1 Punkte von GN⁺ 2023-07-28 | 1 Kommentare | Auf WhatsApp teilen
  • Googles Vorschlag für Web Environment Integrity soll angeblich Browser-Umgebungen „vertrauenswürdig“ machen, wird tatsächlich aber als Versuch gewertet, Ad Blocker außer Kraft zu setzen
  • Er ähnelt strukturell Palladium, das Microsoft einst in Vista integrieren wollte und später verwarf; Attestierungs- und Integritätstechniken könnten zur Durchsetzung von DRM und zum Blockieren konkurrierender Anwendungen missbraucht werden
  • Inspiriert von Androids Play Integrity API (SafetyNet), deren Wirksamkeit jedoch fraglich ist, da Nutzer mit Root-Zugriff und Custom ROMs sie bereits leicht umgehen
  • Bei einer Einführung könnten Banken wie Chase Secure Boot oder ein Verbot von Ad Blockern zur Bedingung für Zahlungen machen; es droht eine Rückkehr zum geschlossenen Web der frühen 2000er
  • Wie im Fall von Palladium sei es möglich, auch Googles Vorstoß durch Regulierung und Druck zu stoppen

Wesen und Absicht von Web Environment Integrity

  • Googles Vorschlag für Web Environment Integrity gibt vor, zu prüfen, ob eine Browser-Umgebung „vertrauenswürdig“ ist; als eigentliches Ziel wird jedoch die Beseitigung von Ad Blockern gesehen
  • Als Vorbemerkung stellt der Autor klar, dass er zwar bei Microsoft arbeitet, aber nicht für Windows oder Edge zuständig ist, und dass es sich um seine persönliche Einschätzung auf Basis seines eigenen Verständnisses handelt, nicht um ein vollständiges Verständnis der Technik

Ähnlichkeiten mit Microsoft Palladium

  • Web Environment Integrity ähnelt stark Palladium, das Microsoft in Vista integrieren wollte
    • Palladium war ein Versuch, die Sicherheit von Windows durch zusätzliche Attestierung (attestation) und Integrität (integrity) zu verbessern
    • Zugleich hätte es für die Durchsetzung von DRM auf dem gesamten PC und zum Blockieren „nicht vertrauenswürdiger“ Konkurrenz-Apps wie Firefox missbraucht werden können
    • Nach der langen und schmerzhaften Entwicklung von Vista wurde Palladium verworfen, wodurch Vista schließlich erscheinen konnte
  • Palladium wurde in „Next-Generation Secure Computing Base“ umbenannt, blieb aber allgemein unter dem Namen Palladium bekannt
    • Einige Funktionen wie BitLocker, UEFI Secure Boot (Windows 8) und die TPM-Anforderung (Windows 11) wurden tatsächlich umgesetzt, lassen sich jedoch deaktivieren oder umgehen

Grundlage Play Integrity API und Realität der Umgehung

  • Google griff Anregungen aus Androids Play Integrity API (SafetyNet) auf
    • Diese API wird häufig eingesetzt, um gerootete Geräte daran zu hindern, bestimmte Apps wie Netflix, Google Pay oder Banking-Apps zu nutzen
  • Nutzer, die nach dem Rooten Custom ROMs wie LineageOS verwenden, verstecken Root vor bösartigen Apps und bestehen so die Prüfungen
    • Selbst auf einem OnePlus 11 mit inoffiziellem LineageOS-Build wird Google Pay im Alltag verwendet
    • Da die Umgehung selbst auf Googles eigenen Pixel-Geräten wie dem Pixel 7 einfach ist, stellt sich die Frage, ob Google nicht weiß, wie häufig Play Integrity geknackt wird
  • Solange nicht ausschließlich offiziell signierte Chrome-Binärdateien zugelassen werden, gibt es keine Möglichkeit zu verhindern, dass Chromium so verändert wird, dass die Prüfungen gefälscht werden

