Правителствените агенции в неуточнени страни са принудили Apple и Google да предадат данни за насочени известия, без да казват на никого, благодарение на разпоредбите на правителството на САЩ, според американския сенатор Рон Уайдън (D-OR).
В сряда Уайдън изпрати писмо до Министерството на правосъдието на САЩ (DOJ), в което иска отделът да преразгледа правилата си, за да позволи на Apple и Google да разкрият искания за записи на насочени известия.
„През пролетта на 2022 г. моята служба получи сигнал, че правителствените агенции в чужди държави изискват записи за „push“ известия от смартфони от Google и Apple“, се казва в писмото на Уайдън [PDF].
„Моите служители проучваха този съвет през изминалата година, което включваше контакт с Apple и Google. В отговор на това запитване компаниите казаха на служителите ми, че информацията за тази практика е ограничена за публично оповестяване от правителството.“
Wyden поиска от Министерството на правосъдието да отмени всички политики, които възпрепятстват прозрачността относно принудителното наблюдение, и да позволи на отделни клиенти да бъдат уведомявани, ако са под наблюдение, освен ако това не е забранено със съдебна заповед.
Министерството на правосъдието на САЩ не отговори веднага на искане да каже дали възнамерява да уважи искането на Уайдън или да каже дали американските правоприлагащи органи също са търсили данни за насочени известия. Apple и Google не отговориха веднага на исканията за коментар.
След публикуването на писмото на Wyden, Apple каза на Reuters , че възнамерява да актуализира своите отчети за прозрачност, за да отрази получаването на искания за данни за насочени известия.
Apple и Google предлагат насочени известия, сигнали, управлявани на ниво операционна система, които позволяват на мобилните приложения да уведомяват потребителите за конкретни събития, като получаване на съобщения или актуализирано съдържание. Има и услуги за уведомяване на трети страни като Pushover , които разчитат на инфраструктурата на Apple или Google.
Като оператори на сървъри за насочени известия, Apple и Google са уникално разположени да обслужват усилията на правителството за наблюдение, каза Уайдън.
„Данните, които тези две компании получават, включват метаданни, уточняващи кое приложение е получило известие и кога, както и телефона и свързания акаунт в Apple или Google, на който това известие е предназначено да бъде доставено“, пише Уайдън.
„В някои случаи те също могат да получат некриптирано съдържание, което може да варира от задните директиви за приложението до действителния текст, показван на потребителя в известие за приложение.“
Разработчиците на приложения, които интегрират тези услуги, могат, въпреки съветите за най-добри практики , да включват некриптирани чувствителни данни в тези известия. Push известията (но не и метаданните) обикновено са шифровани при пренос (TLS), но не е задължително да са защитени на сървърите на Apple или Google, освен ако разработчиците не са предприели необходимите допълнителни стъпки .
Някои разработчици на приложения изразиха загриженост относно липсата на защита за данните за насочени известия. David Libeau, базиран в Париж разработчик, публикува доклад за проблема през януари, озаглавен „Push известията са кошмар за поверителността“.
Libeau каза пред The Register , че френският орган за защита на данните, CNIL, е наясно с последиците за защитата на данните от системите за насочени известия и е казал , че операционните системи за мобилни телефони трябва да поддържат сървъри на трети страни за известия и че разработчиците трябва да криптират предаваните данни. ®