Según el senador estadounidense Ron Wyden, gobiernos no especificados han exigido registros de notificaciones push móviles a los usuarios de Apple y Google para perseguir a personas de interés.
«Las notificaciones automáticas son alertas enviadas por aplicaciones telefónicas a los teléfonos inteligentes de los usuarios», Wyden dicho.
«Estas alertas pasan a través de una oficina de correos digital administrada por el proveedor del sistema operativo del teléfono, en su abrumadora mayoría Apple o Google. Debido a esa estructura, las dos compañías tienen visibilidad de cómo sus clientes usan las aplicaciones y podrían verse obligadas a proporcionar esta información a EE. UU. o gobiernos extranjeros.»
Wyden, en una carta al fiscal general de los EE. UU., Merrick Garland, dijo que tanto Apple como Google confirmaron haber recibido tales solicitudes, pero señaló que el gobierno de los EE. UU. restringió la divulgación pública de información sobre la práctica, lo que plantea dudas sobre la transparencia de las demandas legales que reciben de los gobiernos. .
Cuando las aplicaciones móviles para Android e iOS envían notificaciones automáticas a los dispositivos de los usuarios, se enrutan a través de la propia infraestructura de Apple y Google conocida como Apple Push Notification (APN) servicio y Mensajería en la nube de Firebase, respectivamente. Microsoft y Amazon cuentan con sistemas similares llamados Servicio de notificaciones push de Windows (WNS) y mensajería de dispositivos de Amazon (ADM).
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
Como resultado, la carta alega que los gobiernos pueden obligar a ambas empresas a entregar la información. Actualmente no está claro qué gobiernos han solicitado datos de notificación de Apple y Google.
Dicho esto, Estados Unidos es uno de ellos, según el Washington Post, que encontró más de dos docenas de solicitudes de órdenes de registro relacionadas con solicitudes federales de datos de notificaciones automáticas.
«Los datos que reciben estas dos empresas incluyen metadatos, que detallan qué aplicación recibió una notificación y cuándo, así como el teléfono y la cuenta asociada de Apple o Google a la que se pretendía entregar esa notificación», decía la carta.
«En ciertos casos, también podrían recibir contenido no cifrado, que podría variar desde directivas de backend para la aplicación hasta el texto real que se muestra a un usuario en una notificación de la aplicación».
También instó a que se permita a Apple y Google revelar si han facilitado esta práctica y, de ser así, publicar estadísticas agregadas sobre la cantidad de solicitudes que reciben y notificar a clientes específicos sobre las solicitudes de sus datos.
En una declaración compartida con Reuters, que informó por primera vez sobre el desarrollo, Apple dicho la carta les dio la «apertura» que necesitaban para compartir más detalles sobre cómo los gobiernos monitoreaban las notificaciones automáticas.
«Cuando los usuarios permiten que una aplicación que han instalado reciba notificaciones automáticas, se genera y registra un token del Servicio de notificaciones push de Apple (APN) para ese desarrollador y dispositivo», señala ahora Apple en su informe actualizado. Lineamientos del proceso legal documento [PDF].
«Algunas aplicaciones pueden tener múltiples tokens APN para una cuenta en un dispositivo para diferenciar entre mensajes y multimedia. La ID de Apple asociada con un token APN registrado se puede obtener mediante una citación o un proceso legal mayor».
Google, por su parte, señaló que ya publica esta información en su informes de transparencia aunque no está desglosado específicamente por solicitudes gubernamentales de registros de notificaciones automáticas.