本的にリモートアテステーション（遠隔認証）のことだと理解してる。リモートアテステーションはブラインド署名を使わない（ファームで悪用されるからね）。だからGoogleのサーバーと結託すれば、デバイスを『被認証者』に紐づけることは技術的に可能だ。EK（内蔵された静的な秘密鍵）からAIK（Googleサーバーが署名したセキュアエンクレイブ内の揮発性ID鍵）を生成し、AIKで認証する仕組みだよ。GoogleのサーバーがEKからAIKへの変換をログに記録してれば、認証結果をあなたのデバイスのEKまで簡単に辿れるってこと。オンラインサービスが偽のリモートアテステーションを提供しないし、今後も出てこないだろう理由はこれだ。そんなサービスを提供した途端、Googleが顧客になって全デバイスをブラックリストに入れるのは明白だからね。プライベートファームも、Googleは何でもログを取って相関分析するから長続きしないだろう。

今回の新しいreCAPTCHAで何か特別な対策がされない限り、インターネットサービスはTPMチップがないと使えなくなるだけじゃなく、Googleに匿名性を差し出すことになる。使い捨ての匿名端末をサービスごとに用意しない限り、新しいreCAPTCHAは技術的にこれら全てのサービスを通じたあなたのアカウントを一つに紐づけられるようになる。年齢確認と同じだよ。サービス側がreCAPTCHAのセッションを登録情報と紐づけるために協力する必要があるように見えるかもしれないけど、登録時間だけでも十分かもしれない（匿名性のセットはほぼ破壊されるだろう）。

競合するAIエージェントをブロックしつつ、自分たちのAIのためのアクセスを確保するっていう、典型的な『はしご外し』だよ。自律型エージェントがサービスを提供したりオンラインで作業したりする市場は巨大になるはず。だから、Amazon、CloudFlare、Microsoftといった企業が守るサイトから自分のボットが締め出されたくなければ、交渉のカードが必要になるってわけ。

なんでPrivate Access Tokensを採用しなかったのか謎だな（あれも大したもんじゃないけど）。そうすれば少なくとも、

• 人々のプライバシーを侵害するのが目的じゃないフリができた

• 『Appleもやってるし』っていう古き良き言い訳が使えた

• 標準化志向のフリもできた

• エンドユーザーには完全に透過的なものとして宣伝できた

これなら反発もずっと少なかったはずだし、デバイス認証という目的も達成できたはず。まあ、それが本当の目的じゃないってことなんだろうけど。

これは政府が介入して、Googleの独占的な振る舞いに対して重い罰金や禁止令を出すべきラインを超えてるよ。

archive.isがQRコードのスキャンを求めてきたんだけど、本当に最低だわ（Cloudflareの裏側にあるやつね）。サイトの訪問者にKYC（本人確認）を強要するなんて、正気かよ！？

こんなことを推し進めたらウェブは終わりだ。何百万ものウェブサイトが突然KYCを強要するようになるんだぞ？一体どうなってるんだ…

(URL)

KYCってことは、要するに犯罪以外でKYCなしにSIMを手に入れて、電話番号なしでPlayストア用のGoogleアカウントを作る手段なんてほぼないってことだ。だからウェブサイトへの訪問がすべて現実のIDと結びつけられるようになる。

私はストックのAndroidを使ってないんだけど、今は多くのウェブサイトにアクセスできなくてマジで困ってる。本当におかしいよ。

全く関係ない話だけど、最近すごく混乱している家族を手伝ったんだ。本人が全く知らないうちに作成されたGoogle Cloudのアカウントが、なんと『2つ』もあったという…。他のGoogle製品にreCAPTCHAが統合されたというメールがきっかけで発覚したんだけど。

何が起きたのか全く不明。今のところの推測では、ブラウザでGoogleアカウントにログインしたまま、自分でキャプチャを解いているときに何かめちゃくちゃ変なボタンを押したんじゃないかと。奇妙すぎるよ。

誰かがこれを独占禁止法違反として訴えてくれないかな。GoogleはreCAPTCHAの提供者としての市場支配力を使って、Google Play開発者サービスを使っていないデバイスの競争力を積極的に奪っている。

予備の安物Androidを長く使いすぎてたけど、最近GrapheneOSに変えたよ。Googleのプロフィールは1つだけで、Uberと仕事用のGoogleチャットとマップにしか使ってない。ある銀行が（Googleサービスを入れてても）動かなくて、銀行を変えた。モバイル利用のほとんどはセルフホスト（FreshRSSの全文配信、パスワードマネージャー、カレンダー、タスク）に移行して、直接ネットに繋がないようにしてる。

ちょっと面倒だけど、この道に進んでよかったと思ってる。だんだんインターネットから距離を置くような生き方にならざるを得ない気がしてきたよ。

iOS 16.5で何が変わってGoogleがアプリを要求しなくなったのか知ってる人いる？個人的にはAppleのリモートアテステーションである『Private Access Tokens』と関連があるように見えるんだが。https://developer.apple.com/videos/play/wwdc2022/10077/

うわ最悪。仕事で管理してるサイトのフォームにreCAPTCHAを入れてたけど、ボットのスパム対策のためだけだったんだ。でも、こんなゴミみたいな仕様をユーザーに押し付けるつもりは全くないよ。他に代わりになるまともなキャプチャのオススメって誰かある？