reCAPTCHA Mobile Verification: Google mở rộng Play Integrity API lên máy tính và lo ngại về độc quyền

Google đang thực hiện các bước nhằm mở rộng hệ sinh thái xác thực phần cứng của mình sang các nền tảng máy tính để bàn thông qua tính năng mới có tên là reCAPTCHA Mobile Verification. Động thái này kết nối chặt chẽ với Play Integrity API, tạo ra những thay đổi lớn trong cách người dùng truy cập web nhưng cũng dấy lên nhiều lo ngại về tính cạnh tranh và quyền riêng tư.

Xác thực phần cứng trên nền tảng web

Theo thông tin từ cộng đồng GrapheneOS, Google và Apple đang dần mở rộng việc sử dụng xác thực dựa trên phần cứng (hardware-based attestation). Trong khi Apple đã đưa App Attest API lên web thông qua Privacy Pass, thì Google cũng có kế hoạch tương tự với Play Integrity API.

Mục tiêu của reCAPTCHA Mobile Verification là yêu cầu xác thực mạnh mẽ hơn. Đối với các thiết bị máy tính chạy Windows, Linux hay OpenBSD, người dùng có thể sẽ bị yêu cầu quét mã QR bằng một chiếc điện thoại thông minh đã được chứng nhận (iOS hoặc Android có Google Mobile Services) để vượt qua bài kiểm tra reCAPTCHA. Điều này thực chất là mang yêu cầu về "tính toàn vẹn của thiết bị" (device integrity) từ môi trường di động sang máy tính.

Lo ngại về việc khóa chặt phần cứng và hệ điều hành

Điểm gây tranh cãi lớn nhất nằm ở mục đích thực sự của hệ thống này. Theo GrapheneOS, đây không hoàn toàn là một tính năng bảo mật, mà là công cụ để ngăn chặn người dùng sử dụng phần cứng hoặc phần mềm không được Apple hay Google phê duyệt.

Google Play Integrity API hiện tại chặn các hệ điều hành tùy chỉnh như GrapheneOS, dù hệ điều hành này được đánh giá là an toàn hơn nhiều so với các bản Android gốc chưa được vá lỗi trong nhiều năm. Việc yêu cầu một thiết bị di động "được chứng nhận" để sử dụng các dịch vụ web cơ bản sẽ tạo ra rào cản lớn đối với sự đa dạng của hệ sinh thái phần mềm.

Tác động đến người dùng và thị trường

Các dịch vụ ngân hàng và chính phủ là những đơn vị tiên phong áp dụng các tiêu chuẩn xác thực này. Tuy nhiên, rủi ro là Google và Apple đang khuyến khích mọi dịch vụ web áp dụng chúng. Nếu điều này trở nên phổ biến, người dùng không sở hữu iPhone hay thiết bị Android được cấp phép có thể bị khóa khỏi một phần lớn internet.

Hơn nữa, việc Google kiểm soát reCAPTCHA – một dịch vụ chống bot cực kỳ phổ biến – đặt công ty này vào vị thế có thể yêu cầu mọi người phải sở hữu thiết bị iOS hoặc Android được chứng nhận để truy cập web. Điều này được coi là hành vi chống cạnh tranh, củng cố sự song độc quyền (duopoly) của hai gã khổng lồ công nghệ Mỹ.

Bối cảnh pháp lý và tương lai

Thay vì ngăn chặn hành vi độc quyền, các chính phủ và tổ chức như Liên minh Châu Âu (EU) lại đang thúc đẩy việc sử dụng các hệ thống xác thực này cho thanh toán kỹ thuật số, định danh điện tử và xác minh độ tuổi. Các sáng kiến như "Unified Attestation" tại Châu Âu cũng bị chỉ trích là có thể khóa người dùng ra khỏi các lựa chọn phần cứng/phần mềm tự do.

Đối với các chủ sở hữu website đang tìm kiếm giải pháp thay thế cho reCAPTCHA vì lo ngại về quyền riêng tư và độc quyền, hiện đã có một số lựa chọn mã nguồn mở như Anubis, Cap hoặc Proton Captcha của Proton. Tuy nhiên, thách thức trong việc thay thế một hệ thống thống trị thị trường như reCAPTCHA vẫn còn rất lớn.

Việc chuyển dịch sang mô hình xác thực phần cứng toàn diện này dự báo sẽ tạo ra nhiều cuộc tranh luận về ranh giới giữa an ninh mạng và quyền tự do lựa chọn công nghệ của người dùng trong tương lai gần.