Sorgen bei Banken und Fintechs

  • Schon heute gibt es im Web Beispiele wie Chase Bank
    • Chase behauptet, nur Windows oder Mac seien „erforderlich“, und blockiert ohne Änderung des User Agents den Zugriff von BSD und Linux-on-ARM
    • Dass dies nicht in den Medien landet, liegt daran, dass Chase Linux-on-x86 und Chrome OS zulässt, die jeweils mehr als 2–3 % Marktanteil haben
    • Tatsächlich ist auf einem Fedora-Laptop der Login bei Chase.com ohne Änderungen möglich
  • Falls Web Environment Integrity bei Chase eingesetzt würde
    • könnte Chase Kunden das Schlimmste des Webs der frühen 2000er aufzwingen und womöglich nur Chromebooks und gängige Linux-Distributionen ausnehmen, um Gegenwehr zu vermeiden
    • Darüber hinaus könnten für Kreditkarten- und Hypothekenzahlungen Secure Boot und die Entfernung von Ad Blockern verpflichtend werden
    • Das betrifft nicht nur Chase, sondern alle Banken; noch gravierender ist es bei Fintechs, die für Kundendienst und Rechnungszahlung eigene Apps verlangen (z. B. X1 credit card)

Regulierung und mögliche Reaktion

  • Sollte Web Environment Integrity eingeführt werden, müssten alle Regierungen Google, Apple, Microsoft und Adtech auf jede mögliche Weise regulieren
    • Nötig wäre eine zusätzliche Unbundling-Anforderung (unbundling), damit jeder Browser attestiert werden kann, solange es sich nicht um offensichtliche Malware handelt
  • In der Windows-8-Ära konnte UEFI Secure Boot Linux nicht ausschließen
    • Microsoft wurde unter Druck gesetzt, Linux-Distributionen zu signieren, und die kartellrechtliche Sorge vor einem Verschwinden von Desktop-Linux spielte eine Rolle
    • Auf dieselbe Weise ließe sich Google zwingen, kleinere Browser wie Vivaldi und Tor Browser zuzulassen

Ausblick und Fazit

  • Es wäre besser, wenn die Web Environment Integrity API wie Palladium in einem aufgegebenen Chromium-Branch verschwindet
    • Auch der Quellcode von Windows Longhorn vor dem Reset, der einst mit Palladium konkurrierte, liegt vermutlich noch immer unbeachtet auf einem vergessenen Azure-DevOps-Server
  • Dieser Kampf ist nicht ungewinnbar
    • Es gibt den Präzedenzfall, dass Palladium erfolgreich gestoppt wurde – gegen das ressourcenstarke Microsoft, die PC-Branche und sogar NSA und MPAA
    • Wenn man entschieden dagegenhält, lässt sich auch Googles nutzerfeindlicher Web-Integrity-Vorstoß stoppen

1 Kommentare

 
GN⁺ 2023-07-28
Meinungen auf Hacker News
  • Dass der Kampf gegen Palladium gewonnen wurde, war im Grunde ein Pyrrhussieg. Microsoft hat die Idee auf Xbox und Azure Sphere angewandt, und nun kehrt sie über die Integration von Pluton als künftige Windows-Hardwareanforderung für sichere Workstations zurück
    https://www.microsoft.com/en-us/security/blog/2020/11/17/mee...
    Leute, die vor allem an UNIX interessiert sind, bekommen vermutlich kaum mit, dass im nächsten PC eine Pluton-CPU stecken könnte
    https://www.thurrott.com/hardware/260917/here-come-the-first...

    • Es gibt einen Grund, warum sich so viele Menschen für RISC-V interessieren
    • Soweit ich weiß, hat AMD gesagt, dass es die Pluton-Funktionalität nicht standardmäßig aktiviert, sondern Unternehmenskunden sie bei Bedarf einschalten können
  • Das Problem hier ist, dass es den meisten egal ist. Ich habe meiner Freundin gestern Abend bei einem Drink die Situation erklärt; sie ist eine hochqualifizierte Wissenschaftlerin in einem anderen Fachgebiet und hat auch einen starken Hintergrund in Mathematik und Logik, aber über „Warum ist das ein Problem, solange die Dinge, die ich nutze, weiter funktionieren?“ hinaus entwickelte sie keine Meinung
    Da es sich um ein hypothetisches Risiko handelt, kann ich diese Reaktion verstehen, aber die Nebenwirkungen sind insgesamt negativ, und der Charakter des offenen Webs ist in Gefahr. Die Leute sehen immer nur den sicheren Weg mitten im Wald, nicht das Monster, das zwei Schritte hinter ihnen hervorspringt und sie frisst

