Сенатор от штата Орегон Рон Уайден (Ron Wyden) сообщил, что правительства по всему миру запрашивают у Apple и Google данные о пользовательских push-уведомлениях, чтобы шпионить за конкретными устройствами и людьми. В Apple уже подтвердили, что это правда.
На этой неделе Уайден направил официальное письмо в Министерство юстиции США, в котором заявил, что федеральное правительство ограничивает возможности Apple и других компаний делиться информацией о подобных запросах публично.
Все началось с того, что в прошлом году офис сенатора получил от неназванного источника информацию о том, что «правительственные агентства в зарубежных странах требуют от Google и Apple записи о push-уведомлениях».
«Мои сотрудники расследовали эту информацию в течение прошедшего года, в том числе связывались с Apple и Google. В ответ на эти запросы компании сообщили моим сотрудникам, что правительство запрещает им публично разглашать информацию об этой практике», — сообщает Уайден в письме.
Как объясняет сенатор, процесс создания push-уведомлений требует, компания выполняла роль своеобразного «цифрового почтового отделения». То есть уведомления проходят через промежуточные шлюзы, управляемые поставщиками устройств (Google Firebase Cloud Messaging и Apple Push Notification Service), а разработчики приложений обязаны использовать эти шлюзы Apple и Google.
Так как push-уведомления передаются через серверы Apple и Google, это означает, что компании «выступают в качестве посредников в процессе передачи [данных]» и их можно принудить раскрыть эту информацию правительствам, которые ее запрашивают.
Информация, которая может быть получена таким способом, в основном представляет собой метаданные, «подробно описывающие, какое приложение и когда получило уведомление, а также на какой телефон и связанный с ним аккаунт Apple или Google, это уведомление должно было быть доставлено». Хуже того, в некоторых случаях запрашивающие стороны могут получить даже сам незашифрованный контент, например, текст, который содержало уведомление.
По словам Уайдена, в итоге правительства могут «в тайне принуждать компании к передаче этой информации».
«Apple и Google следует разрешить быть более открытыми в отношении юридических требований, которые они получают, особенно от иностранных правительств, — пишет Уайден. — Этим компаниям должно быть разрешено в целом раскрывать, были ли они вынуждены содействовать подобной слежке, публиковать сводную статистику о количестве получаемых ими запросов и, если суд не наложил на них временный запрет, уведомлять конкретных клиентов о запросах на их данные. Я прошу Минюст отменить или изменить положения, препятствующие такой прозрачности».
Представители Apple уже подтвердили агентству Reuters, что федеральное правительство действительно запретило компании «делиться какой-либо информацией» об этих практиках. Но теперь, когда все стало достоянием общественности, компания пообещала обновить свои отчеты о прозрачности и «подробно описывать подобные запросы».
При этом собственный источник Reuters сообщает, что как иностранные, так и американские госструктуры регулярно запрашивали у компаний данные о push-уведомлениях, например, чтобы связать анонимных пользователей мессенджеров с конкретным аккаунтам. Однако неизвестно, какие именно структуры принимали в этом участие, и как давно это продолжалось.
Нужно отметить, что Apple рекомендует разработчикам шифровать любые конфиденциальные данные, отправляемые через push-уведомления, но это не является обязательным требованием.
Представитель Apple сообщил изданию Vice Motherboard, что компания уже обновила свои гайдлайны по соблюдению законов и начнет раскрывать информацию о запросах на push-уведомления, которые она получила, в следующем отчете о прозрачности.
Журналисты обнаружили, что в обновленной документации действительно появился раздел, посвященный сервису push-уведомлений. «Apple ID, связанный с зарегистрированным токеном APNs [Apple Push Notification сервис], может быть получен с помощью судебной повестки или в ходе иного судебного процесса», — гласит документ.
В свою очередь представители Google заявляют:
«Мы были первой крупной компанией, которая обнародовала публичный отчет о прозрачности, рассказав о количестве и типах правительственных запросов на получение пользовательских данных, включая запросы, о которых упоминает сенатор Уайден. Мы полностью разделяем стремление сенатора информировать пользователей об этих запросах».
Пока неясно, планируют ли Apple или Google выпустить какие-то отдельные отчеты, документирующие все прошлые запросы властей на push-уведомления.