Mit der Web Environment Integrity API hat Google erneut den Zorn vieler Internetnutzer auf sich gezogen. Durchaus nicht zu unrecht, denn der Konzern würde mehr Macht erhalten und hat die Änderung bereits in Chromium eingebaut. Neben Google Chrome sind daher zahlreiche weitere Browser betroffen. Dieser Artikel bietet einen Überblick, was Web Environment Integrity ist, woher die Idee stammt, was der Internetriese damit anstellen kann, wie es dazu kam und was wir dagegen tun können.
Was ist die „Web Environment Integrity API“?
Die Idee stammt von vier Google-Mitarbeitern. Sie möchten Informationen über die Person und ihre Umgebung sammeln, bevor Webseiten im Browser aufgerufen werden. Damit folgt ein Test, der bestätigt, dass du ein echter Mensch bist und es keine unzulässigen Veränderungen im Webbrowser gab. War der Test erfolgreich, wird ein signiertes Token ausgestellt – erst danach liefert die Webseite ihre Inhalte aus. Oder eben nicht, falls es zur Erkennung unerwünschter Manipulation kommt.
Als Beispiele für Anwendungsfälle werden Browserspiele genannt, bei denen man mit Erweiterungen schummelt. Oder Sockenpuppen, die Aktivität in sozialen Netzwerken vortäuschen. Phishing soll damit eben so verhindert werden können, wie kompromittierte Geräte und andere Angriffsvektoren. Aber auch werbefinanzierte Webseiten, bei denen die Werbetreibenden ein Interesse daran haben, nur für Werbeeinblendungen vor echten Menschen zu bezahlen. Zudem möchte man Geräte wiedererkennen können, um Limits durchzusetzen – ohne Geräte-ID, wie sie unter Android und Windows bereits existiert.
Insgesamt möchte man damit die Privatsphäre besser schützen, als mit gängigen Fingerabdruck-Methoden, die von einigen Seiten eingesetzt werden. In diesem Markdown-Dokument befindet sich der erste Entwurf, er ist bereits einige Wochen alt. Am 21.07.2023 wurde eine aktualisierte Fassung veröffentlicht. Der Grundgedanke macht Sinn, aber die Umsetzung ist an verschiedenen Stellen dagegen fragwürdig. Nicht zuletzt deswegen, weil das ganze geschlossen und ausschließlich von Google stammt – die nun nicht gerade bekannt dafür sind, die Privatsphäre der Nutzer zu schützen. Der Konzern verdient den Großteil seines Geldes mit der massenhaften Sammlung von Daten.
Inspiriert von Play Integrity aka SafetyNet: Der Custom-ROM Schreck
Inspiriert haben sich die Google-Mitarbeiter bei SafetyNet: Es bietet Schnittstellen für Android-Apps, um verschiedene Sicherheitsfunktionen umzusetzen. Sie ist in den Google Play Diensten integriert und wurde 2015 vorgestellt, ab etwa 2017 beeinflusste sie den Alltag der Android-Modder. Am umstrittensten ist die Attestation API: Ursprünglich ging es darum zu erkennen, ob die Firmware manipuliert wurde. Anhand von zwei Parametern soll die Integrität des Gerätes festgestellt werden können. Sie geben Auskunft darüber, ob der Bootloader entsperrt ist, man eine Custom-ROM (ohne root) installiert hat oder das Gerät gerootet (also entsperrt) wurde.
In der Praxis wurde damit jedoch die Offenheit des Android-Ökosystems sowie die Freiheit der Nutzer eingeschränkt: Eine Reihe an Apps verweigerte selbst auf ungerooteten Custom-ROMs den Start und erscheint nicht einmal mehr in den Suchergebnissen von Google Play. Darunter Netflix, Pokemon Go, Snapchat und weitere. Viele Apps von Banken sind ebenfalls betroffen und auch kontaktloses Bezahlen per Google Pay wird blockiert. Anfangs funktionierten manche Apps zumindest noch auf Custom-ROMs ohne root, später kam es auch da zu Problemen.