    • Bei Leuten, die fragen: „Warum ist das ein Problem, solange die Dinge, die ich nutze, weiter funktionieren?“, ist der einfachste Ansatz das Geld. Lass Ideologie, Praktikabilität, Sicherheit und Überwachung einmal außen vor und frag sie, was sie davon hielten, wenn sie ab morgen jedes Mal, wenn sie einen Computer wie ein iPad, ein Telefon, einen PC oder einen Mac kaufen, für einen Genehmigungsstempel den Gegenwert von 100 Dollar in lokaler Währung zahlen müssten und danach jeden Monat 10 Dollar für die Verlängerung einer Attestierungs-Lizenz
      Dieser Stempel wäre nicht verpflichtend, und der Computer würde weiterhin normal funktionieren, aber einige Websites wären gesperrt. Zuerst Bankseiten, dann Streaming-Seiten, danach Essensbestelldienste, und am Ende würden die meisten wichtigen Dienste hinter einer Mauer verschwinden, bis man bezahlt
      Diese Infrastruktur muss aufgebaut und gewartet werden und wird nicht kostenlos sein; daher werden vermutlich entweder FAANG oder die Betreiber der Attestierungsdienste die Dienstanbieter zur Kasse bitten, und diese Kosten werden wahrscheinlich an die Endnutzer weitergereicht
    • Ich war einmal ein obdachloser Jugendlicher, der vor einer Sekte floh, und ohne Software hätte ich es nicht herausgeschafft. Bei etwas wie WEI geht es im Kern darum zu regulieren, wer Software nutzen darf, und wenn es damals WEI gegeben hätte, wäre ich meiner Ansicht nach vielleicht gestorben
      Der „offene“ Teil ist deshalb wirklich wichtig, weil er bedeutet, dass jeder beitragen kann, der die Fähigkeit dazu hat. Eine Wissenschaftlerin mit starkem Mathematik- und Logik-Hintergrund sollte verstehen, was nicht nur die Industrie, sondern die Wissenschaft selbst verlieren kann, wenn irgendeine kirchenartige Macht sich anmaßt, darüber zu richten, wer arbeiten darf
    • Die meisten Menschen haben weder die Qualifikation noch ausreichend Informationen, um sich sinnvoll darum zu kümmern. Bei der Einführung von Medikamenten orientieren wir uns nicht an der Meinung „der meisten Menschen“, und wir führen auch potenziell schädliche Technologien nicht allein auf Basis der Ansichten einer schlecht informierten Öffentlichkeit ein
      Deshalb gibt es Regulierungsbehörden und verschiedene Institutionen, und sie müssen dauerhaft informiert sein und sich kümmern. Sie sollten nicht erst dann handeln, wenn öffentliche Empörung explodiert
      Das Problem ist regulatory capture, also die Vereinnahmung der Regulierung, und dass solche Institutionen in ihrer Aufgabe versagen, die Interessen der Menschen zu schützen, die sie finanzieren. Das ist kein technisches Problem, sondern ein grundlegendes Problem von Demokratie und Governance; wenn einen das nicht kümmert, kann man auch aufhören zu wählen und akzeptieren, in einer Unternehmensoligarchie zu leben
    • Die Haltung „Warum ist es ein Problem, wenn das, was ich nutze, weiter funktioniert?“ gibt es an vielen Stellen. Auf individueller Ebene sieht man das bei der Gesundheit, ähnlich wie bei einem Kind, das jeden Tag nur Pommes und Eis essen will. In der Bildung will man den ganzen Tag nur Videospiele und TikTok-Videos schauen, die die Aufmerksamkeit fesseln
      Auf nationaler Ebene wird daraus dann: Warum sollten wir der Ukraine oder Taiwan helfen, warum sollten wir unseren CO₂-Fußabdruck reduzieren? Bleirohre funktionierten auch gut, Asbest funktionierte auch gut, Rauchen sah auch okay aus, aber am Ende war es das nicht
      Effekte zweiter Ordnung erfordern Erfahrung und Bildung, und wenn die Folgen nicht unmittelbar eintreten, verstehen Menschen Kausalzusammenhänge schlecht
    • Man könnte sagen: „Bist du sicher, dass es weiter funktionieren wird? Es gibt eine eigene Website nur für die Produkte, die Google eingestellt hat – warum glaubst du, dass das, was du nutzt, so besonders ist, dass sie es garantiert nicht einstellen?“
      Natürlich ist die Wahrscheinlichkeit groß, dass man in dieser Nacht auf dem Sofa schläft
  • Es ist verrückt, dass digitale Technologie im Westen vollständig von einigen wenigen Werbeunternehmen beherrscht wird. Die Interessenkonflikte mit gesellschaftlichen und wirtschaftlichen Zielen sind enorm, und die Lösung ist einfach und naheliegend.
    Dass ein so schwerwiegendes Problem nicht mit der höchsten Priorität und Kompetenz behandelt wird, die es verdient, sagt mehr über den Zustand des politischen Systems der USA aus als der Vorfall, bei dem ein Mann mit Hörnern das Kapitol stürmte.

