Volgens de Amerikaanse senator Ron Wyden hebben niet-gespecificeerde regeringen mobiele pushmeldingen van Apple- en Google-gebruikers geëist om mensen van belang te achtervolgen.
“Pushmeldingen zijn waarschuwingen die via telefoonapps naar de smartphones van gebruikers worden verzonden”, aldus Wyden.
“Deze waarschuwingen gaan via een digitaal postkantoor dat wordt beheerd door de leverancier van het telefoonbesturingssysteem – overwegend Apple of Google. Vanwege die structuur hebben de twee bedrijven inzicht in hoe hun klanten apps gebruiken en zouden ze gedwongen kunnen worden deze informatie aan de VS of andere landen te verstrekken. buitenlandse regeringen.”
Wyden zei in een brief aan de Amerikaanse procureur-generaal Merrick Garland dat zowel Apple als Google bevestigden dat ze dergelijke verzoeken hadden ontvangen, maar merkte op dat de Amerikaanse overheid informatie over de praktijk niet openbaar mocht maken, wat vragen oproept over de transparantie van de wettelijke eisen die zij van regeringen ontvangen. .
Wanneer mobiele apps voor Android en iOS pushmeldingen naar de apparaten van gebruikers sturen, worden deze gerouteerd via de eigen infrastructuur van Apple en Google, respectievelijk bekend als de Apple Push Notification (APN) -service en Firebase Cloud Messaging. Microsoft en Amazon hebben vergelijkbare systemen genaamd Windows Push Notification Service (WNS) en Amazon Device Messaging (ADM).
Als gevolg hiervan wordt in de brief beweerd dat beide bedrijven door overheden kunnen worden gedwongen de informatie te overhandigen. Het is momenteel niet duidelijk welke regeringen kennisgevingsgegevens van Apple en Google hebben opgevraagd.
Dat gezegd hebbende, zijn de VS daar één van, aldus de Washington Post, die ruim twintig huiszoekingsbevelaanvragen vond die verband hielden met federale verzoeken om pushmeldingsgegevens.
“De gegevens die deze twee bedrijven ontvangen omvatten metadata, waarin wordt aangegeven welke app een melding heeft ontvangen en wanneer, evenals de telefoon en het bijbehorende Apple- of Google-account waarop die melding moest worden afgeleverd”, aldus de brief.
“In bepaalde gevallen kunnen ze ook niet-versleutelde inhoud ontvangen, die kan variëren van backend-instructies voor de app tot de daadwerkelijke tekst die aan een gebruiker wordt weergegeven in een app-melding.”
Het drong er ook op aan dat het Apple en Google zou worden toegestaan bekend te maken of zij deze praktijk hebben gefaciliteerd, en zo ja, geaggregeerde statistieken te publiceren over het aantal verzoeken dat zij ontvangen, en specifieke klanten op de hoogte te stellen van de vraag naar hun gegevens.
In een verklaring gedeeld met Reuters, dat voor het eerst melding maakte van de ontwikkeling, zei Apple dat de brief hen de “opening” gaf die ze nodig hadden om meer details te delen over hoe overheden pushmeldingen controleerden.
“Wanneer gebruikers toestaan dat een applicatie die ze hebben geïnstalleerd pushmeldingen ontvangt, wordt er een Apple Push Notification Service (APNs)-token gegenereerd en geregistreerd bij die ontwikkelaar en dat apparaat”, merkt Apple nu op in zijn bijgewerkte document met juridische procesrichtlijnen. [PDF].
“Sommige apps kunnen meerdere APNs-tokens hebben voor één account op één apparaat om onderscheid te maken tussen berichten en multimedia. De Apple ID die aan een geregistreerd APNs-token is gekoppeld, kan worden verkregen met een dagvaarding of een groter juridisch proces.”
Google merkte ondertussen op dat het deze informatie al publiceert in zijn transparantierapporten, hoewel deze niet specifiek wordt opgesplitst in overheidsverzoeken om pushmeldingen.
