1 Punkte von GN⁺ 2023-12-07 | 1 Kommentare | Auf WhatsApp teilen
  • Wegen der Struktur, bei der Smartphone-Benachrichtigungen über Apple- und Google-Server laufen, wurde durch ein Schreiben des US-Senators Ron Wyden bekannt, dass einige Regierungen Push-Benachrichtigungsdaten zur Verfolgung von Nutzern nutzen könnten
  • Wyden erklärte, ausländische Behörden hätten von beiden Unternehmen Daten angefordert, um die Nutzung bestimmter Apps nachzuverfolgen, und diese Struktur könne zu einem Anknüpfungspunkt für staatliche Überwachung werden
  • Apple teilte Reuters mit, man habe entsprechende Informationen wegen der US-Bundesregierung bislang nicht offenlegen dürfen, wolle solche Anfragen nach dieser Veröffentlichung jedoch künftig ausführlicher im Transparenzbericht abbilden
  • Laut mit der Angelegenheit vertrauten Quellen haben sowohl ausländische als auch US-Behörden Metadaten zu Push-Benachrichtigungen angefordert; diese seien genutzt worden, um Nutzer anonymer Messaging-Apps mit bestimmten Apple- oder Google-Konten zu verknüpfen
  • Der Inhalt von Benachrichtigungen kann von Entwicklern verschlüsselt werden, aber Metadaten wie die sendende App und die Häufigkeit der Benachrichtigungen sind nicht verschlüsselt, sodass Nutzungsmuster von Apps weiterhin offengelegt werden können

Warum Push-Benachrichtigungen zu einem Überwachungsansatzpunkt wurden

  • In einem Schreiben an das Justizministerium warnte US-Senator Ron Wyden, dass einige nicht namentlich genannte Regierungen Push-Benachrichtigungen von Smartphone-Nutzern verfolgen, um sie zu überwachen
  • Ziel der Überwachung sind Push-Benachrichtigungsdaten, die über die Server von Google und Apple laufen
  • Wyden erklärte, ausländische Behörden forderten von den beiden Tech-Unternehmen Daten an, um Smartphones nachzuverfolgen

Wydens Anfrage an das Justizministerium

  • Der Datenverkehr von Push-Benachrichtigungen bringt Apple und Google in eine besondere Position, von der aus sie Einblick in die Art der App-Nutzung durch Nutzer haben
    • Beide Unternehmen könnten zu einem Anknüpfungspunkt werden, der staatliche Überwachung bestimmter App-Nutzung erleichtert
  • Wyden forderte das Justizministerium auf, die Richtlinie zu abschaffen oder zu ändern, die eine öffentliche Diskussion über die Überwachung von Push-Benachrichtigungen verhindert

Apples Reaktion

  • Apple sagte Reuters, das Unternehmen könne durch Wydens Schreiben nun mehr Informationen darüber offenlegen, wie Regierungen Push-Benachrichtigungen zur Überwachung einsetzen
  • Zuvor habe die US-Bundesregierung die Weitergabe von Informationen zu diesem Thema verhindert
  • Da die Methode nun öffentlich geworden sei, werde Apple den Transparenzbericht aktualisieren, um diese Art von Anfragen detaillierter zu behandeln

Welche Daten angefordert wurden und wie sie genutzt wurden

  • In Wydens Schreiben wird ein Hinweisgeber als Quelle der Informationen zur Überwachung genannt
  • Eine mit der Angelegenheit vertraute Quelle bestätigte, dass ausländische und US-Behörden bei Apple und Google Metadaten zu Push-Benachrichtigungen angefordert haben
  • Diese Daten seien demnach verwendet worden, um Nutzer anonymer Messaging-Apps mit bestimmten Apple- oder Google-Konten zu verknüpfen
  • Die Quelle von Reuters nannte nicht, welche Regierungen die Anfragen gestellt haben, beschrieb die Anfragesteller jedoch als „mit den USA verbündete demokratische Staaten“
  • Wie lange diese Anfragen bereits laufen, ist nicht bekannt

Empfehlungen an Entwickler und verbleibende Schwachstellen

  • Apple empfiehlt Entwicklern, keine sensiblen Daten in Benachrichtigungen aufzunehmen
  • Es gibt auch die Empfehlung, Daten zu verschlüsseln, bevor sie in die Notification-Payload eingefügt werden
  • Diese Schutzmaßnahme muss jedoch direkt von den Entwicklern umgesetzt werden
  • Metadaten wie welche App Benachrichtigungen sendet und wie häufig sie gesendet werden, sind nicht verschlüsselt
  • Wer auf diese Metadaten zugreifen kann, kann möglicherweise Informationen über die Art der App-Nutzung eines Nutzers gewinnen

1 Kommentare

 
GN⁺ 2023-12-07
Hacker-News-Kommentare
  • Das ist ein Duplikat von https://news.ycombinator.com/item?id=38543155
    • Es scheint sich um Apples Antwort/Eingeständnis zu den Enthüllungen des Senators zu handeln. Sofern Reuters den Artikel nicht aktualisiert hat
  • Welche Lösungsmöglichkeiten gibt es?
    Ich betreibe UnifiedPush auf einem Nextcloud-Server und nutze auf dem Gerät die Nextpush-App. Einige Apps verwenden das
    Manche Apps nutzen WebSockets, aber soweit ich weiß, verbraucht das viele Ressourcen, wenn sie dauerhaft im Hintergrund laufen
    Manche Apps können auf der Cheogram-App aufsetzen, um Push-Benachrichtigungen zu erhalten
    Ich nutze einen Android-Fork ohne Google Play Services; was auf dem iPhone möglich ist, weiß ich nicht
  • Heißt das, wenn man Push-Benachrichtigungen ausschaltet, wird man auch nicht mehr getrackt?
    • Ich denke, das verhindert nur, dass sie auf dem Handy angezeigt werden. Die App dürfte weiterhin versuchen, Benachrichtigungen über Apples Server zu senden
      Wenn man sie nicht in den Handy-Einstellungen, sondern innerhalb der App deaktiviert, könnte es vielleicht etwas bringen