Novo reCAPTCHA do Google trata privacidade como comportamento suspeito

Comparte tu amor

Google
Google | Foto de Shutter Speed na Unsplash

O Google anunciou durante o Cloud Next de abril de 2026 o “Cloud Fraud Defense”, descrito como a próxima evolução do reCAPTCHA. Clientes existentes foram migrados automaticamente. O que não foi amplamente comunicado é o que acontece quando o sistema considera o tráfego suspeito: em vez das tradicionais grades de imagens para clicar, o novo fluxo pode exibir um QR code para verificação — e escanear esse QR code exige dispositivos com Google Play Services no Android ou os mecanismos equivalentes da Apple no iOS.

O problema surge para usuários de sistemas operacionais Android focados em privacidade como GrapheneOS e CalyxOS, que deliberadamente removem os serviços do Google e podem ser incapazes de completar a verificação. Para esses usuários, a consequência prática é ser bloqueado de qualquer site que utilize o novo reCAPTCHA de forma exclusiva.

Por que isso importa além do incômodo técnico

O GrapheneOS — sistema operacional Android recomendado pela Electronic Frontier Foundation e pela Soberano no guía do indivíduo soberano — publicou uma análise do mecanismo. Segundo o projeto, o novo fluxo do reCAPTCHA está ligado à Play Integrity API do Google e ao App Attest da Apple: frameworks que permitem que sites e aplicativos verifiquem se o usuário está rodando hardware e software aprovados antes de conceder acesso.

O argumento do Google é prevenção de fraude e abuso por bots. O argumento dos críticos é que o mesmo mecanismo concede ao Google e à Apple controle crescente sobre quais dispositivos podem acessar grandes porções da internet — independentemente da intenção do usuário.

O projeto também traçou uma linha entre o novo reCAPTCHA e a proposta Web Environment Integrity (WEI) que o Google abandonou em 2023 após forte rejeição de desenvolvedores, fornecedores de navegadores e grupos de padrões.

A WEI propunha APIs de atestação no nível do navegador para verificar se o ambiente do dispositivo atendia a requisitos específicos. A conclusão do GrapheneOS é que o Cloud Fraud Defense chega ao mesmo resultado por um caminho diferente — via verificação de dispositivo por QR code.

A MEGA, serviço de armazenamento em nuvem focado em privacidade, alertou publicamente que usuários sem “dispositivo certificado” já não conseguem completar o fluxo de verificação por QR, e que o Google pode eventualmente remover os métodos alternativos de fallback ainda acessíveis via ícones secundários na tela de verificação.

O IntCyberDigest resumiu o paradoxo no X: o Google está tratando a escolha por privacidade como comportamento suspeito por padrão. Usuários de dispositivos degoogled — que tomaram uma decisão consciente e legítima de remover os serviços do Google — são agora penalizados com restrição de acesso à web como consequência dessa escolha.

A conexão com o debate mais amplo sobre privacidade

Não é coincidência que essa notícia surja poucos dias depois que o Parlamento Europeu debate regular VPNs sob o argumento de proteção infantil, e em que o Instagram removeu a criptografia de ponta a ponta das mensagens diretas.

O padrão é consistente: ferramentas e comportamentos que reduzem a visibilidade de grandes plataformas sobre os usuários são progressivamente tratados como problemas a resolver — seja via regulação externa, seja via mudanças de produto que tornam a privacidade tecnicamente mais difícil de manter.

No caso do reCAPTCHA, o mecanismo é particularmente elegante do ponto de vista corporativo: o Google não precisa proibir GrapheneOS nem processar seus usuários. Basta que o sistema de verificação de fraude, adotado por milhões de sites como infraestrutura padrão, produza como efeito colateral o bloqueio de quem escolheu não usar os serviços do Google. A exclusão acontece não por política declarada, mas por arquitetura técnica.

Para o leitor que usa GrapheneOS ou está considerando migrar: o problema existe, mas há mitigações. O GrapheneOS suporta instalação sandboxed do Google Play Services — uma versão isolada que permite usar apps que dependem dele sem conceder ao Google acesso ao sistema operacional subjacente. Para sites que usam o novo reCAPTCHA, essa pode ser a alternativa mais prática enquanto o ecossistema não desenvolve soluções de contorno mais elegantes.

Fonte: CyberInsider

Comparte:

Boletín de noticias

Introduzca su dirección de correo electrónico para recibir noticias

Entradas relacionadas

Tendencia ahora

Monedero Bitcoin
¿Cuál es el mejor monedero Bitcoin para principiantes?
Bitcoin Brasil
La regulación del Banco Central preocupa al mercado de criptomonedas en Brasil
Ouro
Bancos Centrais estão comprando mais ouro de baixo dos panos, sugere Goldman Sachs
Dólar
La pérdida de la soberanía financiera: cómo los gobiernos se hicieron con el control de la moneda

Manténgase informado y no se agobie, ¡suscríbase ahora!