- reCAPTCHA pomáhá webům odlišit člověka od botů a chránit přihlášení, formuláře i platby
- Google ji rozšiřuje o mobilní QR ověřování, které na Androidu počítá s aktuální verzí Google Play Services
- U telefonů Huawei bez Google služeb a u alternativních ROM reálně hrozí, že se uživatel nedostane přes ověření k účtu, platbě nebo obnově hesla
reCAPTCHA znáte hlavně z webů, které se před odesláním formuláře nebo přihlášením ptají, jestli nejste robot. Někdy stačí zaškrtnout políčko, jindy poznáváte semafory, autobusy nebo přechody. Smyslem je pustit dál člověka a zastavit automat, který zkouší zakládat účty, hádat hesla nebo zahlcovat formuláře. Google chce u části podezřelých situací přidat ještě jeden způsob ověření.
V rámci Google Cloud Fraud Defense představil mobilní ověřování přes QR výzvu. Při podezřelém chování má zapojit člověka s kompatibilním telefonem. U Androidu podle oficiální nápovědy reCAPTCHA patří mezi podporovaná prostředí zařízení s Google Play Services ve verzi 25.41.30 nebo novější.
Na běžném Samsungu, Xiaomi, Motorole nebo Pixelu si toho nejspíš nevšimnete. Play Services se aktualizují na pozadí a většina lidí je nikdy neřeší. Jinak na tom mohou být novější telefony Huawei bez oficiálních Google Mobile Services a také alternativní ROM jako GrapheneOS, LineageOS, /e/OS nebo CalyxOS. Neplatí to pro starší Huawei a Honor s certifikovanými Google službami, ani automaticky pro každý telefon značky Huawei. Rozhoduje hlavně to, jestli má telefon originální Play Services. Podobně mohou narazit také importované čínské verze Android telefonů nebo jiná zařízení bez certifikovaných Google služeb. Právě tam hrozí nepříjemný scénář: web po vás chce ověření, ale telefon nesplňuje podmínky, se kterými Google počítá.
Netýká se to každého formuláře
Klasická webová reCAPTCHA nekončí a Google najednou nepřepíná ověřování do režimu, ve kterém by každý formulář vyžadoval Android s Google službami. Stávající integrace mají podle Googlu dál fungovat beze změny, bez nutné migrace a bez změny cen.
Google zatím novou mobilní výzvu označuje jako experimentální funkci v režimu Preview. Kdo ověření přes telefon nedokončí, má podle nápovědy dostat ještě vizuální nebo zvukovou výzvu.
Rozhodovat ale bude konkrétní web. Náhradní výzva musí být dobře dostupná, srozumitelná a musí uživatele opravdu pustit dál. Jinak se z ochrany proti botům stane brána, na které může skončit i člověk, který jen nepoužívá obvyklý Android.
Problém přijde ve špatnou chvíli
Uživatelé alternativních ROM a telefonů Huawei bez Google služeb jsou na podobné kompromisy zvyklí. Nejde jen o to, odkud instalují aplikace. Bankovní appka může odmítnout necertifikovaný telefon, mapy si řeknou o Google komponentu a notifikace se někdy chovají po svém. Web ale dlouho fungoval jako jednoduchá náhrada: když aplikace zlobí, otevřete stránku.
Pokud se mobilní ověřování objeví u přihlášení, platby, formuláře podpory nebo obnovy účtu, uživatel alternativní ROM nebo telefonu Huawei bez Google služeb může narazit přesně ve chvíli, kdy nechce ladit telefon, ale jen projít přes přihlášení nebo zaplatit za službu.
Nepřehlédněte
Má ještě smysl hledat aplikace na Google Play? Existují alternativy, kde najdete víc a bez cenzury
Semafory a přechody už nestačí
Dřív reCAPTCHA často znamenala obrázkovou hádanku. Později Google přidal skórování chování na pozadí, kdy uživatel nic nevyplňuje a služba sama odhaduje riziko.
Mobilní QR výzva přidává kontrolu telefonu. Google tím reaguje na automatizované útoky, falešné účty, pokusy o převzetí přihlášení a nástroje, které zvládnou procházet web lépe než starší skripty. Když má podezřelá akce projít ještě přes mobil, útočníkům se celý pokus prodraží nebo zpomalí.
Jenže čím víc ověření spoléhá na telefon, tím víc záleží na tom, jaký Android používáte. Pokud se taková kontrola opře o Google Play Services, uživatelé Androidu bez Googlu budou v horší výchozí pozici.
Ne všechny alternativní ROM na tom budou stejně. GrapheneOS může mít výhodu díky sandboxovaným Google Play Services. Systémy spoléhající na microG nebo zcela čistý Android mohou narazit častěji. Jednoduše řečeno: čím dál jste od standardního Androidu s Google službami, tím častěji musíte čekat podobné kompromisy.
Bez paniky, ale se zálohou
Pro většinu uživatelů Androidu se nejspíš nic nezmění. Pokud máte běžný telefon s Google službami, nová výzva se vás buď vůbec nedotkne, nebo proběhne jako další nenápadné ověření. Ani uživatelé alternativních ROM nemusí hned měnit systém. Zatím není jasné, kolik služeb novou mobilní reCAPTCHA nasadí a jak spolehlivě budou fungovat náhradní výzvy.
Webové služby si už stále častěji nevšímají jen chování v prohlížeči. Zajímají se i o zařízení, ze kterého přicházíte. Lidem s Androidem bez Googlu tím přibývá další místo, kde se svobodnější volba může změnit v praktickou překážku.
Pokud používáte Huawei bez Google služeb, čistý LineageOS nebo jiný degooglovaný Android jako hlavní telefon, mějte po ruce plán B: druhý prohlížeč, jiné zařízení, případně u GrapheneOS sandboxované Play Services. Android bez Googlu nezmizí. Jen bude dobré počítat s tím, že se u některých služeb bez náhradní cesty neobejdete.
