Google, 구글이 제거된 Android 사용자들의 reCAPTCHA를 망가뜨렸다

Source: Hacker News

Overview

Google은 차세대 reCAPTCHA 시스템을 Android의 Google Play Services에 연결했으며, 이는 de‑Googled 폰을 사용하는 모든 사용자가 시스템이 챌린지를 제시할 경우 자동으로 인증에 실패한다는 의미입니다.

이 요구사항은 Android 사용자가 인간임을 증명하기 위해 버전 25.41.30 이상의 Google 고유 앱 프레임워크를 실행하도록 강제합니다.

reCAPTCHA가 의심스러운 활동이라고 판단하면 기존 이미지 퍼즐을 포기하고 QR 코드를 스캔하도록 요구합니다. 이 스캔은 백그라운드에서 실행 중인 Play Services가 Google 서버와 통신해야 합니다. GrapheneOS나 Google 소프트웨어가 제거된 다른 커스텀 ROM을 사용 중이라면 인증이 실패합니다.

Google은 4월 23일 Cloud Next에서 Google Cloud Fraud Defense라는 더 넓은 시스템을 발표했으며, 이를 자율 AI 에이전트와 기존 봇 모두를 처리하도록 설계된 신뢰 플랫폼으로 홍보했습니다. 그러나 Google이 강조하지 않은 부분은 인간임을 증명하기 위해 이제 자체 감시 체계에 복종해야 한다는 점입니다.

History of the Play Services Requirement

• 2025년 10월의 Internet Archive 스냅샷에서는 동일한 지원 페이지에 이미 버전 25.39.30의 Play Services 요구사항이 명시되어 있었습니다.
• Google은 최소 7개월 동안 이 의존성을 조용히 구축했으며, 이후 degoogle 서브레딧의 한 사용자가 이를 지적했습니다.
• PiunikaWeb와 Android Authority의 보도가 이 문제를 널리 알렸습니다.

iOS Comparison

iOS 16.4 이상을 실행하는 Apple 기기는 추가 앱을 설치하지 않고도 동일한 인증을 완료합니다. Google은 iPhone 사용자가 테스트를 통과하기 위해 Google 소프트웨어를 설치하도록 요구하지 않습니다. Play Services를 거부하는 Android 사용자만이 차단되며, 이는 순수한 보안 문제라기보다 생태계 제어를 보여주는 비대칭성을 강조합니다.

Implications for Users and the Web

• 생태계 제어: 인증을 Play Services에 묶음으로써 Google은 기본 웹 콘텐츠에 접근하려면 Google 소프트웨어를 실행하고 Google 서버에 데이터를 전송해야 한다는 선례를 만들고 있습니다.
• De‑Googled 사용자에 대한 영향: De‑Googled 폰을 선택하는 사람들은 데이터 관행을 검토하고 Play Services의 텔레메트리를 동의하지 않겠다고 결정합니다. 새로운 시스템은 기본적으로 Google 고유 소프트웨어가 없음을 의심스러운 행동으로 간주함으로써 그 결정을 처벌합니다.
• 개발자 책임: 이 reCAPTCHA를 도입하는 웹 개발자는 그 대가를 이해해야 합니다. 이를 구현하면 De‑Googled Android 사용자를 사실상 환영하지 않는다는 메시지를 전달하게 됩니다. 현재 이 사용자층은 작지만 데이터 프라이버시 관행에 매우 민감하며 원칙을 타협할 가능성이 낮습니다.

Recommendations for Developers

1. 청중 영향 평가: 사용자 기반에 프라이버시 중심 Android 사용자가 포함되어 있는지, 차단이 사이트 평판에 어떤 영향을 미칠지 고려하십시오.
2. 대안 제공: Play Services에 의존하지 않는 대체 인증 방법(예: 이메일 기반 인증, hCaptcha, 자체 호스팅 CAPTCHA 솔루션)을 제공하십시오.
3. 투명한 커뮤니케이션: 특정 인증 방법을 사용하는 이유와 Google에 전송되는 데이터가 무엇인지 명확히 알리세요.
4. 업데이트 모니터링: Google의 reCAPTCHA 요구사항 변경을 지속적으로 파악하여 의도치 않게 사용자를 배제하지 않도록 하세요.