Apple раскрыла «шпионаж за push-уведомлениями» со стороны иностранных правительств

Apple подтвердила, что иностранные правительства осуществляют то, что было описано как «шпионаж за push-уведомлениями», заявив, что ранее компании не разрешалось раскрывать подобную практику.

Правительства предоставили Apple и Google секретные юридические приказы о передаче подробной информации о push-уведомлениях, отправляемых на iPhone и смартфоны Android…

Шпионаж push-уведомлений

Проблема конфиденциальности стала известна после того, как сенатор Рой Уайден – член сенатского комитета по разведке – получил наводку и решил провести расследование.

Весной 2022 года в мой офис поступило сообщение о том, что правительственные учреждения в зарубежных странах требуют записи «push-уведомлений» смартфонов от Google и Apple. Мои сотрудники расследовали эту информацию в течение прошлого года. […]

Всплывающее уведомление […] не отправляются напрямую от поставщика приложений на смартфоны пользователей. Вместо этого они проходят через своего рода цифровое почтовое отделение, которым управляет поставщик операционной системы телефона. Для iPhone эта услуга предоставляется службой push-уведомлений Apple; для телефонов Android это Google Firebase Cloud Messaging. Эти службы обеспечивают своевременную и эффективную доставку уведомлений, но это также означает, что Apple и Google выступают в качестве посредников в процессе передачи.

Как и в случае со всей другой информацией, которую эти компании хранят для своих пользователей или о них, поскольку Apple и Google предоставляют данные push-уведомлений, правительства могут тайно заставить их передать эту информацию.

Уайден говорит, что он написал и Apple, и Google, прося их подтвердить, что это происходит, и оба сказали ему, что информация по этому поводу «запрещена к публичному распространению» правительством США.

Важно отметить, что это означает, что Apple не смогла раскрыть эту практику в своих ежегодных отчетах о прозрачности, призванных сообщить людям, какие данные она предоставляет правительствам и правоохранительным органам.

Уайден обнародовал этот вопрос

Сенатор Уайден написал открытое письмо в Министерство юстиции США, в котором просит отменить требование о секретности.

Apple и Google должно быть разрешено быть прозрачными в отношении юридических требований, которые они получают, особенно от иностранных правительств, точно так же, как компании регулярно уведомляют пользователей о других типах правительственных требований в отношении данных. Этим компаниям должно быть разрешено в целом раскрывать, были ли они вынуждены способствовать этой практике наблюдения, публиковать совокупную статистику о количестве получаемых ими требований и, если только суд временно не заткнул рот, уведомлять конкретных клиентов о требованиях к их данным. Я бы попросил Министерство юстиции отменить или изменить любую политику, которая препятствует этой прозрачности.

Это умный ход, поскольку размещение информации в открытом доступе означает, что требования секретности, ранее предъявлявшиеся к Apple и Google, больше не применяются. Это означает, что – независимо от ответа Министерства юстиции – Apple теперь может включать данные в свой отчет о прозрачности. Действительно, компания сообщила Reuters, что уже делает это.

«В данном случае федеральное правительство запретило нам делиться какой-либо информацией», — говорится в заявлении компании. «Теперь, когда этот метод стал общедоступным, мы обновляем нашу отчетность о прозрачности, чтобы детализировать подобные запросы».

Что могут раскрыть push-данные?

Первый важный момент, который следует отметить, заключается в том, что если вы используете службы обмена сообщениями со сквозным шифрованием, такие как iMessage и WhatsApp, это шифрование по-прежнему защищает сообщения — даже если вы настроили свой iPhone для предварительного просмотра контента.

Вашему iPhone по-прежнему необходимо выполнить расшифровку при получении, поэтому у Apple не будет возможности передать содержимое сообщения любому правительству, которое его потребует.

Но push-данные все равно могут многое рассказать о вас. Даже push-уведомления от таких безобидных приложений, как службы доставки еды, могут указать, откуда идет доставка, и, следовательно, ваше приблизительное местоположение. Уведомление Uber может содержать сообщение от водителя, сообщающее вам, где встретиться. И так далее.

Шаблоны данных также могут многое рассказать. Например, если иностранное правительство получало ваши push-данные iMessage – и данные одного из ваших контактов – то даже без фактического содержания сообщения они могли видеть, что вы двое обменивались большим количеством сообщений в определенный день. Это можно было бы связать с известными событиями, чтобы сделать выводы о вероятном содержании этих сообщений.

Например, представьте себе, что американский журналист обменивается сообщениями с китайским осведомителем о нарушениях прав человека. Отчет о нарушениях появляется сегодня, и данные push показывают, что источник и журналист вчера обменялись множеством сообщений. Этого вполне может быть достаточно, чтобы подтвердить источник утечки.

Что произойдет сейчас?

Теперь, когда эта практика стала общедоступной, Apple начнет включать данные в свои отчеты о прозрачности. Хотя они не раскрывают цели такого наблюдения, мы, по крайней мере, сможем увидеть масштаб проблемы и участвующие в ней национальные государства.

Вы можете прочитать письмо Видена здесь.

Фото: Джейми Стрит/Unsplash