1 puntos por GN⁺ 2023-12-07 | 1 comentarios | Compartir por WhatsApp
  • Debido a que las notificaciones de los smartphones pasan por servidores de Apple y Google, se hizo pública una advertencia, mediante una carta del senador estadounidense Ron Wyden, de que algunos gobiernos podrían rastrear a usuarios usando datos de notificaciones push
  • Wyden señaló que funcionarios extranjeros solicitaron datos a ambas compañías para rastrear cómo se usan ciertas apps, y considera que esta estructura puede convertirse en un punto de contacto para la vigilancia gubernamental
  • Apple dijo a Reuters que no había podido revelar información relacionada debido al gobierno federal de Estados Unidos, pero que, tras esta divulgación, reflejará este tipo de solicitudes con más detalle en sus informes de transparencia
  • Según una fuente familiarizada con el asunto, tanto agencias gubernamentales extranjeras como estadounidenses han solicitado metadatos de notificaciones push, y se usaron para vincular a usuarios de apps de mensajería anónima con cuentas específicas de Apple o Google
  • Aunque los desarrolladores pueden cifrar el contenido de las notificaciones, los metadatos no están cifrados, como qué app envía notificaciones y con qué frecuencia, por lo que sigue existiendo la posibilidad de exponer patrones de uso de apps

Por qué las notificaciones push se convirtieron en un punto de vigilancia

  • Una advertencia de que algunos gobiernos no identificados vigilan a usuarios de smartphones rastreando sus notificaciones push surgió a través de una carta del senador estadounidense Ron Wyden al Departamento de Justicia
  • El objetivo de la vigilancia son los datos de notificaciones push que pasan por servidores de Google y Apple
  • Wyden afirmó que funcionarios extranjeros están solicitando datos a ambas compañías tecnológicas para rastrear smartphones

La solicitud de Wyden al Departamento de Justicia

  • El tráfico de notificaciones push coloca a Apple y Google en una posición especial, con acceso a cómo los usuarios usan sus apps
    • Ambas compañías podrían convertirse en un punto de contacto que facilite la vigilancia gubernamental sobre el uso de apps específicas
  • Wyden pidió al Departamento de Justicia que elimine o modifique las políticas que impiden debatir públicamente la vigilancia mediante notificaciones push

Respuesta de Apple

  • Apple dijo a Reuters que la carta de Wyden le permitió revelar más información sobre la forma en que los gobiernos vigilan mediante notificaciones push
  • Su postura es que, anteriormente, el gobierno federal de Estados Unidos le impedía compartir información sobre este asunto
  • Ahora que el método se hizo público, Apple planea actualizar sus informes de transparencia para abordar este tipo de solicitudes con más detalle

Datos solicitados y cómo se usaron

  • En la carta de Wyden, la fuente de la información sobre vigilancia se presentó como una denuncia
  • Una fuente familiarizada con el asunto confirmó que agencias gubernamentales extranjeras y estadounidenses han solicitado a Apple y Google metadatos relacionados con notificaciones push
  • Según se informó, esos datos se usaron en intentos de vincular a usuarios de apps de mensajería anónima con cuentas específicas de Apple o Google
  • La fuente de Reuters no reveló qué gobiernos realizaron las solicitudes, pero describió a los solicitantes como “democracias aliadas de Estados Unidos”
  • No se sabe durante cuánto tiempo se han mantenido estas solicitudes

Recomendaciones para desarrolladores y puntos de exposición restantes

  • Apple recomienda a los desarrolladores no incluir datos sensibles en las notificaciones
  • También recomienda cifrar los datos antes de incluirlos en la carga útil de la notificación
  • Sin embargo, esta medida de protección debe implementarla directamente el desarrollador
  • Los metadatos, como qué app envía notificaciones y con qué frecuencia, no están cifrados
  • Quien pueda acceder a estos metadatos podría obtener información sobre la forma en que el usuario usa sus apps

1 comentarios

 
GN⁺ 2023-12-07
Comentarios de Hacker News
  • Esto es un duplicado de https://news.ycombinator.com/item?id=38543155
    • Parece ser la respuesta/confirmación de Apple a la revelación del senador, a menos que Reuters haya actualizado el artículo
  • ¿Qué soluciones hay?
    Ejecutar UnifiedPush en un servidor de Nextcloud y usar la app Nextpush en el dispositivo. Algunas apps usan esto
    Algunas apps usan websockets, pero entiendo que si siguen corriendo en segundo plano consumen muchos recursos
    Algunas apps pueden recibir notificaciones push a través de la app Cheogram
    Uso un fork de Android sin Google Play Services, pero no sé qué se puede hacer en iPhone
  • Entonces, si desactivas las notificaciones push, ¿ya no te rastrean?
    • Yo diría que eso solo evita que se muestren en el teléfono. La app probablemente seguirá intentando enviar notificaciones a través de los servidores de Apple
      Puede que tenga efecto si las desactivas dentro de la app y no en la configuración del teléfono