| 6 декабря 2023 г. — 6:02 по тихоокеанскому времени
Обновление: Apple выступила со следующим заявлением для 9to5Mac:
Apple привержена принципам прозрачности, и мы давно поддерживаем усилия, направленные на то, чтобы поставщики могли раскрывать как можно больше информации своим пользователям. В данном случае федеральное правительство запретило нам делиться какой-либо информацией, и теперь, когда этот метод стал общедоступным, мы обновляем нашу отчетность о прозрачности, чтобы подробно описать подобные запросы.
Apple подтвердила, что иностранные правительства осуществляли то, что было описано как «шпионаж с помощью push-уведомлений», заявив, что компании ранее не разрешалось раскрывать эту практику.
Правительства предъявляли Apple и Google секретные судебные предписания о передаче данных о push-уведомлениях, отправленных на iPhone и Android-смартфоны…
Шпионаж с помощью push-уведомлений
Проблема конфиденциальности стала известна после того, как сенатор Рон Уайден – член Комитета Сената по разведке – получил наводку и решил провести расследование.
Весной 2022 года мой офис получил информацию о том, что государственные учреждения в зарубежных странах запрашивали записи push-уведомлений со смартфонов у Google и Apple. Мои сотрудники расследовали эту информацию в течение последнего года […].
Push-уведомления […] не отправляются напрямую от поставщика приложения на смартфоны пользователей. Вместо этого они проходят через своего рода «цифровое почтовое отделение», управляемое поставщиком операционной системы телефона. Для iPhone эту услугу предоставляет Служба push-уведомлений Apple; для телефонов Android — Firebase Cloud Messaging от Google. Эти службы обеспечивают своевременную и эффективную доставку уведомлений, но это также означает, что Apple и Google выступают в качестве посредников в процессе передачи.
Как и в случае со всей другой информацией, которую эти компании хранят для своих пользователей или о них, поскольку Apple и Google доставляют данные push-уведомлений, правительства могут тайно принудить их передать эту информацию.
Уайден говорит, что он написал как в Apple, так и в Google, попросив их подтвердить происходящее, и обе компании ответили ему, что информация об этом была «ограничена для публичного разглашения» правительством США.
Важно отметить, что это означает, что Apple не могла раскрыть эту практику в своих ежегодных отчетах о прозрачности, предназначенных для информирования людей о том, какие данные она предоставляет правительствам и правоохранительным органам.
Уайден обнародовал этот вопрос
Сенатор Уайден теперь написал открытое письмо Министерству юстиции США, призывая их отменить требование о секретности.
Apple и Google должно быть разрешено быть прозрачными в отношении получаемых ими юридических требований, особенно от иностранных правительств, точно так же, как компании регулярно уведомляют пользователей о других типах государственных запросов данных. Эти компании должны иметь возможность в целом раскрывать, были ли они принуждены содействовать этой практике слежки, публиковать агрегированную статистику о количестве полученных запросов и, если это не запрещено судом на временной основе, уведомлять конкретных клиентов о запросах их данных. Я бы попросил Министерство юстиции отменить или изменить любые политики, которые препятствуют этой прозрачности.
Это умный ход, потому что, обнародовав информацию, Уайден добился того, что требования о секретности, ранее наложенные на Apple и Google, больше не действуют. Это означает, что – независимо от ответа Министерства юстиции – Apple теперь может включать эти данные в свой отчет о прозрачности. Действительно, компания сообщила Reuters, что уже делает это.
«В данном случае федеральное правительство запретило нам делиться какой-либо информацией», — говорится в заявлении компании. «Теперь, когда этот метод стал общедоступным, мы обновляем нашу отчетность о прозрачности, чтобы подробно описать подобные запросы».
Что могут раскрыть данные push-уведомлений?
Первое важное замечание состоит в том, что если вы используете сквозные зашифрованные службы обмена сообщениями, такие как iMessage и WhatsApp, это шифрование по-прежнему защищает сообщения – даже если вы настроили свой iPhone на предварительный просмотр содержимого.
Ваш iPhone по-прежнему должен выполнять расшифровку при получении, поэтому у Apple не было бы содержимого сообщения для передачи любому правительству, требующему его.
Но данные push-уведомлений все равно могут многое о вас раскрыть. Даже push-уведомления от таких безобидных приложений, как службы доставки еды, могут показать, откуда идет доставка, и, следовательно, ваше приблизительное местоположение. Уведомление Uber может содержать сообщение от водителя, сообщающее, где встретиться. И так далее.
Шаблоны данных также могут многое раскрыть. Например, если иностранное правительство получало ваши данные iMessage push – и данные одного из ваших контактов – то даже без фактического содержимого сообщения они могли видеть, что вы двое обменивались большим количеством сообщений в определенный день. Это можно было бы связать с известными событиями, чтобы сделать выводы о вероятном содержании этих сообщений.
Например, представьте американского журналиста, обменивающегося сообщениями с китайским информатором о нарушениях прав человека. Сегодня появляется отчет о нарушениях, и данные push-уведомлений показывают, что источник и журналист обменялись множеством сообщений вчера. Этого могло бы быть достаточно, чтобы подтвердить источник утечки.
Что произойдет теперь?
Теперь, когда эта практика стала общедоступной, Apple начнет включать эти данные в свои отчеты о прозрачности. Хотя они не раскрывают цели такого наблюдения, мы, по крайней мере, сможем увидеть масштаб проблемы и задействованные государства.
Вы можете прочитать письмо Уайдена здесь.
Фото: Джейми Стрит/Unsplash