Google doodt “Web Integrity” DRM voor internet, maar wil nog steeds een Android-versie

Google gooit zijn voorstel voor een “Web Environment Integrity API” als nieuwe webstandaard van tafel, hoewel Android-telefoons er misschien nog steeds mee te maken zullen krijgen. Volgens het voorsteldocument van Google was het primaire doel van het project om “webservers in staat te stellen de authenticiteit van het apparaat en de eerlijke weergave van de softwarestack te evalueren” – Google wilde eigenlijk een DRM-poortwachter voor het web. Het project kreeg in juli brede aandacht en werd breed uitgemeten .

Het onheilspellend vage plan was om webbrowsers te laten detecteren of uw computer ‘aangepast’ was op een manier die de webpagina niet beviel. Vermoedelijk kan dit van alles zijn, van een geroote/gejailbreakte telefoon tot het installeren van een ongewenste plug-in (lees: adblockers). Wanneer u probeerde toegang te krijgen tot bepaalde beschermde inhoud, zou een browser die de Web Integrity API ondersteunt, eerst contact opnemen met een “omgevingsattest”-server van derden, en zou uw computer een of andere test moeten doorstaan. Nadat u uw lokale omgeving heeft laten scannen? passerende omgevingen ontvangen een ondertekende “IntegrityToken” die verwijst naar de inhoud die u ontgrendeld wilde hebben. Je zou dit terugbrengen naar de webserver en uiteindelijk de inhoud ontgrendeld krijgen.

Het voorstel van Google viel niet in goede aarde. De uitlegger stond vol met tegenstrijdige informatie over hoe invasief het wilde zijn en wat de doelen ervan waren. Google heeft beloofd dat het niet bedoeld was om de browserfunctionaliteit, inclusief plug-ins en extensies, af te dwingen of te verstoren (dit is een vage verwijzing naar advertentieblokkers), maar ook het allereerste voorbeeld van het voorstel had te maken met het nauwkeuriger meten van advertentievertoningen. Nog alarmerender was dat dit geen discussie was: Google heeft de functie nooit gepubliceerd voor enige vorm van feedback, en het bedrijf was al actief bezig met het prototypen van de functie in Chrome voordat het internet er echt achter kwam.

Vreemd genoeg heeft Google op de Android Developer Blog formeel de dood van de voorgestelde webstandaard aangekondigd. Het bedrijf zegt: “We hebben uw feedback gehoord en het voorstel voor webomgevingsintegriteit wordt niet langer overwogen door het Chrome-team.” Ik geloof dat dit de eerste keer is dat webintegriteit ooit wordt genoemd in een Google-blogpost, maar hoera ! Het is dood. Op naar het volgende probleem:

Draaien naar Android, zodat YouTube Vanced niet uit het graf herrijst?

Het project is echter niet helemaal dood. Google is nu overgestapt op “een experimentele Android WebView Media Integrity API [nadruk van ons].” In tegenstelling tot de webversie, die een grote stap “voorwaarts” zou zijn geweest voor invasieve DRM-oplossingen, beschikt Android al over omgevingsattesten, dus dat is niet het geval. het klinkt alsof dit zoveel doet. Google zei dat de inspiratie voor het oorspronkelijke Web Integrity-project de Play Integrity API van Android was , die je telefoon al scant op rootrechten en de toegang ontzegt tot zaken als games, media en bank-apps. Google wil dat nu kunnen doen via embedded Android WebViews (webcontent die in apps wordt weergegeven) en beweert dat ‘mediacontentproviders’ in zoiets geïnteresseerd zouden zijn.

Als je Spotify of YouTube bent, kun je aangepaste apparaten al op app-niveau blokkeren voordat de ingebouwde WebView zelfs maar opstart, via de Play Integrity API . Google heeft ook een vooraf geïnstalleerde, niet-verwijderbare Android DRM genaamd “Widevine”, speciaal gemaakt voor het afspelen van media. Het is bekend dat Netflix vooraf installatie van Widevine op apparaten vereist om HD-inhoud weer te geven, en problemen met de DRM zijn een veelvoorkomend ondersteuningsprobleem.

Google ziet duidelijk dat dit voorstel niet leuk is, dus de draai naar een Android WebView-component suggereert dat het een specifieke interne behoefte heeft om WebViews met DRM te vergrendelen. Google is echter zo verdacht vaag over deze projecten dat het moeilijk is om te weten wat de bedoeling van het bedrijf precies is. In de blogpost wordt opgemerkt dat, hoewel het WebView-systeem van Android “veel flexibiliteit biedt, het kan worden gebruikt als middel voor fraude en misbruik, omdat het app-ontwikkelaars toegang geeft tot webinhoud en gebruikersinteracties ermee kan onderscheppen of wijzigen. Hoewel dit zijn voordelen heeft als apps hun eigen webinhoud insluiten, verbiedt het slechte actoren niet om inhoud te wijzigen en, bij volmacht, de bron ervan verkeerd weer te geven.”

Afgezien van de gebruikelijke malware-boemannen, lijkt dat veel op de use-case van YouTube Vanced, een ( inmiddels overleden ) aangepaste YouTube Android-app. Vanced gebruikte een WebView en misleidde YouTube om advertentievrije video’s af te spelen en ontgrendelde YouTube Premium-functies zoals afspelen op de achtergrond. Omdat Vanced slechts een app was, was er geen root voor nodig en werd deze niet gestopt door de Play Integrity API. YouTube toestaan ​​om via de WebView toegang tot je telefoon te krijgen, klinkt echter als iets dat deze ‘alternatieve’ clients zou kunnen afsluiten. Google is de afgelopen jaren steeds vijandiger geworden tegenover adblockers, en hoewel de juridische afdeling van Google YouTube Vanced in 2022 al met een last onder dwangsom heeft vermoord, klinkt het als de volgende stap als de technische afdeling een inzet in het hart van gewijzigde klanten steekt . plausibele stap.