Pushberichten Nieuwe surveillance ontdekt – alle mobiele telefoons zijn getroffen
Indignatie redactie
8 min. lezen
Pushberichten– Het is bekend dat mobiele telefoons vaak worden gebruikt voor surveillance; Dat trof voormalig bondskanselier Angela Merkel al. Nu heeft een brief van een Amerikaanse senator de aandacht gevestigd op een praktijk waarbij de Duitse autoriteiten waarschijnlijk ook betrokken zijn.
Blijkbaar geven Google en Apple via pushmeldingen informatie door aan verschillende diensten. In een brief aan de procureur-generaal heeft de Amerikaanse senator Ron Wyden hierop gewezen en geëist dat Apple en Google klanten en het grote publiek hierover mogen informeren.
Pushberichten zijn de kleine berichten die u bijvoorbeeld op uw mobiele telefoon informeren wanneer er een e-mail is ontvangen of een andere app een bericht meldt. Dit kunnen heel verschillende apps zijn, van informatie over mailings tot dieetsuggesties of sportapps. Dergelijke berichten zijn in veel van deze apps geïntegreerd, maar worden niet door de app-operatoren verzonden, maar lopen via de Apple-server voor iPhones en de Google-server voor Android-telefoons.
Zelfs de inhoud van de Pushberichten wordt vaak niet versleuteld verzonden. Dit betekent dat Pushberichten door derden kunnen worden gelezen wanneer de server wordt benaderd. Maar zelfs zonder deze inhoud creëren de verzamelde gegevens een uitgebreid profiel van de eigenaar van de mobiele telefoon, inclusief bewegingspatronen en contacten. Toegang tot de gegevens die de twee bedrijven verzamelen, maakt het ook mogelijk om mensen op andere netwerken te identificeren.
“In het voorjaar van 2022”, schrijft Wyden, “kreeg mijn kantoor een tip dat overheidsinstanties in andere landen pushmeldingsrecords opvroegen bij Google en Apple. Mijn medewerkers hebben deze tip een jaar lang onderzocht, inclusief contact met Apple en Google. In antwoord op vragen vertelden de bedrijven mijn werknemers dat de overheid de publicatie van deze informatie verbood.”
Wyden specificeert niet welke buitenlandse overheidsinstanties dit zijn. Het feit dat de Amerikaanse regering informatie hierover verbiedt, geeft echter aan dat dit regeringen zijn die verbonden zijn met de Verenigde Staten. Als u zich de monitoring van netwerkknooppunten herinnert, is de kans groot dat federale autoriteiten daar deel van uitmaken.
“Apple en Google moeten transparant kunnen omgaan met juridische verzoeken, vooral van buitenlandse overheden, net zoals de bedrijven regelmatig rapporteren over andere soorten dataverzoeken van overheden. Zij moeten in het algemeen openbaar kunnen maken of zij onder dwang zijn gedwongen deze surveillancepraktijk te vergemakkelijken, geaggregeerde statistieken te publiceren over het aantal verzoeken dat zij hebben ontvangen en, tenzij een gerechtelijk bevel dit verhindert, individuele klanten te informeren over het verzoek om hun diensten aan te bieden. gegevens informeren.”
Iedere gsm-gebruiker kan zelf nagaan hoe enorm de hoeveelheid informatie op deze manier kan worden verkregen door een tijdje te observeren wat er in zijn pushberichten staat. Gebruikers van Telegram en andere sociale netwerken ontvangen bijvoorbeeld regelmatig meldingen over nieuwe Pushberichten op de kanalen waarop zij zich abonneren, wat een volledig overzicht van de geabonneerde kanalen mogelijk maakt. Het zou dringend noodzakelijk zijn om na te gaan of en in welke mate de Duitse autoriteiten bij deze praktijk betrokken zijn.
Push-diensten – Pushberichten
Autoriteiten vragen Apple en Google naar gebruikers van messenger-apps.
Smartphone-apps sturen Pushberichten via Apple en Google, inclusief zogenaamd beveiligde messengers. Hiermee kunnen autoriteiten gebruikersgegevens van smartphonebedrijven opvragen. Tot nu toe hebben alle betrokkenen geweigerd er informatie over te geven. In navolging van ons initiatief roept een Amerikaanse vertegenwoordiger nu op tot transparantie.