Die Entwicklung ist damit offensichtlich: Es ging nicht nur darum, den Nutzer gegen schädliche Manipulation von Dritten zu schützen. Sondern eher ein möglichst geschlossenes System zu schaffen, in dem der Nutzer möglichst Einfluss hat, was auf seinem eigenen Gerät passiert. SafetyNet Attestation wird im Januar 2025 eingestellt und durch Play Integrity abgelöst. Beide sind sich jedoch sehr ähnlich – Android-Nutzer gewinnen durch Play Integrity also keineswegs ihre Freiheit wieder zurück. Genau das möchte Google nun ins Web bringen: Die Kontrolle über den bislang noch relativ freien Webbrowser.
[…] keeps user data and intellectual property secure […]
Google möchte neben den Nutzerdaten vor allem kommerzielle Interessen schützen – Quelle: Web Environment Integrity Explainer
Findest du nicht gut? Ist egal: Google bestimmt mittlerweile, wie das Web funktioniert
Googles Browser Chrome ist Marktführer mit 62,5% Marktanteil weltweit und immerhin rund 49% in Deutschland, jeweils Stand Juni 2023. Je nach Statistik und Messung schwanken diese Werte um ein paar Prozent. Unabhängig davon hat Chrome eine Monopolstellung, mit der es die Weiterentwicklung des Web massiv beeinflussen, wenn nicht sogar bestimmen kann. Daher wurde bereits im Mai 2023 ein Prototyp für Chromiums Engine Blink eingereicht, der vorerst nur unter Android eingebaut wurde. Mittlerweile hat er seinen Weg in Chromium Version 117 gefunden. Diese Version ist bisher nicht stabil veröffentlicht, soll aber bereits bald erscheinen – sie ist für September 2023 geplant.
Google muss niemanden überzeugen – die können das einfach machen. Dank einem großen Teil von euch: Hätte Chrome keine marktbeherrschende Stellung mit 49 bis rund 63% Marktanteil, wären die Auswirkungen weitaus gravierender. So wie Microsoft seine Nutzer zu Edge drängen kann, weil sie das Betriebssystem mit ca. 80% Marktanteil kontrollieren.
Es wäre übrigens nicht das erste Mal, dass Google eigene Entscheidungen – trotz massiver Kritik – erzwingt: Manifest V3 gewährt Google mehr Einfluss auf Browser-Erweiterungen und schränkt Werbeblocker ein. Etwas, das dem Konzern gelegen kommen dürfte: Schließlich verdient er den Großteil seines Geldes mit Werbung. Der Zeitplan wurde lediglich verschoben. Nicht wegen der Kritik, sondern weil Google selbst zu langsam war. Firefox baute Manifest V3 zwar ein, jedoch zu den eigenen Bedingungen, die Werbeblocker nicht einschränken. Schaltet Google V2 irgendwann ab, werden Werbeblocker unter Chrome wohl ineffizienter sein, als in Firefox. Mozilla hat Googles Web Environment Integrity API übrigens bereits eine Absage erteilt: Sie betrachten es als Einschränkung des freien Webs und damit als schlecht für die Nutzer. Vivaldi bezeichnet sie sogar als gefährlich.
Weg von Google Chrome: Ich nutze einfach Firefox, Brave, Edge, Vivaldi & andere Alternativen?
Damit ist das Problem zumindest mittel- bis langfristig nicht gelöst. Es gibt nur noch drei Browser mit eigenständigen Engines: Chromium (Blink), Firefox (Gecko) und Safari (Webkit). Da Safari nur auf Apple-Geräten verfügbar ist, scheidet er für die große Mehrheit der Nutzer (Windows & GNU/Linux) aus. Jeder andere größere Browser basiert auf Chromium! Selbst Microsofts Edge wechselte von der eigenen Engine Blink im Jahre 2020 auf Chromium. Manche Browser entfernen unerwünschte Bestandteile aus Chrome, wie etwa Google- und Überwachungsfunktionen aus Ungoogled Chromium. Diese werden selbst entscheiden, ob sie die Web Environment Integrity API zusätzlich entfernen. Falls nicht, habt ihr sie auch in diesen Browsern.
Firefox ist der letzte eigenständige, plattformübergreifende Browser. Damit seid ihr vor Web Environment Integrity API, Manifest V3 und anderen fragwürdigen Google-Ideen sicher – zumindest vorerst. Das Problem ist: Durch Googles Marktmacht ist der Konzern in der Lage, neue Standards stark zu beeinflussen. Sollte sich die Web Environment Integrity API durchsetzen, schließen große Dienste zukünftig möglicherweise andere Browser einfach aus. Dann sieht es mit Freiheit und Alternativen ähnlich schlecht aus, wie mittlerweile unter Android.
