Gobiernos sin identificar espiaron a los usuarios a través de las notificaciones «push»
Se ha conocido que algunos gobiernos sin identificar han estado presentando órdenes legales secretas a Apple y Google para obtener detalles de las notificaciones push enviadas a los teléfonos.
Este hecho salió a la luz después de que el Senador Roy Wyden, miembro del comité de inteligencia del Senado de EE.UU., recibiera una pista e decidiera investigar.
«En la primavera de 2022, mi oficina recibió una pista de que agencias gubernamentales en países extranjeros estaban exigiendo registros de notificaciones ‘push’ de teléfonos inteligentes a Google y Apple. Mi personal ha estado investigando esta pista durante el último año…»
Las notificaciones push no se envían directamente desde el proveedor de la aplicación a los smartphones de los usuarios. En cambio, pasan por el Servicio de Notificación Push de Apple para teléfonos iPhone y por el Firebase Cloud Messaging de Google para teléfonos Android.
Estos servicios aseguran la entrega oportuna y eficiente de las notificaciones, pero también significa que Apple y Google actúan como intermediarios en el proceso de transmisión.
Según Wyden, escribió a Apple y Google solicitando confirmación de que esto estaba ocurriendo, y ambos le dijeron que la información sobre esto estaba «restringida para su divulgación pública» por el gobierno de EE. UU. Esto significa que ni Apple ni Google han revelar la práctica en sus informes anuales de transparencia, destinados a informar a las personas sobre qué datos proporciona a gobiernos y agencias policiales.
Wyden ha redactado una carta abierta al Departamento de Justicia de EE. UU., pidiéndoles que rescindan el requisito de secreto.
Específicamente, Apple y Google deberían tener permitido ser transparentes sobre las demandas legales que reciben, particularmente de gobiernos extranjeros, así como las empresas regularmente notifican a los usuarios sobre otros tipos de demandas gubernamentales de datos.
Estas empresas deberían poder revelar de manera general si han sido obligadas a facilitar esta práctica de vigilancia, publicar estadísticas agregadas sobre la cantidad de demandas que reciben y, a menos que un tribunal temporalmente las silencie, notificar a clientes específicos sobre demandas de sus datos. Pediría al Departamento de Justicia que derogue o modifique cualquier política que obstaculice esta transparencia.
Al poner esta información a disposición del público, los requisitos de secreto previamente impuestos a Apple y Google ya no se aplican. Eso significa que, independientemente de la respuesta del Departamento de Justicia, Apple y Google ahora pueden incluir los datos en su informe de transparencia.
¿Qué puede revelar la información de notificaciones push?
El primer punto importante es que, si estás usando servicios de mensajería cifrada de extremo a extremo como iMessage y WhatsApp, ese cifrado sigue protegiendo los mensajes, incluso si has configurado tu iPhone para previsualizar el contenido.
Pero los datos de notificaciones push aún pueden revelar mucho sobre ti. Incluso notificaciones de aplicaciones tan inocuas como servicios de entrega de comida podrían revelar de dónde proviene una entrega, y por lo tanto, tu ubicación aproximada. Una notificación de Uber podría contener un mensaje del conductor indicándote dónde encontrarte. Y así sucesivamente.
Los patrones de intercambio de mensajes también podrían revelar mucho. Por ejemplo, si un gobierno extranjero estuviera obteniendo tus datos de notificaciones push de iMessage, y los de uno de tus contactos, entonces, incluso sin el contenido real del mensaje, podrían ver que ambos intercambiaron muchas notificaciones en un día en particular. Eso podría relacionarse con eventos conocidos para sacar conclusiones sobre el probable contenido de esos mensajes.
Por ejemplo, imagina a un periodista estadounidense intercambiando mensajes con un informante chino sobre abusos a los derechos humanos. Un informe sobre los abusos aparece hoy, y los datos de notificaciones muestran que la fuente y el periodista intercambiaron muchos mensajes de ida y vuelta ayer. Eso fácilmente podría ser suficiente para confirmar la fuente de la filtración.