De smartphone piept of trilt – een nieuw bericht. Dergelijke Pushberichten werken via pushdiensten.
Apps willen op elk moment Pushberichten over nieuwe activiteiten kunnen ontvangen en weergeven. Tegelijkertijd moeten smartphones spaarzaam omgaan met elektriciteit en data. Daarom is niet elke app altijd actief en wacht hij actief op nieuws. De grote smartphoneaanbieders exploiteren centrale pushdiensten voor alle apps en gebruikers.
Alle iPhones maken verbinding met Apple-servers , bijna alle Android-apparaten maken verbinding met Google- of Huawei- servers . Deze services kennen aan elk apparaat een ID toe waarmee ze kunnen worden bereikt. Als een app zijn gebruikers op de hoogte wil stellen, stuurt de app deze informatie naar de grote technologiebedrijven – en zij sturen deze door naar het eindapparaat.
Pushberichten – Gebruik ook gecodeerde boodschappers
Bijna alle apps doen dit, niet alleen games en sociale media, maar ook gecodeerde boodschappers. Of het nu Signal, Threema of Wire is: op iPhones verzenden alle messenger-apps meldingen via de push-service van Apple . De meeste Android-apparaten beschikken over Google-services en meldingen worden verzonden via de push-service van Google , waaronder Signal, Threema en Wire. Threema biedt Huawei Android-toestellen de mogelijkheid om notificaties te versturen via de pushdienst van Huawei .
Als een Android-apparaat niet is ingelogd bij Google of Huawei, sturen deze messengers de meldingen ook naar de apparaten zelf . Maar heel weinig mensen gebruiken Android zonder Google : het is ingewikkeld om veel functies in te stellen en te beperken.
We vroegen Signal, Threema en Wire hoeveel gebruikersaccounts zij hebben en hoeveel daarvan gebruik maken van de pushdiensten van Apple, Google en Huawei. Threema en Wire willen geen cijfers over accounts of pushdiensten vrijgeven, noch enige relatieve informatie. Signal heeft niet gereageerd op onze herhaalde persvragen.
De drie beveiligde boodschappers weigeren informatie te verstrekken over hoe vaak zij push-ID’s aan de autoriteiten hebben verstrekt. Ook zij geven hierover geen informatie in hun transparantierapporten.
Pushberichten – Van Messenger ID naar Google/Apple-account
Een jaar geleden hebben we de messenger-providers hierover gevraagd. Een grote aanbieder liet destijds weten niet publiekelijk over pushdiensten te willen praten. Het is niet in hun belang om “de kwestie te hypen of in details te treden, omdat men vreest dat dit de zaken alleen maar gemakkelijker zal maken voor de autoriteiten.” Maar de politie en de geheime diensten zijn op de hoogte van de pushdiensten.
Veel boodschappers adverteren dat ze geen enkele communicatie-inhoud kennen en slechts een beperkte hoeveelheid meta- en inventarisgegevens over hun gebruikers. Maar de messenger-providers hebben voor bijna elk gebruikersaccount een ‘push-token’. En de pushproviders koppelen deze push-ID’s aan een gebruikersaccount bij hen. Zo wordt een pseudonieme Messenger ID een Google- of Apple-account. En ze bevatten veel persoonlijke gegevens.
Autoriteiten vragen pushdiensten
Technoloog Raphael Robert heeft het encryptieprotocol Messaging Layer Security mede ontwikkeld . Daarvoor was hij verantwoordelijk voor de beveiliging bij Wire. Robert heeft ervaren dat opsporingsautoriteiten messenger-providers expliciet vragen naar push-tokens. Hij noemt ze ‘langlevende gebruikers-ID’s’. Met deze informatie kunt u vervolgens bij Apple en Google terecht voor verdere gebruikersgegevens.
Robert zegt tegen netzpolitik.org: “Technologieën om de privacy te beschermen worden steeds wijdverspreider. Maar hun impact wordt ernstig beperkt door de manier waarop Google en Apple pushmeldingen implementeren. We hebben hier dringend behoefte aan meer transparantie en, waar mogelijk, technische veranderingen.”
Pushberichten – Transparantie is dringend nodig
We vroegen hoe vaak Google en Apple dergelijke verzoeken ontvangen en gegevens daarover vrijgeven. Helaas tot nu toe geen succes.
