Google Play Services가 요구사항에 들어가 있다면, Play Integrity 증명이 가능한 인증된 Android 기기가 필요하다는 뜻으로 봐야 함
Google Play Services를 얻는 공식 지원 경로가 그것뿐이기 때문임
이런 소비자용 지원 문서에서는 어떤 API를 쓰는지 같은 세부 구현까지 쓰지 않는 편이고, MEETS_DEVICE_INTEGRITY가 필요하더라도 여기 명시되지 않을 가능성이 큼
예를 들어 Google Pay 소비자 문서도 “인증된” Android 기기와 화면 잠금이 필요하다고만 씀: https://support.google.com/wallet/answer/12200245
FAQ 끝까지 파고들면 루팅한 휴대폰에서는 탭 결제를 못 쓴다고 나오긴 하지만, 그 요구사항은 인증 요구사항에 이미 포함된 셈임 [1]
Google의 관점에서도, Google이 등록한 상표 때문에 법적으로도 Android == Google Android임
이 기능이 기기 증명을 쓰지 않는다면 쉽게 속일 수 있어서 별 의미가 없고, 처음에는 안 쓰다가 앞으로 몇 년 안에 A/B 테스트로 기기 증명을 넣기 시작할 것 같음
[1] “What to do if you see device is not certified” -> “Reset device to fix issue” 펼치기 https://support.google.com/android/answer/7165974
내 GrapheneOS 여정이 더 흥미진진해지겠음
웹 탐색을 위해 사용자를 공식 Google 신원 확인 절차로 밀어 넣는다는 게 정말 거칠다
iPhone용 reCAPTCHA 앱도 Google 계정 로그인을 강제하나?
웹이 익명성을 잃는 데 신분증 검증까지는 필요 없었던 셈임
이 방식도 두 기기 모두에서 Bluetooth를 켜야 할 것 같음
적어도 컴퓨터에 표시된 QR 코드를 스캔해 휴대폰의 passkey로 인증하는 기능은 그렇고, 이 기능도 비슷해 보임
Bluetooth는 두 기기가 실제로 물리적으로 같은 장소에 있는지 확인하는 데 쓰임
웹사이트 트래픽을 받고 싶다면 이제 reCAPTCHA 사용을 중단해야 할 수도 있음
물론 다들 순순히 굴복하겠지만, 몇 분만이라도 꿈꾸게 해 달라
몇 년 전부터 스마트폰으로 웹을 탐색하는 건 말이 안 된다고 해왔음
결국 상황이 충분히 나빠지면 사람들이 내 말에 동의하게 될 것임
QR 코드 기반 챌린지를 사기 방어의 “에이전트식” 방법으로 홍보한다는 게 믿기지 않음
사람이 읽을 수 없는 데이터를 입력하게 만드는 건 위험하고, QR 코드가 제로데이 URL로 오염되기라도 하면 끝장임
요즘 QR 코드가 어디에나 있다는 건 알지만, URL에 접근하려고 QR 코드를 눈감고 스캔하는 건 인터넷에서 내려받은 바이너리를 실행하는 것과 비슷함 curl $URL | bash 설치 방식도 본질적으로 딱 그렇지만, 어쩐지 널리 퍼져버렸음
구매하려면 QR 코드를 스캔하라고 요구하는 회사에서는 구매하지 않을 것임
중국에서는 오래 못 버틸 듯함
거긴 사실상 어디서나 QR 코드를 스캔해서 결제함
많은 매장 식당이 QR 코드 주문을 강제함
코로나 때 시작됐지만 계속 남아 있고, 내 경험상 특히 미국 밖에서 더 자주 봄
곧 올 것임
Poshmark 멍청이들은 35달러짜리 셔츠를 사는데 정부 발급 신분증을 요구했음
오래된 계정이고, 주소도 신용카드와 일치했는데도 그랬음
답은 계정 삭제뿐임
QR 코드 기능은 사람들이 익숙해지고 나면 속여서 Pegasus 배포 수단으로 만들 수 있어 보임
QR 코드 스캔 → “captcha 앱”이 설치되어 있지 않다며 Play Store로 자동 리디렉션 → Google Play의 형편없는 심사 때문에 악성코드 다운로드 → 이득
이 생각을 내가 처음 한 건 아닐 텐데?