    • Wenn man kurz darüber nachdenkt, ist das fast vorhersehbar. Werbung ist die einzige oder effektivste Methode, um jedes digitale Gerät zu monetarisieren. Deshalb haben Werbetreibende ein Interesse an nahezu jeder mit dem Internet verbundenen digitalen Technologie und können jeden Bereich als zusätzliche Werbeeinnahmequelle nutzen.
      In dieser Größenordnung sind die einzigen relevanten Wettbewerber andere Werbeunternehmen, und niemand sonst kann beliebige digitale Geräte so effektiv monetarisieren.
      Deshalb müssen sie politisch aktiv sein und effektiv handeln, und es war gut, dass der Originalbeitrag genau darauf hingewiesen hat. Das ist ähnlich, wie Menschen beim Umgang mit den Folgen gewählter Amtsträger ans Wählen erinnert werden.
      Welches Geschäft außer dem Werbegeschäft kann schon sicher sagen: „Es ist egal, welche digitale Technologie wir erfinden; solange sie beliebt ist, können wir damit Berge von Geld verdienen“? Für mich klingt das fast wie das Motto dominanter Tech-Unternehmen. Die gescheiterten Fälle mehrerer Home Assistants zeigen das deutlich. Sie waren beliebt, aber die Tech-Unternehmen fanden keinen Weg, Werbung in die User Experience einzubauen, und verdienten deshalb kein Geld.
    • US-Big-Tech bestimmt einen großen Teil des Narrativs über technologische Entwicklungen, und aus Sicht der Games-Branche ist die USA ohnehin schon beinahe eine Pay-to-win-Gesellschaft, daher überrascht das nicht. Das Nächste sollte eher überraschen.
      Zum Beispiel könnte KI die Fähigkeit der USA überholen, das westliche digitale Narrativ zu dominieren, sodass jedes Land sein eigenes digitales Narrativ bekommt; oder der Gewinner des Technologie- und Wirtschaftskriegs zwischen den USA und China wird diese Rolle übernehmen. Eine dritte Alternative wäre schön, aber derzeit wirken andere Annahmen überholt.
    • Auch die Mainstream-Medien sind Werbeplattformen, daher ist es nicht überraschend, dass dieses Problem nicht diskutiert oder gelöst wird.
    • Ich bezweifle, dass die Lösung wirklich so einfach und naheliegend ist.
  • Ich bin in Indien aufgewachsen, und der Großteil der Bevölkerung hat keinen Zugang zu aktueller Hardware. Wenn Websites anfangen, solche Änderungen einzuführen, werden viele Menschen vom Internet abgeschnitten.
    Die meisten von ihnen gehören marginalisierten Gemeinschaften an. Indien hat eine Geschichte der Diskriminierung von Menschen auf Basis der Kaste, und diese Änderung könnte die Online-Ressourcen, die solchen Gemeinschaften zur Verfügung stehen, weiter einschränken und die bisherigen Fortschritte zunichtemachen. Das ist absurd.

