Правительства могут получить доступ к записям, связанным с уведомлениями от мобильных приложений, запросив эти данные у Apple и Google, согласно данным в судебных записях и информации от сенатора США.
#Приватность #Технологии #МобильныеПриложения #ПравоохранительныеОрганы #Уведомления #Apple #Google #НаблюдениеЗаПользователями #СудебныеЗаписи #СенаторСША
Если у вас включены уведомления для чувствительных приложений, вам может стоить пересмотреть свои настройки.
По данным сенатора США и судебных документов, рассмотренных WIRED, правительство Соединенных Штатов и зарубежные правоохранительные органы могут требовать, чтобы Apple и Google передавали метаданные, связанные с уведомлениями от приложений на iOS и Android. Эти уведомления могут раскрывать, какие приложения использует человек, а также другую информацию, которая может быть полезной для расследований правоохранительных органов.
Сенатор Рон Уайден, демократ из Орегона, осветил эту технику государственного наблюдения в письме, отправленном сегодня в Министерство юстиции США (DOJ). Уайден конкретно просит DOJ разрешить Apple и Google обсуждать запросы правительства на получение записей уведомлений с пользователями, что, по словам Уайдена, правительство США требовало удерживать в тайне до сих пор.
"Весной 2022 года мой офис получил информацию о том, что правоохранительные органы в зарубежных странах требуют записи уведомлений 'push' от смартфонов Google и Apple", - написал Уайден в письме, о котором впервые сообщили Reuters. "В течение последнего года мои сотрудники исследовали эту информацию, включая контакт с Apple и Google. В ответ на это запрос, компании сообщили моим сотрудникам, что информацию об этой практике правительство ограничило для публичного распространения".
Разработчики приложений доставляют уведомления push, используя сервис уведомлений Apple на iOS или Firebase Cloud Messaging от Google на Android. Каждому пользователю приложения назначается "токен push", который передается между приложением и сервисом уведомлений push мобильной операционной системы. Токены push не назначаются постоянно одному пользователю, и новые токены могут быть сгенерированы при переустановке приложения или переходе на новое устройство.
Для идентификации интересующего правоохранительные органы лица и лиц, с которыми они могли общаться, правоохранительные органы должны сначала обратиться к разработчику приложения, чтобы получить соответствующий токен push, а затем обратиться к создателю операционной системы - Apple или Google - и запросить информацию о том, с какой учетной записью связан токен. Это ставит технологических гигантов в "уникальное положение для облегчения государственного наблюдения за тем, как пользователи используют конкретные приложения", пишет Уайден.
По словам Уайдена, записи, которые правительства могут получить от Apple и Google, включают метаданные, которые раскрывают, какие приложения использовал человек, когда он получал уведомления и какой телефон связан с конкретной учетной записью Google или Apple. Содержимое уведомлений push в эту информацию не включается, но, по крайней мере для некоторых приложений, правоохранительные органы могут получить информацию о содержимом конкретных уведомлений через дополнительные запросы на основе информации из токенов push.
В письме Вайдена говорится, что правительства за пределами США также запрашивали записи уведомлений о нажатии пользователей, а также Федеральное бюро расследований (ФБР). В заявлении о выдаче ордера на обыск от февраля 2021 года, поданном агентом ФБР в окружной суд США в Вашингтоне, округ Колумбия, запрашивались сведения о двух учетных записях, управляемых Meta (тогдашний Facebook), с конкретным упоминанием запроса на токены уведомлений о нажатии. Запрос на ордер на обыск был связан с расследованием человека, обвиняемого в участии в атаке на Капитолий США 6 января 2021 года.
Meta, владеющая Facebook, WhatsApp и Instagram, не сразу ответила на запрос WIRED о комментариях. Представитель Signal, популярного зашифрованного мессенджера, также не отреагировал. Департамент юстиции отказался от комментариев.
Хотя Вайден просит Департамент юстиции разрешить Apple и Google обсуждать запросы правительства на записи уведомлений о нажатии, письмо сенатора, кажется, позволило им это сделать.
Представитель Apple сообщает WIRED, что компания обновила свои Руководящие принципы взаимодействия с правоохранительными органами в своем отчете о прозрачности, чтобы отразить запросы правительства на записи уведомлений о нажатии. Компания также начнет детально описывать эти запросы в своем следующем отчете о прозрачности. Обновленные правила Apple для запросов полиции говорят, что записи уведомлений о нажатии "могут быть получены посредством субпоены или более серьезных юридических процессов".
"Apple придерживается принципа прозрачности, и мы всегда поддерживали усилия по обеспечению возможно большего раскрытия информации для наших пользователей", - говорит Apple в заявлении. "В данном случае федеральное правительство запретило нам делиться любой информацией, и теперь, когда этот метод стал общедоступным, мы обновляем наш отчет о прозрачности, чтобы подробно описывать такие запросы".
Google подтвердил WIRED, что получает запросы на записи уведомлений о нажатии, но компания говорит, что уже включает такие типы запросов в свои отчеты о прозрачности. Компания отмечает, что запросы от правоохранительных органов США на записи уведомлений о нажатии требуют судебных ордеров с судебным одобрением.
"Мы были первой крупной компанией, которая опубликовала отчет о прозрачности, в котором было указано количество и типы запросов правительства о получении пользовательских данных, включая запросы, на которые ссылался сенатор Уайден", - сообщает представитель Google WIRED. "Мы разделяем принципы сенатора по информированию пользователей об этих запросах".
Проверка WIRED последнего отчета о прозрачности Google за период с декабря 2019 года по декабрь 2022 года показала, что в нем не указываются отдельно запросы правительства на записи уведомлений push, и Google подтвердил, что эти данные агрегируются в его отчете о прозрачности.
Отчет о прозрачности Google показывает, что правительство США запросило данные Google Cloud Platform от корпоративных клиентов 175 раз за данный период, и из них 13 раз использовало ордер на обыск. Неясно, включали ли эти запросы пользовательские данные, включая записи уведомлений push, - детали, которые, возможно, будут раскрыты в будущем, в связи с письмом Уайдена.
Подписывайся: https://t.me/trivsin