iOS και Android: Η αστυνομία μπορεί να κατασκοπεύει τις ειδοποιήσεις Push – Πώς γίνεται

Spy phone

Οι κυβερνήσεις μπορούν να έχουν πρόσβαση σε αρχεία που σχετίζονται με ειδοποιήσεις push από εφαρμογές για κινητά, ζητώντας αυτά τα δεδομένα από την Apple και την Google, σύμφωνα με λεπτομέρειες των δικαστικών αρχών και έναν Αμερικανό γερουσιαστή.

Η κυβέρνηση των Ηνωμένων Πολιτειών και οι ξένες αρχές επιβολής του νόμου μπορούν να απαιτήσουν από την Apple και την Google να μοιράζονται δεδομένα που σχετίζονται με ειδοποιήσεις push από εφαρμογές σε iOS και Android, σύμφωνα με Αμερικανό γερουσιαστή και δικαστικά αρχεία που εξετάστηκαν από το WIRED.

Αυτές οι ειδοποιήσεις μπορούν να αποκαλύψουν ποιες εφαρμογές χρησιμοποιεί ένα άτομο, μαζί με άλλες πληροφορίες που μπορεί να σχετίζονται με έρευνες επιβολής του νόμου.

Ο Αμερικανός γερουσιαστής Ρον Γουάιντεν, Δημοκρατικός του Όρεγκον, τόνισε την τεχνική της κυβερνητικής επιτήρησης σε επιστολή που εστάλη στο Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ). Ο Wyden ζητά συγκεκριμένα από το Υπουργείο Δικαιοσύνης να επιτρέψει στην Apple και την Google να συζητούν κυβερνητικά αιτήματα για αρχεία ειδοποιήσεων push με τους χρήστες τους, τα οποία ο Wyden λέει ότι η κυβέρνηση των ΗΠΑ τους έχει ζητήσει να κρατήσουν μυστικά μέχρι στιγμής.

«Την άνοιξη του 2022, το γραφείο μου έλαβε μια πληροφορία ότι κυβερνητικές υπηρεσίες σε ξένες χώρες απαιτούσαν αρχεία ειδοποιήσεων «push» smartphone από την Google και την Apple», έγραψε ο Wyden στην επιστολή, η οποία αναφέρθηκε για πρώτη φορά από το Reuters.

«Το προσωπικό μου διερεύνησε αυτήν την συμβουλή τον περασμένο χρόνο, η οποία περιλάμβανε την επικοινωνία με την Apple και την Google. Σε απάντηση σε αυτό το ερώτημα, οι εταιρείες είπαν στο προσωπικό μου ότι οι πληροφορίες σχετικά με αυτήν την πρακτική περιορίζονται στο να δημοσιευτούν από την κυβέρνηση».

Οι προγραμματιστές εφαρμογών παρέχουν ειδοποιήσεις push χρησιμοποιώντας την υπηρεσία Push Notification Service της Apple στο iOS ή το Firebase Cloud Messaging της Google στο Android. Σε κάθε χρήστη μιας εφαρμογής εκχωρείται ένα “κουμπί ώθησης”, το οποίο μεταφέρεται μεταξύ της εφαρμογής και της υπηρεσίας ειδοποιήσεων push του λειτουργικού συστήματος για κινητά.

Τα push token δεν εκχωρούνται μόνιμα σε έναν μεμονωμένο χρήστη και ενδέχεται να δημιουργηθούν νέα διακριτικά όταν ένα άτομο επανεγκαταστήσει μια εφαρμογή ή αλλάξει σε μια νέα συσκευή.

Για να προσδιορίσει ένα άτομο με το οποίο μπορεί να επικοινωνούσε, οι αρχές επιβολής του νόμου πρέπει πρώτα να απευθυνθούν σε έναν προγραμματιστή εφαρμογών για να αποκτήσουν το σχετικό push token και στη συνέχεια να το φέρουν στον κατασκευαστή του λειτουργικού συστήματος—Apple ή Google—και να ζητήσουν πληροφορίες για ποιον λογαριασμό το διακριτικό σχετίζεται. «Αυτό θέτει τους τεχνολογικούς γίγαντες σε «μια μοναδική θέση για να διευκολύνει την κρατική επιτήρηση του τρόπου με τον οποίο οι χρήστες χρησιμοποιούν συγκεκριμένες εφαρμογές», γράφει ο Wyden.

Σύμφωνα με τον Wyden, τα αρχεία που μπορούν να αποκτήσουν οι κυβερνήσεις από την Apple και την Google περιλαμβάνουν δεδομένα που αποκαλύπτουν ποιες εφαρμογές έχει χρησιμοποιήσει ένα άτομο, όταν έχει λάβει ειδοποιήσεις και το τηλέφωνο που σχετίζεται με έναν συγκεκριμένο λογαριασμό Google ή Apple.

Το περιεχόμενο των ειδοποιήσεων push δεν περιλαμβάνεται σε αυτές τις πληροφορίες, αλλά, για τουλάχιστον ορισμένες εφαρμογές, οι αρχές επιβολής του νόμου θα μπορούσαν να λάβουν πληροφορίες σχετικά με το περιεχόμενο συγκεκριμένων ωθήσεων, μέσω πρόσθετων αιτημάτων με βάση τις πληροφορίες από τα κουπόνια push.