전반적으로 한숨이 나오고, 모든 걸 조금씩 더 나쁘게 만든 우리의 “선구적인 리더들”에게 감사하게 됨
그래도 그 대가로 AI 낙원이 오고 있는 거 맞지?
맞지?
진지하게 묻고 싶은데, 스마트폰이 없으면 어떻게 됨?
그건 네가 농노라서 중요하지 않다는 뜻임
걱정할 필요는 없음
통신사들과 협력해서 네 예산에 맞는 기기를 보조금으로 제공하고, 가능한 모든 기회에 살 수 있게 만들 것임
사회 전반의 태도는 대충 “알아서 꺼져라”에 가까워 보임
그리고 새 기기도 사야 할 것임
많은 것들이 앱 전용이거나 그 방향으로 이동 중이고, 특정 국가로 여행하는 것까지 포함됨
모바일 기기가 이제 “인간임”을 증명하는 데 필수가 됐다는 건, Google이 더 이상 데스크톱/개방형 플랫폼을 신뢰하지 않는다는 뜻임
그게 어디에 명시돼 있음?
원문에서는 못 찾겠음
누가 그걸 신뢰하긴 하나?
내가 보기엔 신뢰받는 데스크톱 플랫폼은 macOS 정도뿐임
타이밍이 참 웃김
지난 일주일 동안 주소창에서 검색할 때마다 CAPTCHA에 시달리다가, 두 시간도 안 전에 전부 DuckDuckGo로 바꿨음
잘했다, Google!
휴대폰 사용을 점점 줄이려고 하는 중임
이상적으로는 피처폰으로 바꾸고 싶기까지 함
하지만 모든 웹사이트가 인증된 스마트폰으로 QR 코드 스캔을 요구하기 시작하면 이런 전략 때문에 거의 불가능해질 것임
그래서 더 많은 사람들이 자신들이 사는 휴대폰 중심 생활에도 대안이 있다는 걸 빨리 깨달아야 함
휴대폰 보유는 의무가 아니고, 의무가 되어서도 안 됨
정치인들도 좀 깨어나야 함
Hacker News 의견들
모바일 기기 요구사항은 여기 나와 있음: https://support.google.com/recaptcha/answer/16609652
앞으로 웹을 탐색하려면 Google Play Services가 설치된 최신 Android 기기나 최신 iPhone/iPad가 필요해질 것처럼 보임
아직 기기 무결성 검증은 언급되지 않았지만, 방향은 이미 뻔해 보임
Google Play Services를 얻는 공식 지원 경로가 그것뿐이기 때문임
이런 소비자용 지원 문서에서는 어떤 API를 쓰는지 같은 세부 구현까지 쓰지 않는 편이고, MEETS_DEVICE_INTEGRITY가 필요하더라도 여기 명시되지 않을 가능성이 큼
예를 들어 Google Pay 소비자 문서도 “인증된” Android 기기와 화면 잠금이 필요하다고만 씀: https://support.google.com/wallet/answer/12200245
FAQ 끝까지 파고들면 루팅한 휴대폰에서는 탭 결제를 못 쓴다고 나오긴 하지만, 그 요구사항은 인증 요구사항에 이미 포함된 셈임 [1]
Google의 관점에서도, Google이 등록한 상표 때문에 법적으로도 Android == Google Android임
이 기능이 기기 증명을 쓰지 않는다면 쉽게 속일 수 있어서 별 의미가 없고, 처음에는 안 쓰다가 앞으로 몇 년 안에 A/B 테스트로 기기 증명을 넣기 시작할 것 같음
[1] “What to do if you see device is not certified” -> “Reset device to fix issue” 펼치기 https://support.google.com/android/answer/7165974
웹 탐색을 위해 사용자를 공식 Google 신원 확인 절차로 밀어 넣는다는 게 정말 거칠다
iPhone용 reCAPTCHA 앱도 Google 계정 로그인을 강제하나?
