Google tàn sát hội anh em dùng Android "lậu": reCAPTCHA hay cú lừa WEI tái sinh?

Đang yên đang lành lên mạng định cào tí data hoặc check mail, tự nhiên bị chặn lại vì cái reCAPTCHA bắt click chọn đèn giao thông mãi đ*o xong? Xin chúc mừng, nếu các ông đang dùng Android hệ "cai nghiện Google" (De-googled), các ông chính thức bị liệt vào danh sách đen rồi.

Toàn cảnh vụ úp sọt anh em chơi Custom ROM

Gần đây, cõi mạng rần rần vụ Google âm thầm "bóp" reCAPTCHA đối với những thiết bị Android không cài Google Play Services.

Anh em xài GrapheneOS, LineageOS thuần hay mấy hệ điều hành open-source... bỗng dưng biến thành bot trong mắt anh Gồ. Đánh capcha mòn cả tay, chọn đúng vạch qua đường đến lòi con mắt vẫn bị hệ thống lạnh lùng từ chối.

Nguồn cơn thực sự? Cú twist nằm ở chỗ Google vừa ra mắt cái gọi là "Google Cloud fraud defense" - được mấy anh PR miêu tả như dạng tiến hóa xịn xò con bò của reCAPTCHA. Nhưng khoan, các pháp sư soi code trên Hacker News đã nhận ra mùi quen thuộc: Nó chính là Web Environment Integrity (WEI) đội mồ sống dậy!

Nhắc lại cho vãn bối nào đã quên, WEI từng bị dân tình chửi như tát nước vào mặt vì trò DRM web, ép người dùng phải xài môi trường "chuẩn" của Google thì mới được lướt web bình thường. Hồi đó Google bảo "tao hủy dự án rồi", nhưng giờ thì vác nó nhét vào Cloud Fraud Defense, đúng là rất ma giáo!

Giang cư mận Hacker News đang tế sống anh Gồ thế nào?

Với một bài post cắn hơn 900 điểm, chiến trường Hacker News đang chia phe combat nảy lửa.

• Phe "tự do là trên hết": Chỉ trích Google đang độc quyền trắng trợn. Lấy cái mác "bảo mật", "chống fraud" để ép người dùng phải cài app của hãng. Mày không có Google Play Services? Mày là bot, cút!
• Phe thực dụng: "Anh em ơi, botnet giờ nó chạy tràn lan, capcha thường nó bypass bằng AI trong một nốt nhạc. Thằng Gồ nó làm thế cũng là đường cùng để bảo vệ server thôi. Muốn lướt web ẩn danh thì sắm cái proxy xịn xịn mà đổi IP, hoặc thuê con VPS mà cắm tool, chứ xài ROM chế rồi đòi lướt mạng mượt như máy stock thì hơi khó."
• Phe thuyết âm mưu (nhưng lại rất hợp lý): Khẳng định WEI chưa bao giờ chết, nó chỉ đổi tên. Việc chặn de-googled phone hôm nay chỉ là bước test nhân phẩm. Tương lai có khi dùng trình duyệt mà không phải nhân Chromium là cũng nghỉ lướt web luôn.

Góc nhìn từ Coding4Food: Bài học sinh tồn sau vụ này

Đứng ở góc độ một thằng thợ code từng sấp mặt vì bị bot ddos, tôi thấy vụ này không sớm thì muộn cũng xảy ra. Bài toán Security vs Privacy bao giờ cũng là cái vòng luẩn quẩn.

Anh Gồ thì có lý của anh Gồ (tôi thề là chống bot dạo này chua vãi nồi), nhưng cách chơi "lùa gà" ép người ta vào hệ sinh thái của mình dưới danh nghĩa Fraud Defense thì trượng phu đ*o gì.

Bài học sinh tồn cho anh em dev: Đừng bao giờ quá phụ thuộc vào một gã khổng lồ nào. Hôm nay họ cho bạn dùng miễn phí API của họ, ngày mai họ khóa mõm bạn lúc nào không hay. Dev thì cứ chuẩn bị sẵn tinh thần, tự build hệ thống riêng, nắm vững các stack open-source thay thế, và luôn tỉnh táo trước các chiêu trò "bình cũ rượu mới" của mấy lão quái Big Tech nhé.

---

Nguồn hóng hớt: Hacker News