Ενώ η επιστολή του Γουάιντεν λέει ότι οι κυβερνήσεις εκτός των ΗΠΑ έχουν ζητήσει τα αρχεία ειδοποιήσεων push των ανθρώπων, το Ομοσπονδιακό Γραφείο Ερευνών (FBI) το έχει κάνει ήδη Μια αίτηση εντάλματος έρευνας του Φεβρουαρίου 2021 που υποβλήθηκε από έναν πράκτορα του FBI στο Περιφερειακό Δικαστήριο των ΗΠΑ στην Ουάσιγκτον, DC, ζητούσε λεπτομέρειες για δύο λογαριασμούς που ελέγχονταν από τη Meta (τότε Facebook), αναφέροντας συγκεκριμένα ένα αίτημα για κουπόνια ειδοποίησης push. Το αίτημα για ένταλμα έρευνας αφορούσε έρευνα σε πρόσωπο που κατηγορείται ότι συμμετείχε στην επίθεση στο Καπιτώλιο των ΗΠΑ στις 6 Ιανουαρίου 2021.

Η Meta, η οποία κατέχει το Facebook, το WhatsApp και το Instagram, δεν απάντησε αμέσως στο αίτημα του WIRED να σχολιάσει. Ένας εκπρόσωπος της Signal, της δημοφιλούς εφαρμογής κρυπτογραφημένων μηνυμάτων, επίσης δεν απάντησε. Το Υπουργείο Δικαιοσύνης των ΗΠΑ αρνήθηκε να σχολιάσει.

Αν και ο Wyden ζητά από το Υπουργείο Δικαιοσύνης των ΗΠΑ να επιτρέψει στην Apple και την Google να συζητήσουν κυβερνητικά αιτήματα για αρχεία ειδοποιήσεων push, η επιστολή του γερουσιαστή φαίνεται ότι τους επέτρεψε να κάνουν ακριβώς αυτό.

Ένας εκπρόσωπος της Apple λέει στο WIRED ότι η εταιρεία έχει ενημερώσει τις οδηγίες επιβολής του νόμου στην αναφορά διαφάνειας, ώστε να αντικατοπτρίζει τα κυβερνητικά αιτήματα για αρχεία ειδοποιήσεων push.

Η εταιρεία θα αρχίσει επίσης να περιγράφει λεπτομερώς αυτά τα αιτήματα στην επόμενη έκθεσή της για διαφάνεια. Οι ενημερωμένοι κανόνες της Apple για τα αιτήματα της αστυνομίας λένε ότι τα αρχεία ειδοποίησης push «μπορεί να ληφθούν με κλήτευση ή μεγαλύτερη νομική διαδικασία».

«Η Apple έχει δεσμευτεί για τη διαφάνεια και είμαστε εδώ και καιρό υποστηρικτές των προσπαθειών για να διασφαλίσουμε ότι οι πάροχοι είναι σε θέση να αποκαλύπτουν όσο το δυνατόν περισσότερες πληροφορίες στους χρήστες τους», αναφέρει η Apple σε δήλωση.

«Σε αυτή την περίπτωση, η ομοσπονδιακή κυβέρνηση μάς απαγόρευσε να κοινοποιούμε οποιαδήποτε πληροφορία και τώρα που αυτή η μέθοδος έχει δημοσιοποιηθεί, ενημερώνουμε τις αναφορές διαφάνειας για να προσδιορίσουμε λεπτομερώς αυτού του είδους τα αιτήματα», συμπλήρωσε ο Γερουσιαστής.

Η Google επιβεβαίωσε στο WIRED ότι λαμβάνει αιτήματα για εγγραφές ειδοποιήσεων push, αλλά η εταιρεία λέει ότι περιλαμβάνει ήδη αυτούς τους τύπους αιτημάτων στις αναφορές διαφάνειας. Η εταιρεία λέει ότι τα αιτήματα από τις αρχές επιβολής του νόμου που εδρεύουν στις ΗΠΑ για αρχεία ειδοποίησης push απαιτούν δικαστικές εντολές με δικαστική έγκριση.

«Ήμασταν η πρώτη μεγάλη εταιρεία που δημοσίευσε μια αναφορά δημόσιας διαφάνειας που μοιράζεται τον αριθμό και τους τύπους των κρατικών αιτημάτων για δεδομένα χρηστών που λαμβάνουμε, συμπεριλαμβανομένων των αιτημάτων που αναφέρει ο γερουσιαστής Wyden», λέει στο WIRED εκπρόσωπος της Google. «Συμμεριζόμαστε τη δέσμευση του γερουσιαστή να ενημερώνει τους χρήστες σχετικά με αυτά τα αιτήματα».

Μια ανασκόπηση της πιο πρόσφατης αναφοράς διαφάνειας της Google για την περίοδο μεταξύ Δεκεμβρίου 2019 και Δεκεμβρίου 2022 διαπίστωσε ότι δεν αναλύει συγκεκριμένα κυβερνητικά αιτήματα για αρχεία ειδοποιήσεων push και η Google επιβεβαίωσε ότι συγκεντρώνει αυτά τα δεδομένα στην αναφορά διαφάνειας.

Η αναφορά διαφάνειας της Google δείχνει ότι η κυβέρνηση των ΗΠΑ ζήτησε δεδομένα Google Cloud Platform από εταιρικούς πελάτες 175 φορές κατά τη διάρκεια της περιόδου και από αυτούς χρησιμοποίησαν ένταλμα αναζήτησης 13 φορές. Δεν είναι σαφές εάν κάποιο από αυτά τα αιτήματα για δεδομένα χρήστη περιλάμβανε εγγραφές ειδοποίησης push — λεπτομέρειες που ενδέχεται, μετά την επιστολή του Wyden, να αποκαλυφθούν στο μέλλον.

Scroll to Top