- A proposta Web Environment Integrity do Google é apresentada sob o pretexto de tornar o ambiente do navegador "confiável", mas na prática é avaliada como uma tentativa de neutralizar bloqueadores de anúncios (ad blockers)
- É estruturalmente semelhante ao Palladium que a Microsoft tentou incluir no Vista e depois abandonou, e tecnologias de atestação e integridade podem ser abusadas para impor DRM e bloquear aplicativos concorrentes
- Foi inspirada na Play Integrity API (SafetyNet) do Android, mas como usuários com root e ROMs customizadas já a contornam com facilidade, sua eficácia é questionável
- Se for adotada, bancos como o Chase podem passar a exigir Secure Boot ou a proibição de bloqueadores de anúncios como condição para pagamentos, levantando o temor de um retorno à web fechada do início dos anos 2000
- A posição é que, assim como o Palladium foi barrado, também seria possível impedir a tentativa do Google por meio de regulação e pressão
O que é a Web Environment Integrity e qual sua intenção
- A proposta Web Environment Integrity do Google é apresentada como uma forma de verificar se o ambiente do navegador é "confiável", mas seu objetivo real seria eliminar bloqueadores de anúncios
- Como premissa do texto, o autor esclarece que trabalha na Microsoft, mas não atua com Windows nem Edge, e que se trata de uma opinião pessoal baseada no seu próprio entendimento, não de uma compreensão completa da tecnologia
Semelhanças com o Microsoft Palladium
- A Web Environment Integrity é muito parecida com o Palladium que a Microsoft tentou colocar no Vista
- O Palladium era uma tentativa de reforçar a segurança do Windows com atestado (attestation) e integridade (integrity)
- Ao mesmo tempo, poderia ser usado de forma abusiva para impor DRM em todo o PC e bloquear apps concorrentes "não confiáveis", como o Firefox
- No fim do longo e doloroso processo de desenvolvimento do Vista, o Palladium foi descartado, permitindo o lançamento do sistema
- O Palladium foi renomeado para "Next-Generation Secure Computing Base", mas continuou sendo chamado de Palladium
- Alguns recursos como BitLocker, UEFI Secure Boot (Windows 8) e a exigência de TPM (Windows 11) chegaram a ser implementados, mas podem ser desativados ou contornados
Base na Play Integrity API e a realidade das burlas
- O Google se inspirou na Play Integrity API (SafetyNet) do Android
- Essa API é frequentemente usada para impedir que aparelhos com root utilizem certos apps, como Netflix, Google Pay e aplicativos bancários
- Usuários que fazem root e usam ROMs customizadas como LineageOS escondem o root de apps maliciosos para passar nas verificações
- Mesmo em um OnePlus 11 com um build não oficial do LineageOS instalado, o Google Pay é usado normalmente no dia a dia
- Até em aparelhos Pixel do próprio Google, como o Pixel 7, é fácil contornar isso, o que levanta a dúvida se o Google percebe o quanto a Play Integrity é burlada com frequência
- A menos que apenas binários oficialmente assinados do Chrome sejam permitidos, não há como impedir que o Chromium seja modificado para falsificar a verificação
Preocupações com adoção por bancos e fintechs
- Hoje já existem casos assim na web, como o do Chase Bank
- O Chase afirma que apenas Windows ou Mac são "necessários" e, sem alterar o user agent, bloqueia acesso de BSD e Linux-on-ARM
- Isso não vira notícia porque o Chase permite Linux-on-x86 e Chrome OS, cada um com participação acima de 2% a 3%
- Na prática, é possível fazer login no Chase.com de um notebook Fedora sem nenhuma modificação
- Se o Chase adotar Web Environment Integrity
- Poderá impor aos clientes o pior da web do início dos anos 2000, talvez abrindo exceções apenas para Chromebook e distribuições Linux comuns para evitar reação negativa
- Indo além, poderá tornar Secure Boot e a remoção de bloqueadores de anúncios obrigatórios para pagar cartão de crédito ou hipoteca
- Isso não se limitaria ao Chase; valeria para todos os bancos, e seria ainda pior em fintechs que exigem apps próprios para atendimento e pagamentos de faturas (ex.: X1 credit card)
Regulação e caminhos de resposta
- Se a Web Environment Integrity for introduzida, todos os governos deveriam regular Google, Apple, Microsoft e a adtech de todas as formas possíveis
