Ebben az Apple és a Google is segíti őket. A veszélyre egy a személyes adatok védelme terén évek óta aktív szenátor hívta fel a figyelmet.
Hirdetés
 

Ismét aktivizálta magát Ron Wyden demokrata szenátor. Aki nem emlékezne: ő volt, aki elsők között támogatta a dolgok internete (IoT) biztonsági szempontú megrendszabályozását, kritizálta az Amazon okosotthon-fejlesztéseit, valamint bírálta az USA Szövetségi Távközlési Bizottságát, mert nem képes hatékonyan érvényre juttatni a felhasználók személyes adatokhoz fűződő jogát a telkókkal szemben.

Wyden most azt állítja, hogy az USA és szövetségesei is kémkedhettek állampolgáraik után okostelefonokra érkező push-üzenetek segítségével. A szenátor levélben tájékoztatta az amerikai igazságügyi minisztériumot, hogy forrásai szerint külföldi hatóságok többször kértek (és kaptak) adatokat a Google-től és az Apple-től a felhasználóik adatforgalmáról, pontosabban azok kapcsán érkező push-üzenetekről, írta a Reuters.

Az okostelefonokon sok olyan alkalmazás fut, amely push-üzenetekben értesíti a felhasználót a frissítésekről, érkező üzenetekről, friss hírekről. Mivel ezeknek az üzeneteknek a többsége átfut a Google és az Apple szerverein, a két cég lényegében teljes betekintést kap a felhasználók felé irányuló adatforgalomba anélkül, hogy bele kellene mászniuk az egyes alkalmazásokba. Ez viszont a két vállalatot kivételes helyzetbe hozza: az egyes kormányok rajtuk keresztül megfigyelhetik állampolgáraik tevékenységét. És Wyden forrása szerint ezt a lehetőséget rendszeresen ki is használják.

Az ugyan nem derült ki, hogy ki súghatott a szenátornak, de a Reutersnek más források is megerősítették, hogy mind amerikai kormányzati szervek, mind külföldi (de szövetséges) országok szervei kértek a két cégtől push-értesítésekkel kapcsolatos metaadatokat. Ezek segítségével ugyanis az üzenetküldő alkalmazások anonim felhasználóit is hozzá lehet kötni konkrét Apple- vagy Google-fiókokhoz. Arról a Reuters forrásainak nem volt információjuk, mikor kezdődhettek ezek az adatkérések.

A Wired szerint az ügyben nem csak a Wyden említette két cég érintett. A lap előásott olyan bírósági iratokat, melyek szerint az FBI két éve a Metától kérte ki egy nyomozáshoz két fiók push-üzeneteit.

A push-üzenet az adatbiztonság fehér foltja

A legtöbb felhasználónak valószínűleg eszébe sem jut, hogy ne kényelmi funkcióként, hanem biztonsági kockázatként tekintsen a push-üzenetekre. A fejlesztők között azonban már egy ideje téma: nagyon nehéz ugyanis úgy implementálni az appokba, hogy ne a Google és az Apple szerverein keresztül jussanak el a végpontra, azaz a telefonra.

Egy francia fejlesztő, David Libeau a blogjában részletesen elemezte, hogy adatvédelmi szempontból miért rémálom a weben és a mobiloknál ez az értesítéstípus – amivel szerinte nemcsak a felhasználók, hanem a fejlesztők többsége sincs tisztában. Az egyik jelentős kockázati forrás, hogy az értesítés rendszerint a szolgáltató (Meta, Google, Apple stb.) szerverén keresztül jut célba. Szintén kockázatot jelent, hogy a push-értesítések akkor is érkeznek, ha hozzájuk tartozó appokat a felhasználó kilőtte. Harmadrészt: a push-üzenetek titkosításának kevés figyelmet szentelnek, sok fejlesztő ezt bele sem építi az alkalmazásába (az Apple valószínűleg ezért adott ki figyelmeztetést appfejlesztőknek, hogy az üzenetben ne továbbítsanak érzékeny adatokat).

A helyzet azonban nem fekete-fehér: az ISC (Internet Systems Consortium) például tavasszal publikált egy írást a blogján arról, hogy a push-üzenet kiváló lenne a kétfaktoros azonosításánál az SMS-értesítés kiváltására. Igaz, a poszt szerzője felhívja a figyelmet: vannak a megoldásnak árnyoldalai. Például nem lehet megkerülni a Google-t, az Apple-t, a Microsoftot és társaikat, melyek értesítésgateway-ként működnek, továbbá voltak kísérletek push-üzenetek kompromittálására is.

Az Apple közleményben reagált az ügyre. Eddig kormányzati tilalom miatt nem beszélhettek az ilyen jellegű megkeresésekről. De mivel a módszer nyilvánosságra került, így a jövőben a push-üzenetekre vonatkozó kérések is szerepelnek majd a vállalat átláthatósági jelentésében. A Google pedig azt írta a Wirednak, hogy átláthatósági jelentésükben már szerepelnek az ilyen megkeresések is.

Biztonság

Jól vizsgázott üzletfolytonosságból az ukrán techszektor

Az orosz támadás megindulásakor Harkivban 511 informatikai cég volt. Közülük 500 ma is működik, pedig a munkatársak többsége elköltözött a harcokat közvetlen közelről megszenvedő városból.
 
Az alábbiakban körbejárjuk az Enterprise Service Management fogalmát, és megmutatjuk azt is, miben különbözik az ITSM-től.

a melléklet támogatója a Meta-Inf Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.