Die bei vielen Webseiten erforderlichen reCAPTCHA-Rätsel zur SPAM-Abwehr will Google durch ein neues System mit QR-Codes ablösten. Dieses System setzt aber ein Android mit Google Play Services oder iOS von Apple voraus. Dieser Ansatz könnte für Benutzer, die kein Mobilgerät mit Google Android oder iOS von Apple verwenden, zum Problem werden. Die Entwickler alternativer Android-Systeme wie GrapheneOS schlagen Alarm und warnen, dass Google zum "Türsteher" werden könnte.
reCAPTCHA und Google Cloud Fraud Defense
Bisher war es so, dass viele Webseiten zur Registrierung von neue Benutzern oder Zugängen ein reCAPTCHA-Bilderrätsel lösen mussten. Meine Erfahrung ist, dass das mehr schlecht als recht funktionierte.
Am 22. April 2026 hat Google sein Google Cloud Fraud Defense als reCAPTCHA-Weiterentwicklung vorgestellt. Der Konzern argumentiert, dass das "agentenbasierte Web" – in dem autonome KI-Agenten mithilfe des offenen Webs und branchenüblicher Protokolle komplexe Transaktionen durchdenken, planen und ausführen – zwar Online-Interaktionen erheblich verbessern könnten. Die KI-Agenten bringen jedoch auch neue Missbrauchs- und Betrugsrisiken mit sich, was Sicherheitsplattformen vor einzigartige Herausforderungen stellt.
Google Cloud Next "Google Cloud Fraud Defense" sei eine Vertrauensplattform für das agentische Web. Es sei als nächste Entwicklungsstufe von reCAPTCHA darauf ausgelegt ist, die Legitimität von Bots, Menschen und KI-Agenten zu überprüfen, und Unternehmen die erforderlichen Informationen zur Sicherung ihrer digitalen Interaktionen und ihres Handels bereitstellen.
Google Play Services oder iOS erforderlich
Obige Ankündigung durch Google ist an mir vorbei gegangen und beim Querlesen des Artikels Google Cloud Fraud Defense ist mir auch nichts aufgefallen. Aber von Google gibt es den Support-Beitrag Troubleshoot reCAPTCHA Mobile Verification, der die Alarmglocken bei einigen Leuten schrillen lässt.
Im Supportdokument heißt es, dass die Nutzer ein Mobilgerät mit iOS 15.0-16.4 oder ein Android-Gerät mit einer Google Play Services Version neuer als 25.41.30 benötigen. Wer ein Mobilgerät besitzt, welches diese Anforderungen nicht erfüllt, kann den QR-Code zum Nachweis, dass man ein Mensch sei, nicht erbringen.
Die Entwickler von GrapheneOS haben auf Mastodon auf die Implikationen hingewiesen und schreiben:
Apple und Google weiten den Einsatz hardwarebasierter Authentifizierung schrittweise aus. Sie überzeugen immer mehr Dienste davon, diese Technologie zu übernehmen. Googles „Play Integrity API" und Apples „App Attest API" sind sich sehr ähnlich. Apple hat diese Technologie über „Privacy Pass" ins Web gebracht, was auch Google vorhat.
Die Play Integrity API von Google verlangt für die hohe Integritätsstufe eine Hardware-Attestierung und führt diese Anforderung schrittweise auch für die häufiger genutzte Geräteintegritätsstufe ein. Bei Apple sei dies bereits eine Voraussetzung, schreiben die GrapheneOS-Entwickler. Langfristig werde dies den Wettbewerb bei Hardware und Betriebssystemen zunehmend einschränken, ist die geäußerte Befürchtung.
Bank- und Behördendienste verlangen zunehmend die Nutzung einer mobilen App, über die sie mittels einer Bescheinigung die Verwendung eines von Apple oder Google zugelassenen Geräts und Betriebssystems erzwingen können. Apples „Privacy Pass", Googles „eingestellte" „Web Environment Integrity" und nun die „reCAPTCHA Mobile Verification" bringen dies ins Web, schreiben die Entwickler von GrapheneOS auf BlueSky.