- Seria necessário acrescentar requisitos de desagregação (unbundling) para que qualquer navegador possa ser atestado, desde que não seja malware evidente
- Na época do Windows 8, o UEFI Secure Boot não conseguiu excluir o Linux
- Houve pressão sobre a Microsoft para assinar distribuições Linux, e o risco antitruste de eliminar o Linux de desktop pesou na decisão
- Da mesma forma, seria possível forçar o Google a permitir navegadores pequenos como Vivaldi e Tor Browser
Perspectiva e conclusão
- Seria melhor se a API Web Environment Integrity desaparecesse em um branch abandonado do Chromium, como aconteceu com o Palladium
- Também se presume que o código-fonte do Windows Longhorn anterior ao reset, que competia com o Palladium, ainda sobreviva abandonado em algum servidor esquecido do Azure DevOps
- Essa luta não é impossível de vencer
- Há o precedente de que foi possível barrar o Palladium mesmo enfrentando a Microsoft rica em recursos, a indústria de PCs e até a NSA e a MPAA
- Se houver resistência forte, também será possível impedir a tentativa antiusuário de Web Integrity do Google
1 comentários
Opiniões do Hacker News
O fato de termos vencido a luta contra o Palladium foi, na prática, uma vitória de Pirro. A Microsoft aplicou essa ideia ao XBox e ao Azure Sphere, e agora ela está voltando, com a integração do Pluton, como requisito futuro de hardware do Windows para estações de trabalho seguras
https://www.microsoft.com/en-us/security/blog/2020/11/17/mee...
Acho que quem se interessa principalmente pelo lado UNIX não percebe muito bem que o próximo PC pode vir com uma CPU Pluton
https://www.thurrott.com/hardware/260917/here-come-the-first...
O problema aqui é que a maioria das pessoas não se importa. Expliquei a situação para minha namorada ontem à noite, tomando umas bebidas; ela é uma acadêmica avançada de outra área, com forte base em matemática e lógica, mas não conseguiu formar uma opinião além de “qual é o problema se as coisas que eu uso continuarem funcionando?”
Entendo a reação, já que é um risco hipotético, mas os efeitos colaterais são, no geral, negativos, e a natureza da web aberta está em risco. As pessoas sempre veem apenas o caminho seguro no meio da floresta, não o monstro que salta dois passos atrás para devorá-las
Obter esse carimbo não seria obrigatório, e o computador continuaria funcionando normalmente, mas alguns sites seriam bloqueados. No começo, sites de bancos; depois, sites de streaming; em seguida, serviços de pedido de comida; e, no fim, a maioria dos principais serviços ficaria atrás de um muro até que você pagasse
Essa infraestrutura precisa ser construída e mantida, e não será gratuita; então, seja a FAANG, seja quem operar os serviços de atestado, cobrará dos usuários do serviço, e é bem provável que esse custo seja repassado ao usuário final
O motivo de a parte “aberta” ser realmente importante é que ela significa que qualquer pessoa capaz pode contribuir. Uma acadêmica com forte base em matemática e lógica deveria entender o que não só a indústria, mas a própria ciência, pode perder quando algum poder parecido com uma igreja se arroga o papel de árbitro de quem pode trabalhar
É por isso que existem órgãos reguladores e várias instituições, que precisam se manter informados e atentos de forma contínua. Não devem agir apenas depois de uma explosão de indignação pública
O problema é a captura regulatória, e o fato de essas instituições estarem falhando em sua missão de proteger os interesses de quem as financia. Isso não é uma questão técnica, mas um problema nos fundamentos da democracia e da governança; se você não vai se importar, é melhor parar de votar e aceitar que vive em uma oligarquia corporativa
No nível nacional, vira algo como por que deveríamos ajudar a Ucrânia ou Taiwan, ou por que deveríamos reduzir nossa pegada de carbono. Canos de chumbo funcionavam bem, amianto funcionava bem, fumar parecia aceitável, mas no fim não era
Efeitos de segunda ordem exigem experiência e educação, e as pessoas não entendem bem a causalidade quando as consequências não são imediatas
Claro que, nessa noite, é bem provável que você acabe dormindo no sofá
É uma loucura que a tecnologia digital no Ocidente tenha acabado totalmente dominada por algumas empresas de publicidade. Os conflitos de interesse com objetivos sociais e econômicos são enormes, e a solução é simples e natural.
