US-Senator Ron Wyden (D-OR) hat in einem Brief an das Justizministerium gewarnt, dass nicht identifizierte Regierungen Apple- und Google-Telefonnutzer durch ihre Push-Benachrichtigungen ausspionieren. In dem Brief heißt es, sein Büro habe letztes Jahr einen Hinweis erhalten, dass Regierungsbehörden im Ausland Push-Benachrichtigungsaufzeichnungen von den Technologiegiganten „verlangten“.
Push-Benachrichtigungen sind Popup-Nachrichten, die auf Ihrem Sperrbildschirm und Startbildschirm angezeigt werden, um Sie über neue Nachrichten, Updates, aktuelle Nachrichten und andere App-Updates zu informieren. Da diese Push-Benachrichtigungen über die Server von Apple und Google laufen, sind die Technologieriesen „in der einzigartigen Lage, die staatliche Überwachung darüber zu erleichtern, wie Benutzer bestimmte Apps nutzen“, sagte Wyden, der im Geheimdienstausschuss des Senats sitzt. erklärt in dem Brief, der mit Tech geteilt wurde.
Wyden weist darauf hin, dass Apple und Google „von Regierungen heimlich gezwungen werden können, diese Informationen herauszugeben“.
„Apple und Google sollten die Möglichkeit haben, transparent über die rechtlichen Anforderungen zu sein, die sie insbesondere von ausländischen Regierungen erhalten, so wie die Unternehmen ihre Benutzer regelmäßig über andere Arten staatlicher Datenanforderungen informieren“, schrieb Wyden in dem Brief.
„Diesen Unternehmen sollte es gestattet sein, allgemein offenzulegen, ob sie gezwungen wurden, diese Überwachungspraxis zu erleichtern, aggregierte Statistiken über die Anzahl der bei ihnen eingegangenen Anfragen zu veröffentlichen und, sofern sie nicht vorübergehend durch ein Gericht gesperrt werden, bestimmte Kunden über Anfragen nach ihren Daten zu informieren.“ ”
Wyden forderte das Justizministerium auf, „alle Richtlinien, die diese Transparenz behindern“, aufzuheben oder zu ändern.
Der Brief war erstmals von Reuters berichtet.
Die Daten aus diesen Push-Benachrichtigungen geben Apple und Google Informationen darüber, welche App wann eine Benachrichtigung erhalten hat, zusätzlich zu Details über das Telefon und das Apple- oder Google-Konto, das mit der Benachrichtigung verknüpft ist. In dem Schreiben heißt es, dass die Unternehmen in bestimmten Fällen auch verschlüsselte Inhalte erhalten könnten, die den eigentlichen Text der Benachrichtigung enthalten könnten.
In Wydens Brief wird nicht näher erläutert, welche ausländischen Regierungen Apple und Google um Push-Benachrichtigungsinformationen gebeten haben.
Reuters berichtet unter Berufung auf eine Quelle, dass ausländische und US-amerikanische Regierungsbehörden sowohl Apple als auch Google um Metadaten aus Push-Benachrichtigungen gebeten haben, darunter Informationen, die pseudonyme App-Nutzer bestimmten Apple- oder Google-Konten zuordnen.
In einer E-Mail an Tech sagte Apple-Sprecher Shane Bauer, die Bundesregierung habe den Technologieriesen daran gehindert, Informationen zu diesem Thema weiterzugeben.
„Apple setzt sich für Transparenz ein und unterstützt seit langem die Bemühungen, sicherzustellen, dass Anbieter ihren Nutzern so viele Informationen wie möglich offenlegen können“, sagte ein Apple-Sprecher. „In diesem Fall hat uns die Bundesregierung die Weitergabe jeglicher Informationen verboten, und jetzt, da diese Methode öffentlich geworden ist, aktualisieren wir unsere Transparenzberichterstattung, um diese Art von Anfragen detailliert darzustellen.“
Apple sagte, der Technologieriese werde in seinem nächsten Transparenzbericht damit beginnen, die Anfragen nach Push-Benachrichtigungs-Tokens aufzuschlüsseln, die er erhalten habe.
Google-Sprecher Matt Bryant sagte gegenüber Tech, dass das Unternehmen Wydens „Verpflichtung, die Nutzer über diese Anfragen auf dem Laufenden zu halten“ teile.
„Wir waren das erste große Unternehmen, das einen öffentlichen Transparenzbericht veröffentlicht hat, in dem die Anzahl und Art der Regierungsanfragen nach Benutzerdaten aufgeführt sind, die wir erhalten, einschließlich der Anfragen, auf die sich Senator Wyden bezieht“, heißt es in der Erklärung.
Ein in Kalifornien eingereichter Durchsuchungsbefehl im Zusammenhang mit einem Diebstahlsfall beschreibt detailliert, wie Push-Benachrichtigungsanforderungen genutzt werden können, um Informationen über eine Person zu erhalten. Der Durchsuchungsbefehl, gesehen von Techenthält einen Abschnitt, in dem ein FBI-Spezialagent schreibt, dass, wenn ein Benutzer eine App installiert und herunterlädt, die App sein Telefon anweist, einen Push-Token zu erhalten, bei dem es sich um eine eindeutige Kennung handelt, die es Google ermöglicht, herauszufinden, auf welchem Gerät die App installiert ist.
„Nachdem der entsprechende Push-Benachrichtigungsdienst (z. B. Apple Push Notifications (APN) oder Google Cloud Messaging) ein Push-Token an das Gerät sendet, wird das Token dann an die Anwendung gesendet, die wiederum das Push-Token an den Server der Anwendung sendet. Anbieter“, heißt es in der Akte. Wenn ein Unternehmen dann eine Push-Benachrichtigung an das Gerät einer Person sendet, sendet es auch Push-Tokens.
In dem Protokoll heißt es weiter, dass die Server von Google „nützliche Informationen enthalten, die dabei helfen können, die spezifischen Geräte zu identifizieren, die von einem bestimmten Abonnenten verwendet werden, um über die mobile Anwendung auf das Google-Konto des Abonnenten zuzugreifen.“
404 Media berichtete zuvor von einem weiteren Gerichtsverfahren in dem Push-Benachrichtigungsdatensätze mit einer ähnlichen Boilerplate-Sprache abgerufen wurden.