Die aktuelle Berichterstattung über die reCAPTCHA-Mobilverifizierung verkenne das System und seine Auswirkungen heißt es in Folgeposts. Google (und Apple) führe eine Anforderung zur Hardware-Authentifizierung für Windows, Desktop-Linux, OpenBSD usw. ein, indem sie in einigen Fällen einen QR-Scan von einem zertifizierten Smartphone verlangen, um reCAPTCHA zu bestehen. Google könnte dies noch weiter ausweiten.
Die Kontrolle über reCAPTCHA versetzt Google in die Lage, für die Nutzung eines Großteils des Internets entweder ein iOS- oder ein zertifiziertes Android-Gerät vorzuschreiben, heißt es. Google legt Zertifizierungsanforderungen für Android fest, zu denen unter anderem die obligatorische Vorinstallation von Google Chrome gehört. Das ist enorm wettbewerbsfeindlich.
Die GrapheneOS-Leute weisen darauf hin, dass Googles Play Integrity API die Nutzung von GrapheneOS verbietet, obwohl dieses Betriebssystem weitaus sicherer ist als alles, was Google zulässt. Googles Play Integrity API lasse Geräte zu, die seit 10 Jahren keine Sicherheitspatches mehr erhalten haben. Die Geräteintegritätsstufe kann durch Spoofing umgangen werden, was Google aber recht gut erkennen und blockieren könne, sobald dies in großem Umfang geschieht, heißt es.
Der neu Ansatz verbietet laut den GrapheneOS-Entwicklern auch die Nutzung jeder anderen Alternative. Dies sei nicht spezifisch für ein AOSP-basiertes Betriebssystem. Man könne dies nicht umgehen, indem man stattdessen ein auf FreeBSD basierendes mobiles Betriebssystem verwendet. Man werde nur noch stärker ausgesperrt. heise weist hier darauf hin, dass Google immer mehr Funktionen aus dem quelloffenen Android in seine proprietären Google Play Services und weitere Dienste verlagert habe, was nun zum Problem werde.
Es ist ein weiterer Schritt in eine Internet-Welt, in dem Altersverifikation und Zugangskontrollen durch Staaten (EU-Kommission, nationale Staaten) sowie große Techunternehmen wie Google zum "Standard" gehören werden. Ob es so kommt und wie aggressiv Google diese Missbrauchserkennung vorantreiben will, muss man abwarten. Aber für mein Gefühl wird da eine weitere Schlinge ausgelegt, dies ich bei entsprechender Verbreitung ganz schnell zuzieht und "nur noch Android-Geräte mit Google-Segen oder Apple iOS-Geräte" nutzbar sind.
MVP: 2013 – 2016
tja, kein google play-service auf dem android-smartphone. was tun? nichts. gar nichts. internet am smartphone ist eh ein graus. diese minibildschirme sind nicht mein ding. und erreiche ich dann "einiges" nicht mit dem smartphone, dann ist es so. dann hab ich das nicht sehen wollen.
Schöne neue Welt. Ich begegne bei Kunden auch immer öfter Drittanbiter-Lösungen, die erst ganz stolz mit einer "Web-basierten" Lösung werben, dann aber auf Chrome als Browser bestehen. Im Grunde ist die Mono-Kulturisierung heute schon schlimmer als anno 2000 mit all den "Optimized for Internet Explorer"-Seiten.
Ich hoffe sehr, dass die Politik sich dieser Themen annimmt. In der Privatwirtschaft wird an zu vielen Stellen nur mit den Schultern gezuckt und darauf verwiesen, dass das "ja eh alle so machen". M365 fürs Office, Outlook+Exchange für Mails, und zum Browsen halt Chrome. Alles ohne Not, denn es gibt überall Alternativen.
Es ist schon übel genug, dass sich Krankenkassen für ihre Apps, aus reiner Bequemlichkeit, auf die Integritätsprüfung von Apple und Google verlassen.
Meine Hausbank macht das (noch) nicht.
Falls die EU-Kommission diesem Treiben nicht zumindest für den EU-Binnenmarkt ein Ende setzt, bevor es beginnt, ist die Souveränität, die alle so gerne doch hätten, noch schneller in diesem Bereich passé als das man WERO als Ersatz für Paypal auch im Geschäftsbereich flächendeckend nutzen kann.