メモ

Android WebViewを拡張して安全性を高める「Android WebView Media Integrity API」のテストが2024年初頭からスタート、一方で「健全なインターネット」を目指す「Web Environment Integrity」は断念


Googleが「健全なインターネット」を目指して提唱していた新たなウェブ標準「Web Environment Integrity」の推進を諦めていたことが、Androidチームによって明かされました。また、範囲をAndroid WebViewに絞り、Androidのセキュリティやプライバシー保護性能を高めることにつながる「Android WebView Media Integrity API」の試験運用を2024年はじめから行う予定であることがわかりました。

Android Developers Blog: Increasing trust for embedded media
https://android-developers.googleblog.com/2023/11/increasing-trust-for-embedded-media.html


Androidでは、アプリにメディアを埋め込むにあたって「WebView」のAPIが利用されています。AndroidのチームによればWebViewのAPIは柔軟性が高く、そのセキュリティとプライバシー保護の継続的な改善こそが最優先事項だとのこと。

アプリ開発者やSDKプロバイダーは、ユーザーのプライバシーを保護しつつアプリのサーバーリクエストを検証できる「Play Integrity API」や「Firebase App Check」といった構成証明サービスを含むソリューションを提供し、メディアが信頼された安全な環境で再生されていることを、埋め込んだメディアのプロバイダーが確認できるようにしています。

しかし、現行プロセスは単純なものではない上に拡張性もないため、2024年初頭をめどに、一部の埋め込みメディアプロバイダーを対象として、「Android WebView Media Integrity API」の試験運用を開始する予定であることをAndroidチームは明らかにしました。


「Integrity API」という名称からは、Googleが2023年7月に提唱した新たなウェブ標準「Web Environment Integrity」を連想するところですが、Androidチームによれば、各方面からのフィードバックを得た結果、Chromeチームは「Web Environment Integrity」の検討を放棄したとのこと

Google従業員が「信頼できる第三者」による認証でBotや改造ブラウザを排除して「健全なインターネット」を作るべく新たなウェブ標準「Web Environment Integrity」を提案 - GIGAZINE


一方、このAndroid WebView Media Integrity APIは、アプリに埋め込まれたWebViewのみを対象にするもの。Google Mobile Services搭載のAndroidデバイスにおける既存機能を拡張するだけであり、ストリーミングビデオやオーディオといった埋め込みメディアや、Android WebViewの範囲を超えての提供は計画されていないとのことです。

AndroidチームがWebViewの課題だと考えているのは、柔軟性が高い一方、アプリ開発者がウェブコンテンツにアクセスしてユーザーの操作を読み取ったり変更したりできるため、詐欺や悪事に用いられる可能性がある点。アプリが独自のウェブコンテンツを埋め込むときには利点となるのですが、悪意を持つ攻撃者がコンテンツを変更することがあり得ます。

Android WebView Media Integrity APIはデバイスとアプリの整合性判定を含む応答に対応するため、埋め込みメディアプロバイダーは埋め込みアプリがどのアプリストアからインストールされたかに関係なく、ストリームが安全で信頼された環境で実行されていることを確認可能です。これらの判定に、ユーザーやデバイスの識別子は含まれません。

Android WebView Media Integrity APIの目標は、Androidアプリのメディアコンテンツの繁栄と多様性のエコシステムを維持するのに役立つものになることで、2024年初頭から始まる早期アクセスプログラムへの参加に興味があるメディアコンテンツプロバイダーを募集しているとのことです。

この記事のタイトルとURLをコピーする

・関連記事
Googleが「GmailなどのAndroidアプリがクラッシュした問題」の反省からWebViewに「セーフモード」を導入 - GIGAZINE

TikTokのAndroid向けアプリに「1タップでアカウントが乗っ取られる脆弱性」があったという報告 - GIGAZINE

モバイルアプリエコシステムに潜む潜在的な課題や障壁をアメリカの行政機関が調査開始 - GIGAZINE

Googleが策定を進める「Web Environment Integrity」は「フリーなインターネットへの総攻撃」だとフリーソフトウェア財団が発表 - GIGAZINE

in メモ,   モバイル, Posted by logc_nt

You can read the machine translated English article here.