Ismét aktivizálta magát Ron Wyden demokrata szenátor. Aki nem emlékezne: ő volt, aki elsők között támogatta a dolgok internete (IoT) biztonsági szempontú megrendszabályozását, kritizálta az Amazon okosotthon-fejlesztéseit, valamint bírálta az USA Szövetségi Távközlési Bizottságát, mert nem képes hatékonyan érvényre juttatni a felhasználók személyes adatokhoz fűződő jogát a telkókkal szemben.

Wyden most azt állítja, hogy az USA és szövetségesei is kémkedhettek állampolgáraik után okostelefonokra érkező push-üzenetek segítségével. A szenátor levélben tájékoztatta az amerikai igazságügyi minisztériumot, hogy forrásai szerint külföldi hatóságok többször kértek (és kaptak) adatokat a Google-től és az Apple-től a felhasználóik adatforgalmáról, pontosabban azok kapcsán érkező push-üzenetekről, írta a Reuters.

Az okostelefonokon sok olyan alkalmazás fut, amely push-üzenetekben értesíti a felhasználót a frissítésekről, érkező üzenetekről, friss hírekről. Mivel ezeknek az üzeneteknek a többsége átfut a Google és az Apple szerverein, a két cég lényegében teljes betekintést kap a felhasználók felé irányuló adatforgalomba anélkül, hogy bele kellene mászniuk az egyes alkalmazásokba. Ez viszont a két vállalatot kivételes helyzetbe hozza: az egyes kormányok rajtuk keresztül megfigyelhetik állampolgáraik tevékenységét. És Wyden forrása szerint ezt a lehetőséget rendszeresen ki is használják.

Az ugyan nem derült ki, hogy ki súghatott a szenátornak, de a Reutersnek más források is megerősítették, hogy mind amerikai kormányzati szervek, mind külföldi (de szövetséges) országok szervei kértek a két cégtől push-értesítésekkel kapcsolatos metaadatokat. Ezek segítségével ugyanis az üzenetküldő alkalmazások anonim felhasználóit is hozzá lehet kötni konkrét Apple- vagy Google-fiókokhoz. Arról a Reuters forrásainak nem volt információjuk, mikor kezdődhettek ezek az adatkérések.

A Wired szerint az ügyben nem csak a Wyden említette két cég érintett. A lap előásott olyan bírósági iratokat, melyek szerint az FBI két éve a Metától kérte ki egy nyomozáshoz két fiók push-üzeneteit.

A push-üzenet az adatbiztonság fehér foltja

A legtöbb felhasználónak valószínűleg eszébe sem jut, hogy ne kényelmi funkcióként, hanem biztonsági kockázatként tekintsen a push-üzenetekre. A fejlesztők között azonban már egy ideje téma: nagyon nehéz ugyanis úgy implementálni az appokba, hogy ne a Google és az Apple szerverein keresztül jussanak el a végpontra, azaz a telefonra.

Egy francia fejlesztő, David Libeau a blogjában részletesen elemezte, hogy adatvédelmi szempontból miért rémálom a weben és a mobiloknál ez az értesítéstípus – amivel szerinte nemcsak a felhasználók, hanem a fejlesztők többsége sincs tisztában. Az egyik jelentős kockázati forrás, hogy az értesítés rendszerint a szolgáltató (Meta, Google, Apple stb.) szerverén keresztül jut célba. Szintén kockázatot jelent, hogy a push-értesítések akkor is érkeznek, ha hozzájuk tartozó appokat a felhasználó kilőtte. Harmadrészt: a push-üzenetek titkosításának kevés figyelmet szentelnek, sok fejlesztő ezt bele sem építi az alkalmazásába (az Apple valószínűleg ezért adott ki figyelmeztetést appfejlesztőknek, hogy az üzenetben ne továbbítsanak érzékeny adatokat).

A helyzet azonban nem fekete-fehér: az ISC (Internet Systems Consortium) például tavasszal publikált egy írást a blogján arról, hogy a push-üzenet kiváló lenne a kétfaktoros azonosításánál az SMS-értesítés kiváltására. Igaz, a poszt szerzője felhívja a figyelmet: vannak a megoldásnak árnyoldalai. Például nem lehet megkerülni a Google-t, az Apple-t, a Microsoftot és társaikat, melyek értesítésgateway-ként működnek, továbbá voltak kísérletek push-üzenetek kompromittálására is.

Az Apple közleményben reagált az ügyre. Eddig kormányzati tilalom miatt nem beszélhettek az ilyen jellegű megkeresésekről. De mivel a módszer nyilvánosságra került, így a jövőben a push-üzenetekre vonatkozó kérések is szerepelnek majd a vállalat átláthatósági jelentésében. A Google pedig azt írta a Wirednak, hogy átláthatósági jelentésükben már szerepelnek az ilyen megkeresések is.