PrivateStaterreCAPTCHA verlangt plötzlich eine Telefon-Verifizierung
Anfang Mai 2026 führte reCAPTCHA einen merkwürdigen Ablauf ein: Manche Nutzer müssen einen QR-Code mit dem Handy scannen. Dadurch verlangt die Android-Verifizierung nun auch eine aktuelle Version von Google Play Services.
Für Betreiber wirkt das wie ein Conversion-Problem. Es ist schlimmer.
Auf einem Galaxy oder einem normalen Android-Gerät ärgert sich der Nutzer vielleicht, kann aber bestehen. Auf GrapheneOS, LineageOS, /e/OS und anderen de-Googled Geräten ohne Google-Dienste scheitert er oft ganz und gilt als Bot.
Was sich geändert hat
Früher lief reCAPTCHA so: Bei vertrauenswürdigem Nutzer still durch, bei Verdacht nervige Aufgaben wie Ampel-Bilder.
Anfang Mai ergänzte Google einen verwirrenden Flow: Verdächtige Nutzer sehen am PC einen QR-Code und müssen die Prüfung auf dem Handy abschließen.
Google hat das nicht laut bekannt gemacht. Entwickler merkten es, als Custom-ROM-Nutzer plötzlich abgewiesen wurden. Um den 7.-8. Mai berichteten Android Authority, PiunikaWeb, OSNews und Reclaim The Net darüber. Ein Thread auf r/degoogle bekam fast 1.000 Upvotes.
Wer blockiert wird
Der neue Flow erwartet entweder ein iPhone mit iOS 16 oder neuer und der reCAPTCHA-App oder ein Google-zertifiziertes Android-Handy mit aktuellen Google Play Services. Fehlen Play Services, sind sie deaktiviert, zu alt oder unter 25.41.30, kann Google den Nutzer als Bot behandeln.
GrapheneOS-Nutzer sind die offensichtliche Gruppe. Viele installieren es, um Google-Dienste zu meiden. Diese Wahl kann sie jetzt an reCAPTCHA hindern.
Nutzer von LineageOS, CalyxOS, /e/OS und anderen Custom ROMs haben dasselbe Problem.
Man könnte meinen, Custom-ROM-Nutzer seien zu wenige. Geräte ohne Google Play Services sind aber nicht nur Hobby-ROMs.
- Huawei-Geräte ab 2019
- Geräte, auf denen Play Services mit Tools wie Universal Android Debloater entfernt wurden
- Hardware ohne volle Google-Zertifizierung
- Datenschutz-Nutzer, die Play Services absichtlich deaktiviert haben
Für einen normalen Shop ist das ein kleiner Anteil. Für VPNs, Krypto-Tools, sichere Messenger, Privacy-Blogs und Entwickler-Tools fällt es stärker auf.
Das Lock-in-Problem
Google nennt das eine nötige Betrugsprävention. Das stoppt sicher manche Angreifer. Es stoppt auch normale Nutzer.
reCAPTCHA wird zu einem Ökosystem-Gate. Eine Website mit reCAPTCHA erwartet Besucher mit Google-zertifizierter Android-Infrastruktur.
Das ist eine schwere Kompatibilitätsanforderung für ein Webformular.
reCAPTCHA vs. PrivateStater Captcha
| Funktion | reCAPTCHA | PrivateStater Captcha |
|---|---|---|
| Google Play Services nötig | Ja, 25.41.30+ | Nein |
| GrapheneOS / de-Googled Android | Kann scheitern | Funktioniert |
| iOS und Desktop | Ja | Ja |
| Datenschutzmodell | „Made by Google“ | Keine Cookies, kein Tracking, kein Google |
| Challenge-Typen | Ampel-Auswahl, Maus-Tracking, Google-Login | Puzzle, Proof of Work, Honeypot |
| Kostenloses Kontingent | 10.000/Monat | 20.000/Monat |
Ich betreibe eine Website. Was tun?
Hören Sie auf, reCAPTCHA zu nutzen. Es gibt viele Alternativen. Ich habe sie in diesem Leitfaden verglichen.
Das ist nicht der einzige Grund. Im Artikel oben sehen Sie, warum ich das sage.
Wie PrivateStater die Abhängigkeit vermeidet
PrivateStater Captcha prüft die Challenge auf meinen Servern. Es verlangt nicht, dass sich der Nutzer auf einem zweiten Gerät authentifiziert.
- Schiebe-Puzzle: Der Nutzer löst eine einfache Zieh-Aufgabe.
- Proof of Work: Der Browser löst eine dynamische Argon2id-Challenge.
- Honeypot: Einfache Bots scheitern, wenn sie ein verstecktes Feld ausfüllen.
Es ist einfach und funktioniert in jedem Browser mit JavaScript: GrapheneOS, iOS, Linux, ein sechs Jahre altes Android-Handy, Chrome, Safari oder auch eine schlichte WebView. Bis 20.000 erfolgreiche Anfragen pro Monat sind kostenlos. Nur erfolgreiche Anfragen zählen. Fehlgeschlagene sind kostenlos.
Einen breiteren Vergleich finden Sie im reCAPTCHA-Alternativen-Leitfaden.