作者 / Android 团队
Android WebView 是一个功能强大且灵活的 API,在它的帮助下,Android 开发者可以将媒体嵌入到他们的应用中,而我们团队的首要任务则是不断改进其 安全性和隐私保护。例如,嵌入式媒体供应商应该能够验证,其媒体是否在可信且安全的环境中播放。Android 应用开发者和 SDK 供应商已就此提供了解决方案,包括 Play Integrity API 和 Firebase App Check 等认证服务,这些服务可以保护用户隐私,同时允许开发者能够验证其应用的服务器请求。目前,虽然应用开发者能够将信息通过这些认证服务传递给嵌入式内容供应商,但流程既不简单,也不可扩展。因此,我们将于明年初在部分嵌入式媒体供应商中对实验性 Android WebView Media Integrity API 进行小规模试点测试。
这与 Web Environment Integrity API 提案有何关系?
根据用户的反馈意见,Chrome 团队将不再考虑实施 Web 环境完整性 (Web Environment Integrity) 提案。相比之下,Android WebView Media Integrity API 的范围较窄,并且仅针对嵌入应用中的 WebView。该 API 仅扩展了具有 Google 移动服务 (GMS) 的 Android 设备上现有的功能,并且没有计划将其扩展到嵌入式媒体 (例如流式传输视频和音频) 或 Android WebViews 以外的功能。
Android WebViews 面临什么样的挑战?
Android WebView API 可帮助应用开发者显示嵌入媒体的网页,并增强了对界面的控制和高级配置选项,以便在应用中无缝集成。这为开发者带来了更多的灵活性,但同时该 API 也可能被滥用或用于欺诈行为,因为它允许应用开发者访问 Web 内容,并拦截或修改用户与 Web 的交互。虽然这能在开发者为应用嵌入 Web 内容时带来好处,但并不能阻止不良行为者修改内容,或通过代理歪曲内容来源。
我们为嵌入式 Android WebView 媒体引入了哪些功能?
借助新的 Android WebView Media Integrity API,嵌入式媒体供应商能够访问定制的完整性响应,该响应包含设备和应用的完整性判定,这样一来,无论用户从哪个应用商店安装了嵌入式应用,供应商都可确保其流媒体在安全和可信的环境中运行。这些判定是关于应用和设备的简单、低熵元数据,不包含任何用户或设备标识符。与使用 Play Integrity API 的应用和游戏不同,媒体供应商将无法获得应用的 Google Play 许可状态,并且应用还可以选择在完整性判定中排除其 package 名称。我们推出此 API 的目标是发展 Android 应用中蓬勃发展的多元化媒体内容生态系统。如果您是媒体内容供应商,欢迎您即刻加入我们明年初的 抢先体验计划。
版权声明
禁止一切形式的转载-禁止商用-禁止衍生 申请授权