O fato de um problema tão grave não estar sendo tratado com a prioridade máxima e a competência que merece diz mais sobre o estado do sistema político dos EUA do que o episódio do sujeito com chifres invadindo o Capitólio.
Nessa escala, os únicos concorrentes relevantes são outras empresas de publicidade, e ninguém mais consegue monetizar dispositivos digitais arbitrários com tanta eficácia.
Por isso elas precisam ser politicamente ativas e eficazes, e foi bom o texto original apontar isso. É parecido com lembrar as pessoas de votar quando se fala dos resultados produzidos por ocupantes de cargos eletivos.
Que outro negócio, além do de publicidade, poderia dizer com segurança: “não importa que tecnologia digital inventemos; se ela ficar popular, poderemos ganhar montanhas de dinheiro”? Parece quase o lema das empresas de tecnologia dominantes. Os vários casos de assistentes domésticos que fracassaram deixam isso claro. Eles eram populares, mas as empresas de tecnologia não conseguiram encontrar uma forma de inserir anúncios na experiência do usuário, então não ganharam dinheiro.
Por exemplo, a IA pode superar a capacidade dos EUA de dominar a narrativa digital ocidental, fazendo com que cada país tenha sua própria narrativa digital; ou então o vencedor da guerra tecnológica e econômica entre EUA e China assumirá esse papel. Seria bom haver uma terceira alternativa, mas por enquanto as outras hipóteses parecem ultrapassadas.
Cresci na Índia, e a maior parte da população não tem acesso a hardware de ponta. Se os sites começarem a adotar esse tipo de mudança, muita gente será cortada da internet.
A maioria dessas pessoas pertence a comunidades marginalizadas. A Índia tem um histórico de discriminação com base em casta, e essa mudança pode restringir ainda mais os recursos online disponíveis para essas comunidades, desfazendo o progresso alcançado até agora. É absurdo.
A esmagadora maioria dos usuários de internet na Índia usa celular, e a Xiaomi e outras OEMs chinesas lideram o mercado. Elas vendem telefones que quebram depois de 1 ou 2 anos e têm atualizações OTA péssimas. Alguns fazem downgrade ou usam ROMs customizadas, mas a grande maioria compra um telefone novo a cada 2 ou 3 anos, às vezes até todo ano. Mesmo os mais pobres às vezes compram iPhones parcelados. Além disso, nem é preciso comprar um aparelho caro; qualquer telefone certificado pelo GMS dos últimos anos já tem isso.
Computadores de verdade são, em sua maioria, desktops prontos ou notebooks, e desde 2013 vêm com Secure Boot. A última versão do Windows sem TPM obrigatório perderá suporte em 2025, e a Microsoft vai pressionar as pessoas a fazer upgrade.
Esses são aparelhos antigos. Se o notebook tiver sido lançado nos últimos 4 anos, provavelmente conseguirá acessar a nova web fechada, então a substituição não será tão difícil.
Na verdade, espero que esse “fim da internet” chegue muito rápido. Assim as pessoas vão perceber. Um dia, as pessoas precisam acordar e descobrir que o acesso à web foi bloqueado em seus aparelhos caros. Se isso acontecer como água aquecendo devagar, será tarde demais para impedir de novo.
É importante notar que conseguir “enganar” o SafetyNet/Play Integrity se deve à compatibilidade com dispositivos antigos. O nível mais forte do Play Integrity, MEETS_STRONG_INTEGRITY, não pode ser falsificado em dispositivos com bootloader desbloqueado.
