Google zabija DRM „Web Integrity” w Internecie, nadal chce wersji na Androida

Google wycofuje się ze swojej propozycji dotyczącej „Web Environment Integrity API” jako nowego standardu sieciowego, chociaż telefony z Androidem mogą nadal sobie z tym radzić. Zgodnie z dokumentem propozycji Google głównym celem projektu było „umożliwienie serwerom internetowym oceny autentyczności urządzenia i uczciwej reprezentacji stosu oprogramowania” – zasadniczo Google potrzebował strażnika DRM w Internecie. Projekt odbił się szerokim echem w lipcu i spotkał się z szerokim odzewem .

Złowieszczo niejasny plan zakładał umożliwienie przeglądarkom internetowym wykrywania, czy Twój komputer został „zmodyfikowany” w sposób, który nie spodobał się stronie. Prawdopodobnie może to być wszystko, od telefonu zrootowanego/po jailbreaku po zainstalowanie niepożądanej wtyczki (czytaj: blokowanie reklam). Gdy próbujesz uzyskać dostęp do chronionej zawartości, przeglądarka obsługująca interfejs Web Integrity API najpierw skontaktuje się z serwerem „atestacji środowiska” innej firmy, a Twój komputer będzie musiał przejść jakiś test. Po przeskanowaniu lokalnego środowiska, hm…? przechodzące środowiska otrzymują podpisany „IntegrityToken”, który wskazuje zawartość, którą chcesz odblokować. Przyniósłbyś to z powrotem na serwer WWW i w końcu odblokowałbyś zawartość.

Propozycja Google nie została dobrze przyjęta. Wyjaśnienie było pełne sprzecznych informacji na temat tego, jak inwazyjna miała być i jakie były jej cele. Google obiecał, że nie ma to na celu „wymuszania ani zakłócania funkcjonalności przeglądarki, w tym wtyczek i rozszerzeń” – jest to niejasne odniesienie do programów blokujących reklamy – ale także pierwszy przykład propozycji dotyczył dokładniejszego pomiaru wyświetleń reklam. Jeszcze bardziej alarmujący był fakt, że nie była to dyskusja — Google nigdy nie opublikował tej funkcji w celu uzyskania jakichkolwiek opinii, a firma aktywnie tworzyła prototyp tej funkcji w przeglądarce Chrome, zanim tak naprawdę dowiedział się o niej Internet.

Co dziwne, na blogu programistów Androida Google oficjalnie ogłosił śmierć proponowanego standardu sieciowego. Firma mówi: „Słyszeliśmy Wasze opinie i propozycja dotycząca integralności środowiska sieciowego nie jest już rozważana przez zespół Chrome”. Wydaje mi się, że po raz pierwszy w poście na blogu Google pojawia się wzmianka o integralności środowiska sieciowego, ale hura ! Nie żyje. Przejdźmy do następnego problemu:

Przejdź na Androida i upewnij się, że YouTube Vanced nie powstanie z grobu?

Projekt nie jest jednak całkowicie martwy. Firma Google przeszła teraz na „eksperymentalny interfejs API Android WebView Media Integrity API [podkreślenie nasze]”. W przeciwieństwie do wersji internetowej, która byłaby dużym „postępem” w zakresie inwazyjnych rozwiązań DRM, Android ma już certyfikat środowiskowy, więc nie ma wygląda na to, że to robi aż tyle. Google twierdzi, że inspiracją dla oryginalnego projektu Web Integrity był interfejs Play Integrity API systemu Android , który skanuje Twój telefon w poszukiwaniu uprawnień roota i odmawia dostępu do takich rzeczy, jak gry, multimedia i aplikacje bankowe. Google chce teraz móc to robić poprzez osadzone Android WebViews (treści internetowe wyświetlane w aplikacjach), twierdząc, że „dostawcy treści multimedialnych” byliby tym zainteresowani.

Jeśli korzystasz ze Spotify lub YouTube, możesz już blokować zmodyfikowane urządzenia na poziomie aplikacji, jeszcze przed uruchomieniem wbudowanego WebView, za pośrednictwem interfejsu API Play Integrity . Google ma również preinstalowany, nieusuwalny system Android DRM o nazwie „Widevine”, stworzony specjalnie do odtwarzania multimediów. Netflix słynie z preinstalacji Widevine na urządzeniach w celu wyświetlania treści HD, a problemy z DRM są częstym problemem wsparcia.

Google najwyraźniej widzi, że ta propozycja nie podoba się, więc przejście do komponentu Android WebView sugeruje, że ma ona jakąś konkretną wewnętrzną potrzebę blokowania WebView za pomocą DRM. Jednak Google wypowiada się na temat tych projektów tak podejrzanie niejasno, że trudno określić, jakie dokładnie są intencje firmy. W poście na blogu zauważono, że chociaż system WebView systemu Android zapewnia „dużą elastyczność… można go wykorzystać do oszustw i nadużyć, ponieważ umożliwia twórcom aplikacji dostęp do treści internetowych oraz przechwytywanie lub modyfikowanie interakcji użytkownika z nimi. Chociaż ma to swoje zalety, gdy aplikacje osadzają własne treści internetowe, nie zabrania złym podmiotom modyfikowania treści i, przez pełnomocnika, fałszywego podawania jej źródła”.

Poza zwykłymi straszydłami złośliwego oprogramowania, brzmi to bardzo podobnie do przypadku użycia YouTube Vanced, ( już nieistniejącej ) zmodyfikowanej aplikacji YouTube na Androida. Vanced użył WebView i oszukał YouTube, aby odtwarzał filmy bez reklam i odblokował funkcje YouTube Premium, takie jak odtwarzanie w tle. Ponieważ Vanced był tylko aplikacją, nie wymagał rootowania i nie był zatrzymywany przez interfejs Play Integrity API. Zezwolenie YouTube na dostęp do Twojego telefonu za pośrednictwem WebView brzmi jednak jak coś, co mogłoby zamknąć tych „alternatywnych” klientów. W ostatnich latach Google staje się coraz bardziej wrogo nastawiony do programów blokujących reklamy i chociaż dział prawny Google zabił już YouTube Vanced pismem o zaprzestaniu działalności w 2022 r., to nakazanie działowi technicznemu wbicia stawki w serca zmodyfikowanych klientów brzmi jak kolejna decyzja. prawdopodobny krok.