Aplicativos de todos os tipos dependem de notificações push para alertar usuários de smartphones (entre outros dispositivos) sobre mensagens recebidas, notícias de última hora, etc. O que muitos não sabem, porém, é que quase todos esses alertas trafegam pelos servidores da Apple e do Google — mesmo os de apps com criptografia.
Isso fornece às duas gigantes um panorama sobre o que flui desses aplicativos para seus usuários e, por sua vez, coloca-as em uma posição para facilitar a espionagem governamental — e é exatamente o que tem ocorrido em alguns governos.
Em uma carta aberta enviada ao Departamento de Justiça dos Estados Unidos, o senador americano Ron Wyden disse que sua equipe recebeu uma denúncia a qual afirmava que “governos estrangeiros estavam exigindo registros de notificações push“; após investigar, foi descoberto que isso não era novidade para a Apple e nem para o Google — e muito menos para o governo dos EUA.
Minha equipe tem investigado essa denúncia desde o ano passado, o que incluiu entrar em contato com a Apple e o Google. Em resposta a essa pergunta, as empresas disseram à minha equipe que as informações sobre esta prática não podem ser divulgadas ao público pelo governo.
Em um comunicado, a Apple disse que a carta de Wyden “forneceu a abertura necessária” para que ela compartilhe publicamente mais detalhes sobre como governos monitoram notificações push.
Neste caso, o governo federal nos proibiu de compartilhar qualquer informação. Agora que este método se tornou público, estamos atualizando nossos relatórios de transparência para detalhar esse tipo de solicitação.
Não está claro o quão difundida é essa espionagem em notificações push, nem mesmo quais os governos envolvidos — embora eles tenham sido descritos como “democracias aliadas aos EUA”.
Além disso, só podemos especular as razões por trás de tal vigilância ou os benefícios em saber de quais aplicativos os usuários estão recebendo notificações ou mesmo com que frequência.
via Reuters
Atualização07/12/2023 às 08:20
Como prometido, a Apple atualizou suas Diretrizes de Processos Jurídicos [PDF] detalhando a obrigação legal da empresa de cumprir as solicitações das autoridades para fornecer informações associadas ao seu serviço de notificação push.
Na seção intitulada “Informações Disponíveis na Apple”, a companhia anexou uma subseção — somente no documento em inglês referente aos EUA, por ora — chamada “Apple Push Notification Service (APNs)”, a qual diz (tradução livre nossa):
Quando os usuários permitem que um aplicativo instalado receba notificações push, um token Apple Push Notification Service (APNs) é gerado e registrado para esse desenvolvedor e dispositivo. Alguns aplicativos podem ter vários tokens de APNs para uma conta em um dispositivo para diferenciar entre mensagens e multimídia.
O ID Apple associado a um token APNs registrado pode ser obtido por meio de intimação ou processo legal.
De acordo com informações do The Washington Post, enquanto a Apple requer minimamente uma intimação — a qual pode ser emitida sem necessariamente uma ordem judicial —, o Google, por outro lado, demanda que as autoridades federais convençam o juiz de que os dados solicitados “são relevantes e materiais para uma investigação criminal em curso”.
Ponto pro Google nessa, hein.
Atualização II12/12/2023 às 08:50
A Apple deve ter visto as reclamações sobre suas exigências para fornecer os dados relacionados a APNs das contas de seus clientes, uma vez que, poucos dias depois de oficializar essas informações, a empresa atualizou novamente suas diretrizes com requisitos mais rígidos, como notado por John Gruber, do Daring Fireball.
Anteriormente, a determinação da Maçã dizia que o token de notificação push poderia ser obtido com “uma intimação ou processo legal”; agora, ela passa a exigir um mandado de busca (ou seja, uma ordem judicial), refletindo os mesmos requisitos do Google.
O ID Apple associado a um token APNs registrado e aos registros associados pode ser obtido com um pedido sob o código 18 U.S.C. §2703(d) ou um mandado de busca.
Agora sim, Apple! 👏🏼
