Google将推安卓Android新的API强化嵌入式媒体信任验证机制

Google宣布将推出一项新的实验性Android WebView Media Integrity API,此API的主要功能,是要简化并加强现有嵌入式媒体信任机制。 媒体供应商可以通过自定义一系列完整性响应,让嵌入应用安装自任意应用商店的情况下,都能确保流媒体可以在安全且受信任的环境中运作。

这个新API是Google之前的网页环境完整性(Web Environment Integrity)提案的后续,而之所以Google会有这一系列动作,原因在于要改善Android WebView API在安全性和隐私性的问题。 Android开发人员要在其应用程序中显示网页并嵌入媒体,便可以使用WebView API,通过灵活的UI控制和高级配置选项,开发者可以在应用无缝地显示网页内容。

虽然这带来很大的灵活性,但Google提到,这个方法可能被滥用,甚至用于诈骗目的。 因为WebView API让开发人员可以访问网络内容,并拦截或是修改与使用者的互动,虽然当应用程序嵌入自有网页内容时非常方便,但是当嵌入的资源来自第三方,就无法阻挡不良行为者修改内容,并扭曲与使用者的互动。

在7月的时候,Google Chrome团队提出网页环境完整性API提案,允许网站通过数字签证令牌,用以确认客户端的硬件和软件堆栈符合特定标准,虽然目的也是要让网络变得更加隐私且安全,但是API提案一出,便引来社群强烈反弹,因为该提案内容与数字版权管理(DRM)有许多相似之处,普遍被认为可能限制通用运算,并且对网络的开放性造成威胁。

而Google在听取社群意见之后,决定放弃网页环境完整性提案,并且改提出Android WebView Media Integrity API。 相较之下,新API范畴更为限缩,仅针对应用程序中嵌入的WebView,透过扩展现有功能,在具有Google行动服务(GMS)的Android装置上,针对像是串流影片和音频等嵌入式媒体,没有计划扩及Android WebView之外的范畴和平台。

新API使嵌入式媒体提供商能够自定义完整性响应,以便确保流媒体能够在安全且受信任的环境中运作。 判断依据来自于应用程序和设备的后设数据,但其中不会包含使用者或是装置识别码,而且与使用Play Integrity API的应用程序和游戏不同,媒体供应商不会获得应用程序的Play授权状态,并且应用程序还可以选择在判定结果中排除套件名称,也就是其提供一种隐私机制,让开发人员选择隐藏应用程序的名称,保护隐私安全。

官方提到,制定这项API的目标是要维持Android应用程序中,多样化的媒体内容生态系。 Google预计在明年启动Android WebView Media Integrity API早期访问计划。

未经允许不得转载:值得买 » Google将推安卓Android新的API强化嵌入式媒体信任验证机制

催更~发根烟不过分吧!

微信扫一扫打赏