Google 让去Google化 Android 用户的 reCAPTCHA 失效

Source: Hacker News

背景

Google 已将其下一代 reCAPTCHA 系统绑定到 Android 上的 Google Play 服务。这意味着任何使用 去谷歌化手机 的用户，在系统决定对其进行挑战时，都会自动验证失败。

此要求迫使 Android 用户必须运行 Google 专有的应用框架版本 25.41.30 或更高版本，仅仅是为了证明自己是人类。

当 reCAPTCHA 将某些活动标记为可疑时，它会放弃旧的图片拼图，转而要求你扫描二维码。该扫描需要后台运行的 Play 服务，并与 Google 服务器通信。如果你使用的是 GrapheneOS 或其他剥离了 Google 软件的自定义 ROM，验证将会失败。

Google 在 4 月 23 日的 Cloud Next 大会上宣布了更广泛的系统 Google Cloud Fraud Defense，并将其宣传为一个能够同时处理自主 AI 代理和传统机器人（bot）的信任平台。Google 并未强调的部分是：现在证明自己是人类需要服从其专有的监控体系。

证据与时间线

• 来自 2025 年 10 月的 Internet Archive 快照显示，同一 支持页面 已经列出了 Play 服务版本 25.39.30 的要求。
• Google 已经悄悄构建了这种依赖关系至少七个月，随后 Reddit 上的去谷歌化子版块用户才发现并标记出来。
• 来自 PiunikaWeb 和 Android Authority 的报道让此事获得了更广泛的关注。

与 iOS 的对比

iOS 的对比具有启示意义，因为运行 iOS 16.4 或更高版本的 Apple 设备可以在不安装任何额外应用的情况下完成相同的验证。Google 并未要求 iPhone 用户安装 Google 软件来通过测试。只有拒绝使用 Play 服务的 Android 用户才会被锁定。此不对称性表明，此变更更多是出于生态系统控制，而非安全考量。

对网页开发者的影响

reCAPTCHA 位于数百万网站的前端。当 Google 将验证绑定到 Play 服务时，就树立了一个先例：访问基本网页内容需要运行 Google 的软件并向其服务器传输数据。

采用此版本 reCAPTCHA 的开发者应当了解自己在选择什么。每一个实现它的网站实际上都在向去谷歌化的 Android 用户传递“你不受欢迎”的信息。虽然这一受众目前规模较小，但他们正是最关心数据实践、最不愿接受强制监控的用户。