Fazit: Die Luft wird dünner
Die Zeiten des „Don’t be evil“ Mottos sind längst vorbei: Zwar ist Google (noch?) nicht auf dem Niveau von Microsoft angekommen. Dennoch setzt der Konzern zunehmend mit Nachdruck seine kommerziellen Interessen durch. Jüngst beispielsweise, in dem er gegen die werbefreie YouTube-Oberfläche Invidious vorgeht. Ein solcher Standard sollte daher besser nicht in den Händen von Google liegen, der ihn sehr wahrscheinlich zur Profitmaximierung nutzen möchte. Werbeblocker werden bereits mit konventionellen Methoden auf YouTube eingeschränkt. Zwar sollen laut derzeitigem Stand mit Web Environment Integrity keine Werbeblocker beeinflusst werden. Aber einmal eingeführt, ist dieser Schritt klein – zumal diese Technologie gut ins Konzept passen würde, um die Einnahmen zu steigern.
Schlussendlich läuft es auf eine Art DRM für Webseiten hinaus. Wollen wir wirklich die Technologie im Web, wodurch Bauern ihre Traktoren erst Hacken müssen, um sie bei Defekten zu reparieren? Oder Drucker nach Abschluss eines Tintenabos keine Tinte von anderen Anbietern mehr akzeptieren? Die Liste ließe sich noch um einige Beispiele erweitern – viele Unternehmen sind kreativ, wenn es um das Abschöpfen des Geldes ihrer Kunden geht.
Wer noch immer Google Chrome oder einen anderen auf Chromium basierten Browser nutzt, sollte sich überlegen, ob er durch dessen Verwendung Googles Fantasien wirklich unterstützen möchte.
Weiterführende Infos
- https://gnulinux.ch/web-environment-integrity-api
- https://news.ycombinator.com/item?id=36817305
- https://www.heise.de/news/Web-Environment-Integrity-Grosser-Widerstand-gegen-Googles-Browser-DRM-9228179.html
- https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/
- https://stackdiary.com/web-environment-integrity/
Angrenzende Themen
Diese Dinge haben nicht direkt etwas mit dem Thema dieses Artikels zu tun. Sie haben aber aus meiner Sicht dennoch eine Relevanz, beispielsweise weil es angrenzende Themen sind, die Probleme aufzeigen, welche wir an anderer Stelle bereits haben.
- Diskussion über SafetyNet zur Anfangsphase 2017 in der Community:
https://u-labs.de/forum/android-67/neue-designs-themes-fuer-lineageos-ohne-root-39565?p=436862#post436862 - Tiefer Eingriff in die Privatsphäre seit Windows 10 durch u.a. eindeutige Werbe-IDs
https://www.zdnet.de/88242736/windows-10-greift-standardmaessig-tief-in-die-privatsphaere-ein/ - Fingerabdruck des Browsers ermitteln lassen
https://coveryourtracks.eff.org/ - Mozillas Umsetzung von Manifest V3, die Werbeblocker nicht einschränkt
https://adguard.com/de/blog/firefox-manifestv3-chrome-adblocking.html - Netflix bestätigt 2017, dass sie Geräte mit händisch installierten freien Android-Betriebssystemen sowie gerootete Smartphones blockieren
https://www.androidpolice.com/2017/05/13/netflix-confirms-blocking-rootedunlocked-devices-app-still-working-now/ - Google verdient etwa 80 Prozent seines Geldes durch Werbeeinnahmen
https://fourweekmba.com/de/wie-viel-geld-verdient-google-mit-werbung/ - YouTube kündigt mehr Werbung für Nutzer von Fernsehgeräten an:
https://www.pcgameshardware.de/YouTube-Thema-163920/News/YouTube-liefert-mehr-Werbung-auf-dem-TV-aus-1420125/ - HP sperrt Fremdtinte in Druckern per Software-Aktualisierung
https://www.reddit.com/r/assholedesign/comments/11l4kne/hp_have_updated_their_printers_to_outright_ban/