1 pontos por GN⁺ 2023-12-07 | 1 comentários | Compartilhar no WhatsApp
  • Por causa da estrutura em que notificações de smartphones passam pelos servidores da Apple e do Google, um alerta de que alguns governos podem rastrear usuários por meio de dados de notificações push foi divulgado em uma carta do senador norte-americano Ron Wyden
  • Wyden afirmou que autoridades estrangeiras solicitaram dados às duas empresas para rastrear como determinados apps são usados, e vê essa estrutura como um possível ponto de contato para vigilância governamental
  • A Apple disse à Reuters que não pôde divulgar informações relacionadas por causa do governo federal dos EUA, mas que, após esta divulgação, passará a refletir esse tipo de solicitação com mais detalhes em seu relatório de transparência
  • Segundo uma fonte familiarizada com o assunto, tanto órgãos governamentais estrangeiros quanto dos EUA vinham solicitando metadados de notificações push, usados para vincular usuários de apps de mensagens anônimas a contas específicas da Apple ou do Google
  • O conteúdo das notificações pode ser criptografado pelos desenvolvedores, mas metadados não criptografados, como qual app envia notificações e com que frequência, ainda podem expor padrões de uso de apps

Por que notificações push se tornaram um ponto de contato para vigilância

  • Um alerta de que alguns governos não identificados monitoram usuários de smartphones rastreando suas notificações push surgiu por meio de uma carta do senador norte-americano Ron Wyden ao Departamento de Justiça
  • O alvo da vigilância são os dados de notificações push que passam pelos servidores do Google e da Apple
  • Wyden afirmou que autoridades estrangeiras estão exigindo dados das duas empresas de tecnologia para rastrear smartphones

Pedido de Wyden ao Departamento de Justiça

  • O tráfego de notificações push coloca Apple e Google em uma posição especial, com acesso à forma como os usuários usam seus apps
    • As duas empresas podem se tornar um ponto de contato capaz de facilitar a vigilância governamental sobre o uso de apps específicos
  • Wyden pediu ao Departamento de Justiça que revogue ou modifique políticas que impedem discussões públicas sobre vigilância por notificações push

Resposta da Apple

  • A Apple disse à Reuters que a carta de Wyden permitiu que a empresa divulgasse mais informações sobre como governos vigiam notificações push
  • A posição da empresa é que, anteriormente, o governo federal dos EUA impedia o compartilhamento de informações sobre esse assunto
  • Agora que o método foi revelado, a Apple pretende atualizar seu relatório de transparência para tratar esse tipo de solicitação com mais detalhes

Dados solicitados e como foram usados

  • Na carta de Wyden, a fonte das informações sobre vigilância é apresentada como uma denúncia
  • Uma fonte familiarizada com o assunto confirmou que órgãos governamentais estrangeiros e dos EUA vinham solicitando à Apple e ao Google metadados relacionados a notificações push
  • Esses dados teriam sido usados em tentativas de vincular usuários de apps de mensagens anônimas a contas específicas da Apple ou do Google
  • A fonte da Reuters não revelou quais governos fizeram as solicitações, mas descreveu os solicitantes como “democracias aliadas dos Estados Unidos”
  • Não se sabe há quanto tempo essas solicitações vinham ocorrendo

Recomendações aos desenvolvedores e pontos de exposição remanescentes

  • A Apple recomenda que desenvolvedores não incluam dados sensíveis em notificações
  • A empresa também recomenda criptografar os dados antes de colocá-los no payload da notificação
  • No entanto, essa medida de proteção precisa ser implementada pelos próprios desenvolvedores
  • Metadados, como qual app envia uma notificação e com que frequência, não são criptografados
  • Uma entidade com acesso a esses metadados pode obter informações sobre como o usuário usa seus apps

1 comentários

 
GN⁺ 2023-12-07
Comentários do Hacker News
  • Isto é duplicado de https://news.ycombinator.com/item?id=38543155
    • Parece ser a resposta/admissão da Apple à revelação do senador. A menos que a Reuters tenha atualizado a matéria
  • Qual seria a solução?
    Rodo o UnifiedPush em um servidor Nextcloud e uso o app Nextpush no dispositivo. Alguns apps usam isso
    Alguns apps usam WebSockets, mas, pelo que entendo, mantê-los rodando continuamente em segundo plano consome muitos recursos
    Alguns apps conseguem receber notificações push apoiando-se no app Cheogram
    Uso um fork do Android sem Google Play Services, mas não sei o que é possível no iPhone
  • Então, se desativar as notificações push, o rastreamento também deixa de acontecer?
    • Acho que isso só impede que elas apareçam no celular. O app provavelmente ainda tentará enviar notificações pelos servidores da Apple
      Se você desativar dentro do próprio app, e não nas configurações do celular, talvez funcione