Apple bestätigt, dass Regierungen Push-Benachrichtigungen zur Überwachung von Nutzern einsetzen
(macrumors.com)- Wegen der Struktur, bei der Smartphone-Benachrichtigungen über Apple- und Google-Server laufen, wurde durch ein Schreiben des US-Senators Ron Wyden bekannt, dass einige Regierungen Push-Benachrichtigungsdaten zur Verfolgung von Nutzern nutzen könnten
- Wyden erklärte, ausländische Behörden hätten von beiden Unternehmen Daten angefordert, um die Nutzung bestimmter Apps nachzuverfolgen, und diese Struktur könne zu einem Anknüpfungspunkt für staatliche Überwachung werden
- Apple teilte Reuters mit, man habe entsprechende Informationen wegen der US-Bundesregierung bislang nicht offenlegen dürfen, wolle solche Anfragen nach dieser Veröffentlichung jedoch künftig ausführlicher im Transparenzbericht abbilden
- Laut mit der Angelegenheit vertrauten Quellen haben sowohl ausländische als auch US-Behörden Metadaten zu Push-Benachrichtigungen angefordert; diese seien genutzt worden, um Nutzer anonymer Messaging-Apps mit bestimmten Apple- oder Google-Konten zu verknüpfen
- Der Inhalt von Benachrichtigungen kann von Entwicklern verschlüsselt werden, aber Metadaten wie die sendende App und die Häufigkeit der Benachrichtigungen sind nicht verschlüsselt, sodass Nutzungsmuster von Apps weiterhin offengelegt werden können
Warum Push-Benachrichtigungen zu einem Überwachungsansatzpunkt wurden
- In einem Schreiben an das Justizministerium warnte US-Senator Ron Wyden, dass einige nicht namentlich genannte Regierungen Push-Benachrichtigungen von Smartphone-Nutzern verfolgen, um sie zu überwachen
- Ziel der Überwachung sind Push-Benachrichtigungsdaten, die über die Server von Google und Apple laufen
- Wyden erklärte, ausländische Behörden forderten von den beiden Tech-Unternehmen Daten an, um Smartphones nachzuverfolgen
Wydens Anfrage an das Justizministerium
- Der Datenverkehr von Push-Benachrichtigungen bringt Apple und Google in eine besondere Position, von der aus sie Einblick in die Art der App-Nutzung durch Nutzer haben
- Beide Unternehmen könnten zu einem Anknüpfungspunkt werden, der staatliche Überwachung bestimmter App-Nutzung erleichtert
- Wyden forderte das Justizministerium auf, die Richtlinie zu abschaffen oder zu ändern, die eine öffentliche Diskussion über die Überwachung von Push-Benachrichtigungen verhindert
Apples Reaktion
- Apple sagte Reuters, das Unternehmen könne durch Wydens Schreiben nun mehr Informationen darüber offenlegen, wie Regierungen Push-Benachrichtigungen zur Überwachung einsetzen
- Zuvor habe die US-Bundesregierung die Weitergabe von Informationen zu diesem Thema verhindert
- Da die Methode nun öffentlich geworden sei, werde Apple den Transparenzbericht aktualisieren, um diese Art von Anfragen detaillierter zu behandeln
Welche Daten angefordert wurden und wie sie genutzt wurden
- In Wydens Schreiben wird ein Hinweisgeber als Quelle der Informationen zur Überwachung genannt
- Eine mit der Angelegenheit vertraute Quelle bestätigte, dass ausländische und US-Behörden bei Apple und Google Metadaten zu Push-Benachrichtigungen angefordert haben
- Diese Daten seien demnach verwendet worden, um Nutzer anonymer Messaging-Apps mit bestimmten Apple- oder Google-Konten zu verknüpfen
- Die Quelle von Reuters nannte nicht, welche Regierungen die Anfragen gestellt haben, beschrieb die Anfragesteller jedoch als „mit den USA verbündete demokratische Staaten“
- Wie lange diese Anfragen bereits laufen, ist nicht bekannt
Empfehlungen an Entwickler und verbleibende Schwachstellen
- Apple empfiehlt Entwicklern, keine sensiblen Daten in Benachrichtigungen aufzunehmen
- Es gibt auch die Empfehlung, Daten zu verschlüsseln, bevor sie in die Notification-Payload eingefügt werden
- Diese Schutzmaßnahme muss jedoch direkt von den Entwicklern umgesetzt werden
- Metadaten wie welche App Benachrichtigungen sendet und wie häufig sie gesendet werden, sind nicht verschlüsselt
- Wer auf diese Metadaten zugreifen kann, kann möglicherweise Informationen über die Art der App-Nutzung eines Nutzers gewinnen
1 Kommentare
Hacker-News-Kommentare
Ich betreibe UnifiedPush auf einem Nextcloud-Server und nutze auf dem Gerät die Nextpush-App. Einige Apps verwenden das
Manche Apps nutzen WebSockets, aber soweit ich weiß, verbraucht das viele Ressourcen, wenn sie dauerhaft im Hintergrund laufen
Manche Apps können auf der Cheogram-App aufsetzen, um Push-Benachrichtigungen zu erhalten
Ich nutze einen Android-Fork ohne Google Play Services; was auf dem iPhone möglich ist, weiß ich nicht
Wenn man sie nicht in den Handy-Einstellungen, sondern innerhalb der App deaktiviert, könnte es vielleicht etwas bringen