Ebben az Apple és a Google is segíti őket. A veszélyre egy a személyes adatok védelme terén évek óta aktív szenátor hívta fel a figyelmet.

Ismét aktivizálta magát Ron Wyden demokrata szenátor. Aki nem emlékezne: ő volt, aki elsők között támogatta a dolgok internete (IoT) biztonsági szempontú megrendszabályozását, kritizálta az Amazon okosotthon-fejlesztéseit, valamint bírálta az USA Szövetségi Távközlési Bizottságát, mert nem képes hatékonyan érvényre juttatni a felhasználók személyes adatokhoz fűződő jogát a telkókkal szemben.

Wyden most azt állítja, hogy az USA és szövetségesei is kémkedhettek állampolgáraik után okostelefonokra érkező push-üzenetek segítségével. A szenátor levélben tájékoztatta az amerikai igazságügyi minisztériumot, hogy forrásai szerint külföldi hatóságok többször kértek (és kaptak) adatokat a Google-től és az Apple-től a felhasználóik adatforgalmáról, pontosabban azok kapcsán érkező push-üzenetekről, írta a Reuters.

Az okostelefonokon sok olyan alkalmazás fut, amely push-üzenetekben értesíti a felhasználót a frissítésekről, érkező üzenetekről, friss hírekről. Mivel ezeknek az üzeneteknek a többsége átfut a Google és az Apple szerverein, a két cég lényegében teljes betekintést kap a felhasználók felé irányuló adatforgalomba anélkül, hogy bele kellene mászniuk az egyes alkalmazásokba. Ez viszont a két vállalatot kivételes helyzetbe hozza: az egyes kormányok rajtuk keresztül megfigyelhetik állampolgáraik tevékenységét. És Wyden forrása szerint ezt a lehetőséget rendszeresen ki is használják.

Az ugyan nem derült ki, hogy ki súghatott a szenátornak, de a Reutersnek más források is megerősítették, hogy mind amerikai kormányzati szervek, mind külföldi (de szövetséges) országok szervei kértek a két cégtől push-értesítésekkel kapcsolatos metaadatokat. Ezek segítségével ugyanis az üzenetküldő alkalmazások anonim felhasználóit is hozzá lehet kötni konkrét Apple- vagy Google-fiókokhoz. Arról a Reuters forrásainak nem volt információjuk, mikor kezdődhettek ezek az adatkérések.

A Wired szerint az ügyben nem csak a Wyden említette két cég érintett. A lap előásott olyan bírósági iratokat, melyek szerint az FBI két éve a Metától kérte ki egy nyomozáshoz két fiók push-üzeneteit.

A push-üzenet az adatbiztonság fehér foltja

A legtöbb felhasználónak valószínűleg eszébe sem jut, hogy ne kényelmi funkcióként, hanem biztonsági kockázatként tekintsen a push-üzenetekre. A fejlesztők között azonban már egy ideje téma: nagyon nehéz ugyanis úgy implementálni az appokba, hogy ne a Google és az Apple szerverein keresztül jussanak el a végpontra, azaz a telefonra.

Egy francia fejlesztő, David Libeau a blogjában részletesen elemezte, hogy adatvédelmi szempontból miért rémálom a weben és a mobiloknál ez az értesítéstípus – amivel szerinte nemcsak a felhasználók, hanem a fejlesztők többsége sincs tisztában. Az egyik jelentős kockázati forrás, hogy az értesítés rendszerint a szolgáltató (Meta, Google, Apple stb.) szerverén keresztül jut célba. Szintén kockázatot jelent, hogy a push-értesítések akkor is érkeznek, ha hozzájuk tartozó appokat a felhasználó kilőtte. Harmadrészt: a push-üzenetek titkosításának kevés figyelmet szentelnek, sok fejlesztő ezt bele sem építi az alkalmazásába (az Apple valószínűleg ezért adott ki figyelmeztetést appfejlesztőknek, hogy az üzenetben ne továbbítsanak érzékeny adatokat).

A helyzet azonban nem fekete-fehér: az ISC (Internet Systems Consortium) például tavasszal publikált egy írást a blogján arról, hogy a push-üzenet kiváló lenne a kétfaktoros azonosításánál az SMS-értesítés kiváltására. Igaz, a poszt szerzője felhívja a figyelmet: vannak a megoldásnak árnyoldalai. Például nem lehet megkerülni a Google-t, az Apple-t, a Microsoftot és társaikat, melyek értesítésgateway-ként működnek, továbbá voltak kísérletek push-üzenetek kompromittálására is.

Az Apple közleményben reagált az ügyre. Eddig kormányzati tilalom miatt nem beszélhettek az ilyen jellegű megkeresésekről. De mivel a módszer nyilvánosságra került, így a jövőben a push-üzenetekre vonatkozó kérések is szerepelnek majd a vállalat átláthatósági jelentésében. A Google pedig azt írta a Wirednak, hogy átláthatósági jelentésükben már szerepelnek az ilyen megkeresések is.

Biztonság

Linus Torvalds eligazította a generatív mesterséges intelligenciát

Már nagyon hiányzott a megfelelő iránymutatás a linuxos közösségnek.
 
Hirdetés

Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében

"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Hirdetés

Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni

A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.