Governos podem espionar você solicitando notificações push da Apple e Google
7 de Dezembro de 2023

Governos não especificados solicitaram registros de notificações push móveis de usuários da Apple e do Google para perseguir pessoas de interesse, de acordo com o senador dos EUA Ron Wyden.

"Notificações push são alertas enviados por aplicativos de telefone aos smartphones dos usuários", disse Wyden.

"Esses alertas passam por um correio digital administrado pelo provedor do sistema operacional do telefone - na maioria das vezes, Apple ou Google.

Por causa dessa estrutura, as duas empresas têm visibilidade de como seus clientes usam apps e podem ser obrigadas a fornecer essas informações para governos dos EUA ou estrangeiros."

Wyden, em uma carta para o Procurador Geral dos EUA Merrick Garland, disse que tanto a Apple quanto o Google confirmaram receber tais solicitações, mas ressaltou que informações sobre a prática foram restritas ao público pelo governo dos EUA, levantando questões sobre a transparência das demandas legais que recebem dos governos.

Quando os aplicativos móveis para Android e iOS enviam notificações push para os dispositivos dos usuários, eles são encaminhados através da própria infraestrutura da Apple e do Google, conhecida como serviço de Notificação Push da Apple (APN) e Firebase Cloud Messaging, respectivamente.

Microsoft e Amazon possuem sistemas semelhantes em vigor, chamados Windows Push Notification Service (WNS) e Amazon Device Messaging (ADM).

Como resultado, a carta alega que ambas as empresas podem ser obrigadas pelos governos a entregar as informações.

Atualmente, não está claro quais governos procuraram os dados de notificação da Apple e do Google.

Dito isso, os EUA estão entre eles, de acordo com o Washington Post, que encontrou mais de duas dezenas de aplicações para mandados de busca relacionados a solicitações federais para dados de notificação push.

"Os dados que essas duas empresas recebem incluem metadados, detalhando qual aplicativo recebeu uma notificação e quando, assim como o telefone e a conta associada da Apple ou Google para a qual essa notificação foi destinada a ser entregue", diz a carta.

"Em certas instâncias, elas também podem receber conteúdo não criptografado, que pode variar desde diretrizes do backend para o aplicativo até o texto real exibido para um usuário em uma notificação de aplicativo."

Também foi instado que a Apple e o Google deveriam ser autorizados a divulgar se facilitaram essa prática e, se sim, publicar estatísticas agregadas sobre o número de exigências que recebem e notificar clientes específicos sobre demandas por seus dados.

Em uma declaração compartilhada com a Reuters, que foi a primeira a relatar o desenvolvimento, a Apple disse que a carta deu a eles a "oportunidade" de compartilhar mais detalhes sobre como os governos monitoravam as notificações push.

"Quando os usuários permitem que um aplicativo que instalaram receba notificações push, um token do Serviço de Notificação Push da Apple (APNs) é gerado e registrado para aquele desenvolvedor e dispositivo", a Apple observa agora em seu documento atualizado de Diretrizes de Processo Legal [PDF].

"Alguns aplicativos podem ter vários tokens da APNs para uma conta em um dispositivo para diferenciar entre mensagens e multimídia.

O ID da Apple associado a um token da APNs registrado pode ser obtido com uma intimação ou processo legal maior."

O Google, por outro lado, observou que já publica essas informações em seus relatórios de transparência, embora não estejam especificamente quebrados por pedidos do governo para registros de notificações push.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...