Google está a bloquear utilizadores do Android “sem Google” em milhões de sites

O Google está novamente no centro de uma polémica relacionada com privacidade e controlo da web. A empresa começou a implementar um novo sistema de verificação anti-bot que poderá bloquear utilizadores de sistemas Android sem serviços Google, como o GrapheneOS, CalyxOS ou /e/OS.

A mudança está ligada ao novo sistema “Google Cloud Fraud Defense”, anunciado no evento Google Cloud Next, que o Google descreve como “a próxima evolução do reCAPTCHA”.

O tradicional CAPTCHA está a desaparecer

Até agora, o reCAPTCHA recorria aos conhecidos desafios de imagens, como selecionar semáforos, passadeiras ou autocarros. Com o novo sistema, alguns utilizadores passam a receber um código QR em vez dessas imagens.

O problema é que, segundo várias análises e relatos da comunidade, esse QR só pode ser validado através do Google Play Services em execução no smartphone Android. Sem esse componente proprietário do Google, a validação falha.

Na prática, quem utiliza versões Android “desgoogleizadas” pode ficar impedido de entrar em milhões de sites que usam reCAPTCHA.

Utilizadores focados em privacidade estão a ser afetados

A controvérsia tornou-se maior porque muitos dos sistemas afetados são precisamente usados por pessoas preocupadas com privacidade e segurança digital. O Electronic Frontier Foundation recomenda o GrapheneOS para jornalistas, ativistas e utilizadores sob risco de vigilância digital.

Agora, esses mesmos utilizadores estão a ser classificados como potencialmente suspeitos apenas por não utilizarem os serviços Google.

Comunidades como Hacker News, Reddit e fóruns especializados em privacidade têm criticado fortemente a mudança.

O fantasma do Web Environment Integrity regressou?

Vários especialistas estão a comparar esta nova abordagem ao controverso projeto “Web Environment Integrity” (WEI), apresentado pelo Google em 2023.

Na altura, a proposta foi acusada de transformar a web num ecossistema fechado, onde apenas dispositivos considerados “legítimos” poderiam aceder a determinados conteúdos online. A reação negativa da comunidade levou o Google a abandonar o projeto.

Contudo, críticos defendem que o “Cloud Fraud Defense” implementa exatamente a mesma ideia, mas através de um produto comercial em vez de um padrão web oficial.

Como funciona a validação

O novo sistema usa mecanismos semelhantes à Play Integrity API, que validam se o dispositivo:

• tem Google Play Services instalado
• possui software certificado pelo Google
• mantém o bootloader bloqueado
• não usa versões modificadas do Android

Se o dispositivo falhar esses critérios, o utilizador pode não conseguir concluir o CAPTCHA.

Há alternativas?

Especialistas em privacidade defendem que os sites devem considerar alternativas ao reCAPTCHA, como o hCaptcha ou o Cloudflare Turnstile, que não dependem do ecossistema Google.

Também há quem alerte para riscos maiores, caso este sistema se torne dominante, o acesso à web poderá passar a depender cada vez mais da aprovação de grandes plataformas tecnológicas.

Para já, o Google continua a apresentar o “Cloud Fraud Defense” como uma ferramenta para combater bots, fraudes e agentes de IA automatizados.