웹이 익명성을 잃는 데 신분증 검증까지는 필요 없었던 셈임
적어도 컴퓨터에 표시된 QR 코드를 스캔해 휴대폰의 passkey로 인증하는 기능은 그렇고, 이 기능도 비슷해 보임
Bluetooth는 두 기기가 실제로 물리적으로 같은 장소에 있는지 확인하는 데 쓰임
물론 다들 순순히 굴복하겠지만, 몇 분만이라도 꿈꾸게 해 달라
결국 상황이 충분히 나빠지면 사람들이 내 말에 동의하게 될 것임
QR 코드 기반 챌린지를 사기 방어의 “에이전트식” 방법으로 홍보한다는 게 믿기지 않음
사람이 읽을 수 없는 데이터를 입력하게 만드는 건 위험하고, QR 코드가 제로데이 URL로 오염되기라도 하면 끝장임
요즘 QR 코드가 어디에나 있다는 건 알지만, URL에 접근하려고 QR 코드를 눈감고 스캔하는 건 인터넷에서 내려받은 바이너리를 실행하는 것과 비슷함
curl $URL | bash설치 방식도 본질적으로 딱 그렇지만, 어쩐지 널리 퍼져버렸음구매하려면 QR 코드를 스캔하라고 요구하는 회사에서는 구매하지 않을 것임
거긴 사실상 어디서나 QR 코드를 스캔해서 결제함
코로나 때 시작됐지만 계속 남아 있고, 내 경험상 특히 미국 밖에서 더 자주 봄
Poshmark 멍청이들은 35달러짜리 셔츠를 사는데 정부 발급 신분증을 요구했음
오래된 계정이고, 주소도 신용카드와 일치했는데도 그랬음
답은 계정 삭제뿐임
QR 코드 기능은 사람들이 익숙해지고 나면 속여서 Pegasus 배포 수단으로 만들 수 있어 보임
이 생각을 내가 처음 한 건 아닐 텐데?
그래도 그 대가로 AI 낙원이 오고 있는 거 맞지?
맞지?
진지하게 묻고 싶은데, 스마트폰이 없으면 어떻게 됨?
걱정할 필요는 없음
통신사들과 협력해서 네 예산에 맞는 기기를 보조금으로 제공하고, 가능한 모든 기회에 살 수 있게 만들 것임
그리고 새 기기도 사야 할 것임
많은 것들이 앱 전용이거나 그 방향으로 이동 중이고, 특정 국가로 여행하는 것까지 포함됨
모바일 기기가 이제 “인간임”을 증명하는 데 필수가 됐다는 건, Google이 더 이상 데스크톱/개방형 플랫폼을 신뢰하지 않는다는 뜻임
원문에서는 못 찾겠음
내가 보기엔 신뢰받는 데스크톱 플랫폼은 macOS 정도뿐임
타이밍이 참 웃김
지난 일주일 동안 주소창에서 검색할 때마다 CAPTCHA에 시달리다가, 두 시간도 안 전에 전부 DuckDuckGo로 바꿨음
잘했다, Google!
휴대폰 사용을 점점 줄이려고 하는 중임
이상적으로는 피처폰으로 바꾸고 싶기까지 함
하지만 모든 웹사이트가 인증된 스마트폰으로 QR 코드 스캔을 요구하기 시작하면 이런 전략 때문에 거의 불가능해질 것임
휴대폰 보유는 의무가 아니고, 의무가 되어서도 안 됨
정치인들도 좀 깨어나야 함
Google은 분명히 Google이 승인한 모델만 웹을 돌아다니게 만들고 싶어 함