Google está acabando con su propuesta de «API de integridad del entorno web» como nuevo estándar web, aunque es posible que los teléfonos Android todavía tengan que lidiar con ello. Según el documento de propuesta de Google, el objetivo principal del proyecto era «permitir que los servidores web evalúen la autenticidad del dispositivo y la representación honesta de la pila de software»; básicamente, Google quería un guardián DRM para la web. El proyecto obtuvo una amplia cobertura en julio y fue ampliamente criticado.
El plan ominosamente vago era permitir que los navegadores web detectaran si su computadora fue «modificada» de una manera que no le gustaba a la página web. Presumiblemente, esto podría ser cualquier cosa, desde un teléfono rooteado o liberado hasta tener instalado un complemento no deseado (léase: bloqueadores de publicidad). Cuando intentaba acceder a algún contenido protegido, un navegador que admitiera la API de integridad web primero se comunicaría con un servidor de «certificación de entorno» de terceros y su computadora tendría que pasar algún tipo de prueba. Después de escanear su entorno local, eh… ¿escaneado? Los entornos que pasan reciben un «IntegrityToken» firmado que apunta al contenido que desea desbloquear. Lo devolvería al servidor web y finalmente desbloquearía el contenido.
La propuesta de Google no fue bien recibida. El explicador estaba lleno de información contradictoria sobre cuán invasivo quería ser y cuáles eran sus objetivos. Google prometió que no estaba destinado a «imponer o interferir con la funcionalidad del navegador, incluidos complementos y extensiones» (esta es una vaga referencia a los bloqueadores de anuncios), pero también el primer ejemplo de la propuesta tenía que ver con medir con mayor precisión las impresiones de anuncios. Aún más alarmante fue que esto no fue una discusión: Google nunca publicó la función para recibir ningún tipo de comentarios, y la compañía ya estaba creando activamente un prototipo de la función en Chrome antes de que Internet realmente se enterara de ella.
En el blog para desarrolladores de Android, curiosamente, Google anunció formalmente la muerte del estándar web propuesto. La compañía dice: «Hemos escuchado sus comentarios y el equipo de Chrome ya no está considerando la propuesta de integridad del entorno web». Creo que esta es la primera vez que se menciona la integridad web en una publicación de blog de Google, pero ¡hurra! Está muerto. Pasemos al siguiente problema:
¿Pasar a Android y garantizar que YouTube Vanced no se levante de la tumba?
Sin embargo, el proyecto no está totalmente muerto. Google ahora ha girado hacia «un modelo experimental Androide API de integridad de medios WebView [emphasis ours].» A diferencia de la versión web, que habría sido un gran «avance» para las soluciones DRM invasivas, Android ya cuenta con certificación de entorno, por lo que no parece que esto esté haciendo mucho. Google dijo que la inspiración para la Integridad Web original El proyecto fue la API Play Integrity de Android, que ya escanea su teléfono en busca de privilegios de root y niega el acceso a cosas como juegos, medios y aplicaciones bancarias. Google ahora quiere poder hacerlo a través de Android WebViews integrados (contenido web que se muestra en las aplicaciones), afirmando que los «proveedores de contenidos multimedia» estarían interesados en algo así.
Si eres Spotify o YouTube, ya puedes bloquear dispositivos modificados a nivel de aplicación incluso antes de que se inicie el WebView integrado, a través de la API Play Integrity. Google también tiene un DRM de Android no extraíble preinstalado llamado «Widevine» creado específicamente para la reproducción de medios. Netflix exige la preinstalación de Widevine en los dispositivos para poder mostrar contenido HD, y los problemas con el DRM son un problema de soporte común.
Obviamente, Google ve que esta propuesta no es del agrado, por lo que su giro hacia un componente WebView de Android sugiere que tiene alguna necesidad interna específica de bloquear WebViews con DRM. Sin embargo, Google es tan sospechosamente vago acerca de estos proyectos que es difícil saber cuál es exactamente la intención de la empresa. La publicación del blog señala que si bien el sistema WebView de Android brinda «mucha flexibilidad… puede usarse como un medio para el fraude y el abuso, porque permite a los desarrolladores de aplicaciones acceder al contenido web e interceptar o modificar las interacciones del usuario con él. Esto tiene sus beneficios cuando las aplicaciones incorporan su propio contenido web, no prohíbe a los malos actores modificar el contenido y, por proxy, tergiversar su fuente».
Aparte de los habituales monstruos del malware, esto se parece mucho al caso de uso de YouTube Vanced, una aplicación de YouTube para Android modificada (ahora muerta). Vanced usó WebView y engañó a YouTube para que reprodujera videos sin publicidad y desbloqueó funciones de YouTube Premium como la reproducción en segundo plano. Debido a que Vanced era solo una aplicación, no requería root y no fue detenida por la API Play Integrity. Sin embargo, permitir que YouTube acceda a su teléfono a través de WebView parece algo que podría cerrar estos clientes «alternativos». Google se ha vuelto cada vez más hostil hacia los bloqueadores de anuncios en los últimos años, y aunque el departamento legal de Google ya eliminó a YouTube Vanced con una carta de cese y desistimiento en 2022, hacer que el departamento técnico atraviese el corazón de los clientes modificados parece el próximo paso. paso plausible.