O motivo de isso ainda não ser um grande problema é que muitos apps ainda não exigem esse nível, e ainda há muitos dispositivos antigos que não passam por falta de hardware ou por usarem versões antigas do Android.
Em alguns anos, haverá poucos dispositivos não desbloqueados mas incompatíveis com MEETS_STRONG_INTEGRITY, e os apps começarão a exigi-lo. Então, para a maioria dos usuários que ainda desbloqueiam o bootloader, isso provavelmente será o fim do desbloqueio do bootloader.
Se for para falar da FSF nesse assunto, não dá para deixar de mencionar o texto de Stallman, Right to Read.
https://www.gnu.org/philosophy/right-to-read.html
Foi escrito há 26 anos, e vale reler para ver o quanto ele acertou.
Um dos “problemas” que isso tenta resolver é que o anunciante “precisa saber” se quem vê o anúncio é uma pessoa, não um robô.
Mas isso é unilateral demais. Nesse caso, o usuário também deveria ter o direito de saber se a responsabilidade por fazê-lo ver esse anúncio é de uma pessoa, não de um robô. Claro que, na prática, não é assim. Esse modelo vai colocar o inimigo, ou seja, o usuário, de joelhos, e dar acesso a automação e verificação de integridade apenas aos anunciantes.
Pouca gente se oporia muito a ver anúncios de ferramentas elétricas em um fórum de DIY ou anúncios de ferramentas para desenvolvedores no Stack Overflow. O problema é ser bombardeado por golpes óbvios, jogos mobile abarrotados de microtransações, cassinos online e coisas que não trazem nenhum benefício para mim como consumidor. Talvez o Google devesse se concentrar um pouco mais em verificar o consumidor, isto é, a integridade dos anunciantes.
Não acho que isso será descartado facilmente. O Google tem um histórico conhecido de abandonar projetos, mas isso não costuma se aplicar a coisas diretamente relacionadas à venda de anúncios de busca.
Eu esperava que líderes mundiais se opusessem mais abertamente ao fato de as liberdades de seus cidadãos, e as deles próprios, serem limitadas unilateralmente por uma empresa americana que parece ter respirado fundo o cheiro do autoritarismo.
Não tenho certeza se bloqueadores de anúncios são um problema tão grande assim para o Google. Especialmente no mobile, eles não são muito usados, e o mundo está claramente migrando para o mobile
Alguém sabe qual é a estimativa do impacto financeiro dos bloqueadores de anúncios?
Fraude em anúncios parece ser um problema muito maior. Alguns poderiam argumentar que fraude em anúncios não é problema do Google, mas ainda assim prejudica o Google
Ou talvez haja uma terceira razão que não me vem à mente agora. Bloqueio de anúncios parece algo nichado demais. Será que não é só uma tentativa de tornar mais forte o monopólio de rastreamento de usuários?
Além disso, sinceramente, mesmo que o objetivo seja combater fraude em anúncios, não me importo. Isso não é problema meu e, antes de tudo, é um problema criado pelo Google; por que eu deveria pagar o custo para que o Google ganhe mais dinheiro? Se realmente quer impedir fraude em anúncios, basta sair do negócio de publicidade. Problema resolvido
Outros navegadores já lideraram em proteção contra rastreamento e controle de cookies de terceiros, e isso afetou o modelo de negócios do Google. Por isso o Google criou o Chrome, investiu para que as pessoas o preferissem, promoveu-o em seus próprios sites e criou um jardim murado com Chrome Sync e Passwords
Depois, quando você fazia login no Gmail, passou a fazer login também no Chrome, usando isso para reduzir a privacidade. Mesmo que um site não use anúncios do Google, ele rastreia os sites visitados e usa isso para melhorar os anúncios
No Android, o único gerenciador de senhas limitado ao próprio navegador é o do Google, e há uma razão para isso
Quem manipulou os dados foi o próprio Google, então ele deveria culpar a si mesmo