Google привязала новое поколение reCAPTCHA на Android к Google Play Services. Пользователи кастомных мобильных систем без сервисов Google теперь могут не пройти проверку на сайтах, где включён такой механизм.
Для обычного читателя это звучит как техническая деталь, но последствия вполне бытовые: сайт может решить, что с устройством что-то не так, и не пустить дальше. Для людей, которые осознанно отказались от сервисов Google ради приватности, проверка превращается в барьер.
Что изменилось в reCAPTCHA
reCAPTCHA давно помогает сайтам отличать человека от автоматической программы. Раньше пользователи чаще видели картинки с автобусами, светофорами или витринами. Новая схема при подозрительной активности может потребовать отсканировать QR-код.
На Android эта проверка, по данным источника, завязана на Google Play Services. Компонент должен работать в фоне и обмениваться данными с серверами Google. Если его нет, верификация не проходит.
Проблема касается не всех Android-смартфонов, а прежде всего устройств с кастомными системами без сервисов Google. В техническом сообществе такие сборки часто называют «дегуглифицированными»: их ставят ради меньшей зависимости от экосистемы Google и более строгого контроля над данными.
Почему это ударило по приватности
reCAPTCHA используют миллионы сайтов. Когда такая проверка начинает требовать закрытый системный компонент, вопрос выходит за пределы одной кнопки «я не робот». Доступ к веб-странице фактически зависит от того, установлен ли на телефоне пакет Google Play Services.
Для пользователей, которые отказались от него по соображениям приватности, это неприятный сигнал. Их выбор система трактует как риск, хотя отсутствие сервисов Google само по себе не доказывает злой умысел.
Отдельно важен обмен данными. Чтобы пройти проверку, устройство должно связаться с инфраструктурой Google. Какие именно параметры учитывает алгоритм, публично ясно не до конца, а закрытая природа Play Services мешает независимой проверке.
Похожая проблема возникает каждый раз, когда доступ к данным или сервису зависит от непрозрачного внешнего компонента. Мы уже разбирали, как сторонняя зависимость может привести к утечке чувствительной информации, на примере уязвимости Ollama с риском утечки ключей API и переписок.
Почему сравнение с iOS важно
На iPhone ситуация выглядит иначе. Устройства с iOS 16.4 и новее, по данным источника, проходят ту же проверку без установки программ Google.
Именно эта асимметрия вызвала критику. Если бы требование касалось только безопасности, логично было бы ожидать одинакового подхода ко всем мобильным платформам. Но владельцам iPhone Google не навязывает свой системный компонент, а пользователям Android без Play Services — фактически да.
Google представила более широкую систему Google Cloud Fraud Defense на конференции Cloud Next 23 апреля. О привязке проверки к Play Services компания тогда публично не акцентировала внимание. Архивная копия страницы за октябрь 2025 года уже содержала требование к версии 25.39.30, то есть изменение появилось не внезапно.
Широкое обсуждение началось после сообщения пользователя Reddit в сообществе r/degoogle. Затем на проблему обратили внимание профильные издания PiunikaWeb и Android Authority.
Почему запросы про ускорение сайта тут не помогут
Такие сбои часто маскируются под обычную проблему браузера или соединения. Пользователь видит бесконечную проверку, ошибку входа или страницу, которая не грузится, и начинает искать «как ускорить ютуб в google chrome» или «как заставить дискорд работать».
Но в случае с reCAPTCHA причина может лежать не в скорости и не в настройках Chrome. Если сайт подключил новую проверку, а на Android-смартфоне нет Play Services, пользователь упрётся в системное требование.
Это важно и для владельцев сайтов. Антибот-защита нужна интернет-магазинам, банкам, форумам и медиа, но слишком жёсткая проверка отсекает не только злоумышленников. Под раздачу попадают реальные посетители с нестандартными, но легальными настройками устройств.
Администраторам стоит заранее проверять, как защита ведёт себя на разных системах и браузерах. Тот же принцип действует при обновлении серверного ПО: патчи закрывают риски, но каждое изменение лучше тестировать до запуска. Недавно мы писали, кому нужно обновиться после исправления трёх уязвимостей в cPanel и WHM.
Что это значит для сайтов и бизнеса
Для бизнеса зависимость от одной проверки создаёт репутационный риск. Клиент может не разобраться, что его не пускает reCAPTCHA, и решить, что сломан сам сайт.
Особенно чувствительны платежи, регистрация, восстановление пароля и личные кабинеты. Если проверка блокирует часть пользователей, поддержка получает жалобы, а компания теряет заявки и продажи.
Есть и правовой аспект: сайт собирает и передаёт технические данные через сторонний сервис, значит владельцу нужно понимать, какие сведения уходят наружу и как это описано в политике обработки персональных данных. Формальная фраза в подвале сайта не заменяет реального аудита.
Пользователям тоже стоит отличать нормальную проверку от ловушки. QR-код внутри известного сайта и QR-код в случайном всплывающем окне — разные вещи. Мошенники часто копируют знакомые интерфейсы, чтобы выманить логин, код подтверждения или платёжные данные.
Что сделать сейчас
- Если сайт не пропускает проверку, обновите браузер и систему, затем проверьте дату, время и сетевое соединение на устройстве.
- Не устанавливайте сомнительные сборки Google Play Services и похожие пакеты из случайных источников. Так легко получить вредоносное приложение вместо решения проблемы.
- Если вы пользуетесь кастомной системой без сервисов Google, держите под рукой резервный способ входа: компьютер, другой доверенный браузер или обращение в поддержку сайта.
- В публичных сетях не вводите пароли без защиты соединения. Для такой задачи подойдёт сервис безопасного интернет-соединения, который помогает сохранить приватность данных в кафе, отелях и аэропортах.
- Владельцам сайтов стоит добавить альтернативный способ проверки: одноразовый код, письмо на почту, ручную модерацию спорных случаев.
- Проверьте тексты политики конфиденциальности и согласий: пользователь должен понимать, какие сторонние сервисы участвуют в защите сайта.
- Не сканируйте QR-коды из подозрительных окон, писем и сообщений. Сначала проверьте адрес сайта и убедитесь, что запрос связан с вашим действием.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.