A Apple confirmou que governos estrangeiros têm realizado o que foi descrito como “espionagem de notificações push”, afirmando que a empresa não tinha permissão anteriormente para divulgar a prática.
Os governos têm enviado à Apple e ao Google ordens legais secretas para fornecer detalhes das notificações push enviadas para iPhones e smartphones Android…
Espionagem de notificação push
A preocupação com a privacidade veio à tona depois que o senador Roy Wyden – membro do comitê de inteligência do Senado – recebeu uma denúncia e decidiu investigar.
Na primavera de 2022, meu escritório recebeu uma denúncia de que agências governamentais em países estrangeiros estavam exigindo registros de notificação “push” de smartphones do Google e da Apple. Minha equipe tem investigado essa dica desde o ano passado (…)
As notificações push (…) não são enviadas diretamente do fornecedor do aplicativo para os smartphones dos usuários. Em vez disso, eles passam por uma espécie de agência postal digital administrada pelo provedor do sistema operacional do telefone. Para iPhones, este serviço é fornecido pelo Push Notification Service da Apple; para telefones Android, é o Firebase Cloud Messaging do Google. Esses serviços garantem a entrega oportuna e eficiente de notificações, mas isso também significa que a Apple e o Google atuam como intermediários no processo de transmissão.
Tal como acontece com todas as outras informações que estas empresas armazenam para ou sobre os seus utilizadores, como a Apple e a Google fornecem dados de notificação push, podem ser secretamente obrigadas pelos governos a entregar esta informação.
Wyden diz que escreveu à Apple e ao Google, pedindo-lhes que confirmassem que isso estava acontecendo, e ambos lhe disseram que as informações sobre isso foram “restringidas de divulgação pública” pelo governo dos EUA.
É importante ressaltar que isso significa que a Apple não conseguiu revelar a prática em seus relatórios anuais de transparência, destinados a permitir que as pessoas saibam quais dados ela fornece aos governos e às agências de aplicação da lei.
Wyden agora tornou o assunto público
O senador Wyden escreveu agora uma carta aberta ao Departamento de Justiça dos EUA, pedindo-lhes que rescindissem a exigência de sigilo.
A Apple e a Google deveriam poder ser transparentes sobre as exigências legais que recebem, especialmente de governos estrangeiros, tal como as empresas notificam regularmente os utilizadores sobre outros tipos de exigências governamentais de dados. Estas empresas deveriam ser autorizadas a revelar, de um modo geral, se foram obrigadas a facilitar esta prática de vigilância, a publicar estatísticas agregadas sobre o número de exigências que recebem e, a menos que sejam temporariamente amordaçadas por um tribunal, a notificar clientes específicos sobre as exigências relativas aos seus dados. Gostaria de pedir que o DOJ revogue ou modifique quaisquer políticas que impeçam esta transparência.
Esta é uma jogada inteligente, porque ao colocar a informação em domínio público, significa que os requisitos de sigilo anteriormente impostos à Apple e ao Google já não se aplicam. Isso significa que – sem considerar da resposta do DOJ – a Apple agora pode incluir os dados em seu relatório de transparência. Na verdade, a empresa disse Reuters que já está fazendo isso.
“Nesse caso, o governo federal nos proibiu de compartilhar qualquer informação”, afirmou a empresa em comunicado. “Agora que este método se tornou público, estamos atualizando nossos relatórios de transparência para detalhar esses tipos de solicitações.”
O que os dados push podem revelar?
O primeiro ponto importante a ressaltar é que, se você estiver usando serviços de mensagens criptografadas de ponta a ponta, como iMessage e WhatsApp, essa criptografia ainda protegerá as mensagens – mesmo se você tiver configurado seu iPhone para visualizar o conteúdo.
Seu iPhone ainda precisa realizar a descriptografia no recebimento, então a Apple faria não ter o conteúdo da mensagem para transmitir a qualquer governo que o exija.
Mas os dados push ainda podem revelar muito sobre você. Até mesmo notificações push de aplicativos tão inócuos como serviços de entrega de comida podem revelar de onde vem a entrega e, portanto, sua localização aproximada. Uma notificação do Uber pode conter uma mensagem de um motorista informando onde se encontrar. E assim por diante.
Os padrões de dados também podem revelar muito. Por exemplo, se um governo estrangeiro estivesse obtendo seus dados push do iMessage – e de um de seus contatos – então, mesmo sem o conteúdo real da mensagem, eles poderiam ver que vocês dois estavam trocando muitas mensagens em um determinado dia. Isso poderia ser vinculado a eventos conhecidos para tirar conclusões sobre o provável conteúdo dessas mensagens.
Por exemplo, imagine um jornalista norte-americano trocando mensagens com um denunciante chinês sobre violações dos direitos humanos. Um relatório sobre os abusos foi publicado hoje, e os dados push mostram que a fonte e o jornalista trocaram muitas mensagens ontem. Isso poderia facilmente ser suficiente para confirmar a origem do vazamento.
O que vai acontecer agora?
Agora que a prática se tornou pública, a Apple começará a incluir os dados em seus relatórios de transparência. Embora estes não revelem os alvos dessa vigilância, pelo menos seremos capazes de ver a escala do problema e os Estados-nação envolvidos.
Você pode leia a carta de Wyden aqui.
Foto: Rua Jamie/Remover respingo
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
