Googles „Web Integrity“-Android-API könnte „alternative“ Medien-Clients töten – Ars Technica

Google verwirft seinen Vorschlag für die „Web Environment Integrity API“ als neuen Webstandard, obwohl Android-Telefone möglicherweise noch damit zu kämpfen haben. Laut dem Vorschlagsdokument von Google bestand das Hauptziel des Projekts darin, „Webservern die Bewertung der Authentizität des Geräts und der ehrlichen Darstellung des Software-Stacks zu ermöglichen“ – im Grunde wollte Google einen DRM-Gatekeeper für das Web. Das Projekt fand im Juli breite Beachtung und wurde weithin geplant.

Der bedrohlich vage Plan bestand darin, Webbrowsern zu ermöglichen, zu erkennen, ob Ihr Computer auf eine Weise „modifiziert“ wurde, die der Webseite nicht gefiel. Vermutlich kann es sich dabei um alles handeln, von einem gerooteten/gejailbreakten Telefon bis hin zur Installation eines unerwünschten Plug-ins (sprich: Werbeblocker). Wenn Sie versuchten, auf geschützte Inhalte zuzugreifen, kontaktierte ein Browser, der die Web Integrity API unterstützt, zunächst einen „Umgebungsnachweis“-Server eines Drittanbieters und Ihr Computer musste einen Test bestehen. Nachdem Sie Ihre lokale Umgebung gescannt haben? Passing-Umgebungen erhalten ein signiertes „IntegrityToken“, das auf den Inhalt verweist, den Sie freischalten wollten. Sie würden dies auf den Webserver zurückbringen und den Inhalt schließlich freischalten lassen.

Der Vorschlag von Google kam nicht gut an. Der Erklärer war voller widersprüchlicher Informationen darüber, wie invasiv es sein wollte und was seine Ziele waren. Google versprach am kleinen Finger, dass es nicht dazu gedacht sei, „die Funktionalität des Browsers, einschließlich Plugins und Erweiterungen, zu erzwingen oder zu beeinträchtigen“ – dies ist eine vage Anspielung auf Werbeblocker –, aber auch das allererste Beispiel des Vorschlags hatte mit einer genaueren Messung von Anzeigenimpressionen zu tun. Noch besorgniserregender war, dass es sich hierbei nicht um eine Diskussion handelte – Google hat die Funktion nie veröffentlicht, um Feedback zu erhalten, und das Unternehmen war bereits dabei, aktiv Prototypen für die Funktion in Chrome zu entwickeln, bevor das Internet wirklich davon erfuhr.

Seltsamerweise hat Google im Android Developer Blog offiziell den Tod des vorgeschlagenen Webstandards angekündigt. Das Unternehmen sagt: „Wir haben Ihr Feedback gehört und der Vorschlag zur Integrität der Webumgebung wird vom Chrome-Team nicht mehr berücksichtigt.“ Ich glaube, dies ist das erste Mal, dass Web Integrity in einem Google-Blogbeitrag erwähnt wird, aber Hurra! Es ist tot. Weiter zum nächsten Problem:

Auf Android umsteigen und sicherstellen, dass YouTube Vanced nicht aus dem Grab aufersteht?

Das Projekt ist jedoch nicht ganz tot. Google ist nun zu einem „Experiment“ übergegangen Android WebView Media Integrity API (Hervorhebung von uns).“ Im Gegensatz zur Webversion, die für invasive DRM-Lösungen ein großer Fortschritt „nach vorne“ gewesen wäre, verfügt Android bereits über eine Umgebungsbescheinigung, es hört sich also nicht so an, als würde dies so viel bewirken. Google sagte, die Inspiration für das ursprüngliche Web Integrity-Projekt sei die Play Integrity API von Android gewesen, die Ihr Telefon bereits nach Root-Rechten durchsucht und den Zugriff auf Dinge wie Spiele, Medien und Banking-Apps verweigert. Google möchte dies nun über eingebettete Android WebViews tun können (Webinhalte, die in Apps angezeigt werden) und behauptete, dass „Medieninhaltsanbieter“ an so etwas interessiert wären.

Wenn Sie Spotify oder YouTube sind, können Sie über die Play Integrity API geänderte Geräte bereits auf App-Ebene blockieren, bevor das eingebettete WebView überhaupt startet. Google hat außerdem ein nicht entfernbares Android-DRM namens „Widevine“ vorinstalliert, das speziell für die Medienwiedergabe entwickelt wurde. Netflix verlangt bekanntermaßen eine Vorinstallation von Widevine auf Geräten, um HD-Inhalte anzuzeigen, und Probleme mit dem DRM sind ein häufiges Support-Problem.

Google erkennt offensichtlich, dass dieser Vorschlag auf Ablehnung stößt, weshalb die Umstellung auf eine Android-WebView-Komponente darauf hindeutet, dass ein spezifischer interner Bedarf besteht, WebViews mit DRM zu sperren. Allerdings äußert sich Google in Bezug auf diese Projekte so verdächtig vage, dass es schwierig ist, die genauen Absichten des Unternehmens zu erkennen. In dem Blogeintrag heißt es, dass das WebView-System von Android zwar „viel Flexibilität bietet … es aber als Mittel für Betrug und Missbrauch genutzt werden kann, weil es App-Entwicklern ermöglicht, auf Webinhalte zuzugreifen und Benutzerinteraktionen damit abzufangen oder zu modifizieren.“ Dies hat seine Vorteile, wenn Apps ihre eigenen Webinhalte einbetten. Es hindert böswillige Akteure jedoch nicht daran, Inhalte zu ändern und stellvertretend ihre Quelle falsch darzustellen.“

Abgesehen von den üblichen Schadsoftware-Boogeymen klingt das sehr nach dem Anwendungsfall von YouTube Vanced, einer (mittlerweile toten) modifizierten YouTube-Android-App. Vanced nutzte ein WebView und brachte YouTube dazu, werbefreie Videos abzuspielen, und schaltete YouTube Premium-Funktionen wie die Hintergrundwiedergabe frei. Da Vanced nur eine App war, war kein Root erforderlich und wurde nicht von der Play Integrity API gestoppt. YouTube den Zugriff auf Ihr Telefon über WebView zu ermöglichen, klingt jedoch nach etwas, das diese „alternativen“ Clients lahm legen könnte. Google ist in den letzten Jahren immer feindseliger gegenüber Werbeblockern geworden, und während die Google-Rechtsabteilung YouTube Vanced bereits im Jahr 2022 mit einer Unterlassungserklärung getötet hat, klingt es nach dem nächsten Schritt, wenn die technische Abteilung geänderten Kunden einen Pflock ins Herz schlägt plausibler Schritt.