Google tötet „Web Integrity“-DRM für das Web, will aber weiterhin eine Android-Version

Google verwirft seinen Vorschlag für die „Web Environment Integrity API“ als neuen Webstandard, obwohl Android-Telefone möglicherweise immer noch damit zu kämpfen haben. Laut dem Vorschlagsdokument von Google bestand das Hauptziel des Projekts darin, „Webservern die Bewertung der Authentizität des Geräts und der ehrlichen Darstellung des Software-Stacks zu ermöglichen“ – im Grunde wollte Google einen DRM-Gatekeeper für das Web. Das Projekt fand bereits im Juli große Beachtung und wurde weithin kritisiert .

Der bedrohlich vage Plan bestand darin, Webbrowsern zu ermöglichen, zu erkennen, ob Ihr Computer auf eine Weise „modifiziert“ wurde, die der Webseite nicht gefiel. Vermutlich kann es sich dabei um alles handeln, von einem gerooteten/gejailbreakten Telefon bis hin zur Installation eines unerwünschten Plug-ins (sprich: Werbeblocker). Wenn Sie versuchten, auf geschützte Inhalte zuzugreifen, kontaktierte ein Browser, der die Web Integrity API unterstützt, zunächst einen „Umgebungsbescheinigungs“-Server eines Drittanbieters und Ihr Computer musste eine Art Test bestehen. Nachdem Sie Ihre lokale Umgebung gescannt haben? Passing-Umgebungen erhalten ein signiertes „IntegrityToken“, das auf den Inhalt verweist, den Sie freischalten wollten. Sie würden dies auf den Webserver zurückbringen und den Inhalt schließlich freischalten lassen.

Der Vorschlag von Google kam nicht gut an. Der Erklärer war voller widersprüchlicher Informationen darüber, wie invasiv es sein wollte und was seine Ziele waren. Google versicherte am kleinen Finger, dass es nicht dazu gedacht sei, „die Funktionalität des Browsers, einschließlich Plugins und Erweiterungen, zu erzwingen oder zu beeinträchtigen“ – dies ist eine vage Anspielung auf Werbeblocker –, aber auch das allererste Beispiel des Vorschlags betraf die genauere Messung von Anzeigenimpressionen. Noch besorgniserregender war, dass es sich hierbei nicht um eine Diskussion handelte – Google hat die Funktion nie veröffentlicht, um Feedback zu erhalten, und das Unternehmen war bereits dabei, aktiv Prototypen für die Funktion in Chrome zu entwickeln, bevor das Internet wirklich davon erfuhr.

Seltsamerweise hat Google im Android Developer Blog offiziell den Tod des vorgeschlagenen Webstandards angekündigt. Das Unternehmen sagt: „Wir haben Ihr Feedback gehört und der Web Environment Integrity-Vorschlag wird vom Chrome-Team nicht mehr berücksichtigt.“ Ich glaube, dies ist das erste Mal, dass Web Integrity in einem Google-Blogbeitrag erwähnt wird, aber Hurra ! Es ist tot. Weiter zum nächsten Problem:

Auf Android umsteigen und sicherstellen, dass YouTube Vanced nicht aus dem Grab aufersteht?

Das Projekt ist jedoch nicht ganz tot. Google ist nun auf „eine experimentelle Android WebView Media Integrity API [Hervorhebung von uns]“ umgestiegen. Im Gegensatz zur Webversion, die für invasive DRM-Lösungen ein großer Fortschritt „nach vorne“ gewesen wäre, verfügt Android bereits über eine Umgebungsbescheinigung, also nicht Hört sich an, als würde das so viel bewirken. Google sagte, die Inspiration für das ursprüngliche Web Integrity-Projekt sei die Play Integrity API von Android gewesen , die Ihr Telefon bereits auf Root-Rechte scannt und den Zugriff auf Dinge wie Spiele, Medien und Banking-Apps verweigert. Google möchte dies nun durch eingebettete Android-WebViews (in Apps angezeigte Webinhalte) ermöglichen und behauptet, dass „Medieninhaltsanbieter“ daran interessiert wären.

Wenn Sie Spotify oder YouTube verwenden, können Sie über die Play Integrity API geänderte Geräte bereits auf App-Ebene blockieren, bevor das eingebettete WebView überhaupt hochfährt . Google verfügt außerdem über ein vorinstalliertes, nicht entfernbares Android-DRM namens „Widevine“, das speziell für die Medienwiedergabe entwickelt wurde. Netflix verlangt bekanntermaßen eine Vorinstallation von Widevine auf Geräten, um HD-Inhalte anzuzeigen, und Probleme mit dem DRM sind ein häufiges Support-Problem.

Google erkennt offensichtlich, dass dieser Vorschlag auf Ablehnung stößt, weshalb die Umstellung auf eine Android-WebView-Komponente darauf hindeutet, dass ein spezifischer interner Bedarf besteht, WebViews mit DRM zu sperren. Allerdings äußert sich Google in Bezug auf diese Projekte so verdächtig vage, dass es schwierig ist, die genauen Absichten des Unternehmens zu erkennen. In dem Blogbeitrag heißt es, dass das WebView-System von Android zwar „viel Flexibilität bietet, aber als Mittel für Betrug und Missbrauch eingesetzt werden kann, weil es App-Entwicklern ermöglicht, auf Webinhalte zuzugreifen und Benutzerinteraktionen damit abzufangen oder zu ändern.“ Dies hat zwar seine Vorteile, wenn Apps ihre eigenen Webinhalte einbetten, es hindert böswillige Akteure jedoch nicht daran, Inhalte zu verändern und stellvertretend deren Quelle falsch darzustellen.“

Abgesehen von den üblichen Malware-Boogeymen klingt das sehr nach dem Anwendungsfall von YouTube Vanced, einer ( mittlerweile toten ) modifizierten YouTube-Android-App. Vanced nutzte ein WebView und brachte YouTube dazu, werbefreie Videos abzuspielen und YouTube Premium-Funktionen wie die Hintergrundwiedergabe freizuschalten. Da Vanced nur eine App war, war kein Root erforderlich und wurde nicht von der Play Integrity API gestoppt. YouTube den Zugriff auf Ihr Telefon über WebView zu erlauben, klingt jedoch nach etwas, das diese „alternativen“ Clients lahm legen könnte. Google ist in den letzten Jahren immer feindseliger gegenüber Werbeblockern geworden, und während die Rechtsabteilung von Google YouTube Vanced bereits im Jahr 2022 mit einer Unterlassungserklärung getötet hat, klingt es nach dem nächsten Schritt, wenn die technische Abteilung geänderten Kunden einen Pflock ins Herz gesteckt hat plausibler Schritt.