Google elimina DRM “Web Integrity” para a web, ainda quer uma versão Android

O Google está eliminando sua proposta de “Web Environment Integrity API” como um novo padrão da web, embora os telefones Android ainda possam ter que lidar com isso. De acordo com o documento de proposta do Google, o objetivo principal do projeto era “permitir que os servidores web avaliassem a autenticidade do dispositivo e a representação honesta da pilha de software” – basicamente o Google queria um gatekeeper DRM para a web. O projeto teve ampla cobertura em julho e foi amplamente criticado .

O plano ameaçadoramente vago era permitir que os navegadores da web detectassem se o seu computador foi “modificado” de uma forma que a página da web não gostasse. Presumivelmente, isso pode ser qualquer coisa, desde um telefone com root/jailbroken até um plug-in indesejável (leia-se: bloqueadores de anúncios) instalado. Quando você tentasse acessar algum conteúdo protegido, um navegador que suportasse a API Web Integrity entraria em contato primeiro com um servidor de “atestado de ambiente” de terceiros e seu computador teria que passar por algum tipo de teste. Depois de ter seu ambiente local, hum… escaneado? os ambientes que passam recebem um “IntegrityToken” assinado que aponta para o conteúdo que você deseja desbloquear. Você traria isso de volta para o servidor web e finalmente desbloquearia o conteúdo.

A proposta do Google não foi bem aceita. O explicador estava cheio de informações conflitantes sobre o quão invasivo queria ser e quais eram seus objetivos. O Google prometeu com o mindinho que não se destinava a “impor ou interferir na funcionalidade do navegador, incluindo plug-ins e extensões” – esta é uma referência vaga aos bloqueadores de anúncios – mas também o primeiro exemplo da proposta tinha a ver com uma medição mais precisa das impressões de anúncios. Ainda mais alarmante foi que isso não foi uma discussão – o Google nunca divulgou o recurso para qualquer tipo de feedback, e a empresa já estava ativamente prototipando o recurso no Chrome antes que a Internet realmente descobrisse sobre ele.

No Android Developer Blog , estranhamente, o Google anunciou formalmente a morte do padrão da web proposto. A empresa afirma: “Ouvimos seus comentários e a proposta de integridade do ambiente da Web não está mais sendo considerada pela equipe do Chrome.”Acredito que esta seja a primeira vez que a integridade da Web é mencionada em uma postagem do blog do Google, mas viva ! Está morto. Vamos para o próximo problema:

Pivot para Android, garantindo que o YouTube Vanced não ressurgirá do túmulo?

O projeto não está totalmente morto, no entanto. O Google agora mudou para “uma API experimental Android WebView Media Integrity [ênfase nossa]”. parece que isso está fazendo muito. O Google disse que a inspiração para o projeto Web Integrity original foi a API Play Integrity do Android , que já verifica seu telefone em busca de privilégios de root e nega acesso a itens como jogos, mídia e aplicativos bancários. O Google agora quer ser capaz de fazer isso por meio de Android WebViews incorporados (conteúdo da web exibido em aplicativos), alegando que “provedores de conteúdo de mídia” estariam interessados ​​em tal coisa.

Se você for o Spotify ou o YouTube, já poderá bloquear dispositivos modificados no nível do aplicativo antes mesmo de o WebView incorporado ser inicializado, por meio da API Play Integrity . O Google também tem um DRM Android irremovível pré-instalado chamado “Widevine”, feito especificamente para reprodução de mídia. A Netflix exige a pré-instalação do Widevine em dispositivos para exibir conteúdo HD, e problemas com DRM são um problema de suporte comum .

O Google obviamente vê que esta proposta não é apreciada, então seu pivô para um componente Android WebView sugere que ele tem alguma necessidade interna específica de bloquear WebViews com DRM. O Google é tão vago sobre esses projetos que é difícil saber exatamente qual é a intenção da empresa. A postagem do blog observa que, embora o sistema WebView do Android traga “muita flexibilidade… ele pode ser usado como meio de fraude e abuso, porque permite que desenvolvedores de aplicativos acessem conteúdo da web e interceptem ou modifiquem as interações do usuário com ele. Embora isso tenha seus benefícios quando os aplicativos incorporam seu próprio conteúdo da web, não proíbe atores mal-intencionados de modificar o conteúdo e, por procuração, deturpar sua fonte.”

Além dos bicho-papões de malware habituais, isso se parece muito com o caso de uso do YouTube Vanced, um aplicativo modificado do YouTube para Android ( agora morto ). Vanced usou um WebView e enganou o YouTube para reproduzir vídeos sem anúncios e desbloqueou recursos do YouTube Premium, como reprodução em segundo plano. Como o Vanced era apenas um aplicativo, ele não exigia root e não era interrompido pela API Play Integrity. Permitir que o YouTube acesse seu telefone por meio do WebView parece algo que poderia encerrar esses clientes “alternativos”. O Google tem se tornado cada vez mais hostil em relação aos bloqueadores de anúncios nos últimos anos e, embora o departamento jurídico do Google já tenha matado o YouTube Vanced com uma carta de cessação e desistência em 2022, fazer com que o departamento técnico coloque uma estaca no coração dos clientes modificados parece o próximo passo plausível.