Google은 웹용 “웹 무결성” DRM을 종료했지만 여전히 Android 버전을 원합니다.

구글은 새로운 웹 표준으로 “웹 환경 무결성 API”에 대한 제안을 중단하고 있지만 안드로이드 휴대폰은 여전히 ​​이를 처리해야 할 수도 있습니다. Google의 제안 문서 에 따르면 프로젝트의 주요 목표는 “웹 서버가 장치의 신뢰성과 소프트웨어 스택의 정직한 표현을 평가할 수 있도록 하는 것”이었습니다. 기본적으로 Google은 웹용 DRM 게이트키퍼를 원했습니다. 이 프로젝트는 지난 7월에 광범위한 보도를 받았고 널리 비난을 받았습니다 .

불길할 정도로 모호한 계획은 웹 페이지가 좋아하지 않는 방식으로 컴퓨터가 “수정”되었는지 웹 브라우저가 감지할 수 있도록 허용하는 것이었습니다. 아마도 이는 루팅/탈옥된 전화기에서부터 바람직하지 않은 플러그인(읽기: 광고 차단기) 설치에 이르기까지 다양할 수 있습니다. 일부 보호된 콘텐츠에 액세스하려고 하면 Web Integrity API를 지원하는 브라우저가 먼저 타사 “환경 증명” 서버에 접속하고 컴퓨터가 일종의 테스트를 통과해야 합니다. 로컬 환경을 확보한 후 어… 스캔을 했다고요? 통과하는 환경은 잠금 해제하려는 콘텐츠를 가리키는 서명된 “IntegrityToken”을 받습니다. 이를 웹 서버로 다시 가져오면 최종적으로 콘텐츠가 잠금 해제됩니다.

Google의 제안은 잘 진행되지 않았습니다. 설명자는 얼마나 침입하기를 원하는지, 목표가 무엇인지에 대한 상충되는 정보로 가득 차 있었습니다. 구글은 이것이 “플러그인 및 확장 프로그램을 포함한 브라우저 기능을 시행하거나 방해”하려는 의도가 아니라고 약속했습니다. 이는 광고 차단기에 대한 모호한 언급이지만 제안의 첫 번째 예는 광고 노출을 보다 정확하게 측정하는 것과 관련이 있었습니다. 더욱 놀라운 점은 이것이 토론이 아니라는 점이었습니다. Google은 어떤 종류의 피드백을 받기 위해 이 기능을 공개한 적이 없으며 인터넷이 실제로 이 기능에 대해 알기도 전에 회사는 이미 Chrome에서 이 기능의 프로토타입을 적극적으로 만들고 있었습니다.

이상하게도 Google은 Android 개발자 블로그 에서 제안된 웹 표준의 종료를 공식적으로 발표했습니다. 회사는 다음과 같이 말합니다. “우리는 귀하의 의견을 들었으며 웹 환경 무결성 제안은 더 이상 Chrome 팀에서 고려되지 않습니다.” Google 블로그 게시물에서 웹 무결성이 언급된 것은 이번이 처음이라고 생각하지만 만세. ! 죽었어. 다음 문제로 넘어갑니다:

YouTube Vanced가 무덤에서 일어나지 않도록 Android로 전환하시겠습니까?

하지만 프로젝트가 완전히 죽은 것은 아닙니다. Google은 이제 “실험적인 Android WebView Media Integrity API(강조)”로 전환했습니다. 침입형 DRM 솔루션을 위한 큰 진전이 될 웹 버전과 달리 Android는 이미 환경 증명을 갖추고 있으므로 이 정도 일을 하는 것 같군요. Google은 원래 Web Integrity 프로젝트의 영감이 Android의 Play Integrity API에서 영감을 얻었다고 말했습니다 . 이 API는 이미 휴대전화에서 루트 권한을 검색하고 게임, 미디어, 뱅킹 앱과 같은 항목에 대한 액세스를 거부합니다. Google은 이제 “미디어 콘텐츠 제공자”가 그런 일에 관심이 있을 것이라고 주장하는 내장형 Android WebView(앱에 표시되는 웹 콘텐츠)를 통해 이를 수행할 수 있기를 원합니다.

Spotify 또는 YouTube를 사용하는 경우 내장된 WebView가 부팅되기 전에 Play Integrity API 를 통해 이미 앱 수준에서 수정된 장치를 차단할 수 있습니다 . Google에는 미디어 재생용으로 특별히 제작된 “Widevine”이라는 제거 불가능한 Android DRM도 사전 설치되어 있습니다. Netflix는 HD 콘텐츠를 표시하기 위해 장치에 Widevine 사전 설치를 요구하는 것으로 유명하며 DRM 문제 는 일반적인 지원 문제입니다.

Google은 이 제안이 마음에 들지 않는다는 것을 분명히 알고 있으므로 Android WebView 구성 요소로의 전환은 DRM으로 WebView를 잠그기 위한 특정한 내부 필요성이 있음을 시사합니다. 하지만 구글은 이러한 프로젝트에 대해 의심스러울 정도로 모호해서 회사의 의도가 정확히 무엇인지 알기가 어렵습니다. 블로그 게시물에서는 Android의 WebView 시스템이 “많은 유연성을 제공하지만… 앱 개발자가 웹 콘텐츠에 액세스하고 사용자 상호 작용을 가로채거나 수정할 수 있기 때문에 사기 및 남용의 수단으로 사용될 수 있습니다”라고 언급했습니다. 앱이 자체 웹 콘텐츠를 삽입할 때 이점이 있지만, 악의적인 행위자가 콘텐츠를 수정하고 대리로 소스를 허위로 표시하는 것을 방지할 수는 없습니다.”

일반적인 맬웨어 부기맨을 제외하면 이는 ( 현재는 종료된 ) 수정된 YouTube Android 앱인 YouTube Vanced의 사용 사례와 매우 유사합니다 . Vanced는 WebView를 사용하여 YouTube를 속여 광고 없는 동영상을 재생하고 백그라운드 재생과 같은 YouTube Premium 기능을 잠금 해제했습니다. Vanced는 단순한 앱이기 때문에 루트가 필요하지 않았고 Play Integrity API에 의해 중지되지 않았습니다. 하지만 YouTube가 WebView를 통해 휴대폰에 연결하도록 허용하면 이러한 “대체” 클라이언트가 종료될 수 있는 것처럼 들립니다. Google은 최근 몇 년 동안 광고 차단기에 대해 점점 더 적대적이 되어가고 있으며 Google 법무 부서는 이미 2022년에 중단 서한으로 YouTube Vanced를 종료했지만 기술 부서가 수정된 클라이언트의 마음을 통해 지분을 투자하도록 하는 것은 다음 단계처럼 들립니다. 그럴듯한 단계.