Uma equipe de quatro engenheiros do Google está trabalhando em um novo projeto chamado Web Environment Integrity API, que permitirá que os sites bloqueiem aplicativos clientes que alterem seu código.
Além dos óbvios benefícios de segurança, a nova API realmente permitirá Google e operadores de sites para lidar eficazmente com bloqueadores de anúncios.
Como você pode facilmente adivinhar nesta introdução, o principal objetivo do projeto é aprender mais sobre a pessoa do outro lado do navegador, para ter certeza de que ele não é um robô, e o navegador não foi modificado ou falsificado de forma alguma.
Os desenvolvedores afirmam que esses dados serão úteis para os anunciantes contarem as impressões de anúncios, ajude a combater bots nas redes sociais, proteger os direitos de propriedade intelectual, combater a trapaça em jogos da web, e também aumentar a segurança das transações financeiras.
Aquilo é, à primeira vista, a API Web Environment Integrity foi projetada como uma solução de segurança para que os sites possam detectar modificações de código malicioso no lado do cliente e desabilitar clientes maliciosos. Os desenvolvedores listam vários cenários para o possível uso da nova API:
- detecção de manipulação em redes sociais;
- detecção de tráfego de bots em anúncios para melhorar a experiência do cliente e o acesso ao conteúdo da web;
- detecção de campanhas de phishing (por exemplo, Webview em aplicativos maliciosos);
- detecção de aquisição em massa ou tentativas de criação de conta;
- detecção de trapaça em grande escala em jogos da web com clientes falsos;
- Detecção de dispositivos comprometidos onde os dados do usuário podem estar em risco;
- detectando tentativas de controle de conta adivinhando uma senha.
Ao mesmo tempo, os autores da API Web Integrity escrevem que foram inspirados por “sinais de atestado nativos existentes, Incluindo [Maçã] Atestado de aplicativo e [Android] API de integridade do jogo.”
Vale esclarecer aqui que Play Integrity (antigamente Internet Segura) é uma API Android que permite que aplicativos descubram se um dispositivo foi enraizado. O acesso root permite que você assuma o controle total do dispositivo, e muitos desenvolvedores de aplicativos não gostam disso. Portanto, depois de receber o sinal apropriado da API Android Integrity, alguns tipos de aplicativos podem simplesmente se recusar a iniciar.
Como uma regra, aplicações bancárias, Carteira virtual do Google, jogos online, Snapchat, bem como alguns aplicativos multimídia (por exemplo, Netflix) recusar-se a trabalhar nesses casos. Afinal, acredita-se que o acesso root pode ser usado para trapacear em jogos ou fazer phishing de dados bancários. Embora o acesso root também possa ser necessário para configurar o dispositivo, remover malware, ou crie um sistema de backup, Play Integrity não considera tais usos e em qualquer caso bloqueia o acesso.
Como os especialistas agora assumem, O Google pretende fazer o mesmo na Internet.
Pelo design do Google, durante uma transação de página da web, o servidor pode exigir que o usuário passe um atestado ambiental teste antes de receber quaisquer dados. Neste ponto, o navegador entrará em contato com um servidor de atestado de terceiros e o usuário terá que passar por um determinado teste. Se a verificação for aprovada, o usuário recebe um assinado Integridade Token que confirma a integridade do seu ambiente e aponta para o conteúdo a ser desbloqueado.
Em seguida, o token é transferido de volta para o servidor, e se o servidor confiar na empresa testadora, então o conteúdo é desbloqueado, e a pessoa finalmente obtém acesso aos dados necessários.
Como muitos agora assumem, se o navegador neste exemplo for o Chrome, e o servidor de atestado também é propriedade do Google, então o Google decidirá se permitirá ou não o acesso de uma pessoa aos sites.
A empresa garante que o Google não vai utilizar a funcionalidade descrita em detrimento. Por isso, os criadores da API Web Integrity “acredito firmemente” que sua API não deve ser usada para tirar impressões digitais de pessoas, mas ao mesmo tempo eles querem obter “algum tipo de indicador que permite limitar a velocidade em relação ao dispositivo físico.”
Afirma também que a empresa não quer “interferir na funcionalidade do navegador, incluindo plug-ins e extensões.” Por isso, os desenvolvedores deixam claro que supostamente não vão lutar contra bloqueadores de anúncios, embora a empresa esteja trabalhando no escandaloso Manifesto V3 por muitos anos, cujo objetivo é justamente este. Nós, por falar nisso, escreveu como os desenvolvedores implementarão essas regras. E a nova API pode ser usada para detectar quando um bloqueador de anúncios está adulterando o código do anúncio. Depois disso, o operador do site será livre para simplesmente parar de fornecer serviços.
A discussão desse tema na rede já provocou uma onda de críticas ao Google, e o projeto foi apelidado de DRM para a Internet. Por exemplo, desenvolvedores, especialistas em segurança da informação, e usuários comuns observação que o projeto da API Web Integrity pretende ser hospedado em GitHub por um dos desenvolvedores, e o Google está tentando se distanciar do desenvolvimento que pode literalmente envenenar os padrões da web existentes, ajudando a empresa a salvar o negócio de publicidade.
A discussão sobre o projeto Página de problemas no GitHub também trata principalmente dos aspectos éticos do que está acontecendo, e o Google é acusado de tentar se tornar um monopolista em outra área e “matar” bloqueadores de anúncios.
Você também pode estar interessado em nosso artigo sobre como O golpe de recompensas de assinatura do Google é um novo tipo popular de fraude online.