    • In Android- und iOS-Smartphones, die in den letzten Jahren verkauft wurden, steckt bereits so etwas wie ARM TrustZone oder Secure Enclave. Es ist schon da.
      Die überwältigende Mehrheit der indischen Internetnutzer ist mobil unterwegs, und Xiaomi sowie andere chinesische OEMs führen den Markt an. Sie verkaufen Smartphones, die nach ein oder zwei Jahren kaputtgehen und miserable OTA-Updates bekommen. Manche downgraden oder nutzen Custom-ROMs, aber die meisten kaufen alle zwei bis drei Jahre, teils sogar jedes Jahr, ein neues Smartphone. Selbst die Ärmsten kaufen iPhones auf Raten. Außerdem muss man gar kein teures Gerät kaufen; jedes in den letzten Jahren erschienene GMS-zertifizierte Smartphone hat das alles.
      Echte Computer sind meist Fertig-PCs oder Laptops, und seit 2013 haben sie Secure Boot. Die letzte Windows-Version ohne verpflichtendes TPM verliert 2025 den Support, und Microsoft wird die Leute zum Upgrade drängen.
      Das sind alte Geräte. Wenn ein Laptop in den letzten vier Jahren erschienen ist, dürfte er Zugriff auf das neue geschlossene Web haben, daher wird ein Austausch nicht allzu schwer sein.
      Eigentlich hoffe ich, dass dieses „Ende des Internets“ sehr schnell kommt. Dann bemerken es die Leute. Eines Tages müssen die Menschen aufwachen und feststellen, dass ihnen auf ihren teuren Geräten der Webzugang verwehrt wird. Wenn es langsam wie kochendes Wasser passiert, wird es wieder zu spät sein, es aufzuhalten.
    • Die tatsächliche Beschränkung kommt vermutlich erst in etwa 10 Jahren, vielleicht sogar 15. Letztlich ist das ein langfristiger Plan, um die Welt schlechter zu machen, keine spontane Idee. Werden die Leute bis dahin ihre Hardware nicht erneuert haben?
  • Wichtig ist, dass man SafetyNet/Play Integrity wegen der Kompatibilität mit älteren Geräten „austricksen“ kann. Die stärkste Play-Integrity-Stufe, MEETS_STRONG_INTEGRITY, lässt sich auf Geräten mit entsperrtem Bootloader nicht fälschen.
    Der Grund, warum das derzeit kein großes Problem ist, ist, dass noch nicht viele Apps das verlangen, und dass es immer noch viele ältere Geräte gibt, die mangels Hardware oder wegen einer veralteten Android-Version nicht bestehen.
    In ein paar Jahren wird die Zahl der Geräte, die nicht entsperrt, aber nicht mit MEETS_STRONG_INTEGRITY kompatibel sind, ausreichend zurückgegangen sein, und Apps werden anfangen, das zu verlangen. Dann wird das für die meisten Nutzer, die ihren Bootloader noch entsperren, sehr wahrscheinlich das Ende des Bootloader-Unlockings bedeuten.

    • Bei dieser API scheint man von Anfang an Hardware-Attestierung zu verlangen, um genau solche Umgehungsmöglichkeiten zu „beheben“.
  • Wenn man in diesem Zusammenhang über die FSF spricht, darf Stallmans Geschichte Right to Read nicht fehlen.
    https://www.gnu.org/philosophy/right-to-read.html
    Der Text wurde vor 26 Jahren geschrieben, und es lohnt sich, ihn erneut zu lesen, um zu sehen, wie viel davon eingetroffen ist.

  • Eines der „Probleme“, die damit gelöst werden sollen, ist, dass Werbekunden „wissen müssen“, ob auf der Seite, die eine Anzeige sieht, ein Mensch und kein Bot sitzt.
    Aber das ist viel zu einseitig. Dann müssten Nutzer auch das Recht haben zu wissen, ob die Verantwortung dafür, dass ihnen diese Anzeige gezeigt wird, bei einem Menschen liegt und nicht bei einem Bot. Natürlich ist das in der Realität nicht so. Dieser Ansatz wird den Feind, also den Nutzer, in die Knie zwingen und nur Werbekunden Zugang zu Automatisierung und Integritätsprüfung geben.
    Kaum jemand dürfte ernsthaft etwas dagegen haben, in einem DIY-Forum Werbung für Elektrowerkzeuge zu sehen oder auf Stack Overflow Werbung für Entwicklertools. Das Problem ist, dass man mit offensichtlichem Betrug, Mobile Games voller Mikrotransaktionen, Online-Casinos und Dingen bombardiert wird, die mir als Verbraucher keinerlei Nutzen bringen. Google sollte sich vielleicht stärker darauf konzentrieren, die Verbraucher, also die Integrität der Werbekunden, zu überprüfen.