Dus namen we contact op met het kantoor van de Amerikaanse vertegenwoordiger Ron Wyden . Maar Apple en Google belemmeren ook het Amerikaanse parlement. Daarom schrijft Wyden vandaag naar de Amerikaanse procureur-generaal . Wij publiceren een vertaling van de brief . Het ministerie moet Apple en Google toestaan deze gegevens transparant te maken.
Apple heeft al gereageerd. Het bedrijf zei schriftelijk tegen Reuters : “Nu deze methode openbaar is, werken we onze transparantierapporten bij om dit soort verzoeken gedetailleerd te beschrijven.” Laten we hopen dat de andere providers dit opmerken en ook hun stilzwijgen doorbreken.
Hier is de brief bevrijd van de pdf en machinaal vertaald:
Ik schrijf om het ministerie van Justitie te vragen Apple en Google toe te staan hun klanten en het publiek op de hoogte te stellen van de vraag naar meldingsgegevens van smartphone-apps.
In het voorjaar van 2022 ontving mijn kantoor een tip dat buitenlandse overheidsinstanties gegevens opvroegen van ‘push’-meldingen van smartphones van Google en Apple. Mijn medewerkers hebben deze tip vorig jaar opgevolgd en hebben onder meer contact opgenomen met Apple en Google. In reactie op dit verzoek hebben de bedrijven mijn medewerkers verteld dat het van de overheid niet is toegestaan dat informatie over deze praktijk wordt vrijgegeven.
Pushmeldingen zijn directe meldingen die door apps naar smartphonegebruikers worden verzonden, zoals: B. een melding van een nieuw sms-bericht of een nieuwsupdate. Ze worden niet rechtstreeks van de app-aanbieder naar de smartphones van gebruikers verzonden.
In plaats daarvan lopen ze via een soort digitaal postkantoor dat wordt beheerd door de aanbieder van het besturingssysteem van de telefoon. Op iPhones wordt deze dienst geleverd door Apple’s Push Notification Service; op Android-telefoons is dit Google’s Firebase Cloud Messaging. Deze diensten zorgen voor een tijdige en efficiënte bezorging van meldingen, maar dit betekent ook dat Apple en Google als tussenpersoon optreden in het bezorgproces.
Net als bij alle andere informatie die deze bedrijven voor of over hun gebruikers opslaan, kunnen ze, omdat Apple en Google pushmeldingsgegevens verstrekken, in het geheim door overheden worden gedwongen deze informatie vrij te geven. Wat belangrijk is, is dat app-ontwikkelaars niet veel opties hebben. Als u wilt dat uw apps op deze platforms betrouwbare pushmeldingen leveren, moet u gebruik maken van de dienst van Apple of Google.
Hierdoor bevinden Apple en Google zich in een unieke positie om het toezicht van de overheid op het gebruik van bepaalde apps te faciliteren. De gegevens die deze twee bedrijven ontvangen, omvatten onder meer metadata waaruit blijkt welke app een melding heeft ontvangen en wanneer, evenals de telefoon en het bijbehorende Apple- of Google-account waarop de melding moet worden afgeleverd. In bepaalde gevallen ontvangen ze mogelijk ook niet-gecodeerde inhoud, die kan variëren van backend-beleid voor de app tot de daadwerkelijke tekst die aan een gebruiker wordt getoond in een app-melding.
Apple en Google zouden transparant moeten kunnen zijn over de juridische verzoeken die zij ontvangen, vooral van buitenlandse overheden, net zoals de bedrijven hun gebruikers regelmatig informeren over andere soorten verzoeken om overheidsgegevens.
Deze bedrijven moeten de mogelijkheid krijgen om in het algemeen bekend te maken of ze gedwongen zijn deze surveillancepraktijk te ondersteunen, om geaggregeerde statistieken te publiceren over het aantal verzoeken dat zij ontvangen en, tenzij tijdelijk door een rechtbank de mond gesnoerd, aan specifieke klanten over verzoeken om hun gegevens te informeren. Ik zou het DOJ willen vragen om alle maatregelen die deze transparantie belemmeren in te trekken of te wijzigen.
Dank u voor uw aandacht voor deze dringende kwestie. Als u vragen heeft of opheldering wenst, kunt u contact opnemen met Chris Soghoian in mijn kantoor.
Hartelijke groeten,