  • Ich glaube nicht, dass das einfach fallen gelassen wird. Google hat zwar eine lange Geschichte darin, Projekte einzustellen, aber das gilt eher nicht für Dinge, die direkt mit dem Verkauf von Suchanzeigen zu tun haben.

    • Sie werden es unter einem neuen Namen wie Privacy Environment Integrity wieder hervorholen, ähnlich wie Privacy Sandbox oder Topics.
  • Ich hätte erwartet, dass führende Politiker der Welt offener dagegen protestieren, dass die Freiheiten ihrer Bürger und ihre eigenen allein durch ein US-Unternehmen eingeschränkt werden, das stark nach Autoritarismus riecht.

  • Ich bin nicht sicher, ob Adblocker für Google wirklich ein so großes Problem sind. Gerade auf Mobilgeräten werden sie nicht viel genutzt, und die Welt bewegt sich eindeutig in Richtung Mobile.
    Weiß jemand, wie hoch die finanziellen Auswirkungen von Adblockern geschätzt werden?
    Ad Fraud scheint ein deutlich größeres Problem zu sein. Manche würden vielleicht argumentieren, dass Ad Fraud nicht Googles Problem ist, aber Google schadet er trotzdem.
    Oder es gibt einen dritten Grund, der mir gerade nicht einfällt. Adblocking wirkt wie eine zu kleine Nische. Geht es nicht einfach darum, das Monopol auf Nutzer-Tracking weiter zu stärken?

    • Google ist ein Werbeunternehmen. Das ist die zentrale Einnahmequelle, und der Rest existiert im Großen und Ganzen, um diesen Geschäftsbereich wachsen zu lassen. Adblocker und alternative Clients zu blockieren, passt vollkommen zum Geschäftsziel, mehr Werbung auszuliefern.
      Und ehrlich gesagt wäre es mir selbst dann egal, wenn das Ziel die Verhinderung von Ad Fraud wäre. Das ist nicht mein Problem, und warum sollte ich die Kosten dafür tragen, damit Google mit einem Problem, das Google überhaupt erst geschaffen hat, noch mehr Geld verdient? Wenn sie Ad Fraud wirklich verhindern wollen, können sie einfach das Werbegeschäft aufgeben. Problem gelöst.
    • Im Moment sind Adblocker noch nicht groß, aber Safari auf iOS und der Samsung Browser auf Android unterstützen Adblocker. Was passiert, wenn Apple oder Samsung beschließen, Adblocker standardmäßig einzubauen? Google versucht, sich gegen zukünftige Entwicklungen abzusichern.
      Andere Browser haben bereits beim Tracking-Schutz und bei der Kontrolle von Drittanbieter-Cookies die Führung übernommen, und das hat Googles Geschäftsmodell beeinflusst. Deshalb hat Google Chrome entwickelt, investiert, damit die Leute ihn bevorzugen, ihn auf den eigenen Websites gepusht und mit Chrome Sync und Passwords einen Walled Garden geschaffen.
      Danach begann Google, das Einloggen in Gmail auch zum Einloggen in Chrome zu nutzen und damit die Privatsphäre zu verringern. Selbst wenn eine Website keine Google-Werbung nutzt, verfolgt Google die besuchten Websites und nutzt das zur Verbesserung von Werbung.
      Unter Android ist der einzige Passwortmanager, der auf den eigenen Browser beschränkt ist, der von Google, und das hat einen Grund.
    • Wegen Adblockern wird so ein riesiges Theater gemacht wie in der Filmindustrie wegen Filmpiraterie. Man behauptet, durch ein paar Leute „Millionen“ zu verlieren, verdient aber trotzdem „Milliarden“.
    • Man schiebt lediglich den aktuellen Google-Ads-Skandal, also die Manipulation von Werbeberichten gegenüber Kunden, auf Adblocker.
      Google hat die Daten selbst manipuliert, also sollte Google sich selbst die Schuld geben.
    • Es geht um mehr als nur Adblocker. Seit das wirtschaftliche Potenzial großer Sprachmodelle und von AI insgesamt erkannt wurde, sind Web-Scraper zu einem großen Problem geworden. Etablierte Schwergewichte könnten es Wettbewerbern schwerer machen wollen, eigene Bots zu betreiben.