Notificações push são usadas em espionagem governamental, confirma Apple

Governos internacionais, incluindo o dos Estados Unidos, estão utilizando as notificações push para espionar usuários de celulares com iOS e Android. A prática foi revelada em uma carta aberta publicada pelo senador americano Ron Wyden e, mais tarde, confirmada pela própria Apple, que disse ter sido impedida pelos legisladores de falar sobre o assunto.

• Como saber se seu celular está sendo rastreado e se proteger contra spywares
• O que é engenharia social? Veja como evitar problemas de segurança

Por meio de ordens judiciais que exigiam segredo, tanto a Maçã quanto o Google teriam sido impedidos de divulgar pedidos pelas notificações dos usuários em seus relatórios de transparência. As solicitações que pediam a entrega de notificações push dos usuários são vistas como uma forma de espionagem que, pelo menos na teoria, escapa de medidas de segurança impostas pelos próprios apps.

Conforme explicou Wyden, as ordens se aproveitam do funcionamento da própria tecnologia. Enquanto a comunicação entre apps é feita de forma direta, as notificações push precisam passar pelos servidores da Apple e Android, que servem como intermediários na entrega dos alertas; com eles, também viriam informações sensíveis que estariam sendo obtidas pelas autoridades.

Mensageiros como o WhatsApp, que possuem criptografia de ponta a ponta, estariam seguros por esse exato motivo, já que as notificações são protegidas pelo mesmo protocolo. O mesmo, entretanto, não pode ser dito de apps de entrega ou transporte, por exemplo, cujos alertas podem entregar a localização do usuário, detalhes sobre gastos e outras informações.

Mesmo sem ter acesso ao conteúdo das mensagens, o cruzamento das informações de notificação entre dois usuários também poderia revelar que eles estão se comunicando. Isso valeria até mesmo para aqueles que possuem recursos de segurança para evitar a exibição de mensagens nos alertas que aparecem na tela.

Os dados relacionados a notificações push seguem os mesmos requisitos de mensagens, ligações e outras informações, que precisam ser armazenadas por provedores de serviço. Assim, as ordens judiciais centralizam os pedidos sobre Apple e Google, que servem como intermediários, em vez de emitir solicitações individuais para empresas de tecnologia.

Denúncia levou à revelação de espionagem

Enquanto pedidos oficiais impediam que as fornecedoras divulgassem dados sobre a prática em seus relatórios de transparência, uma tecnicalidade foi capaz de mudar esse jogo. Quando Wyden divulgou o sistema publicamente, as ordens de sigilo deixaram de ter validade, com a Apple sendo a primeira a informar que passaria a incluir tais pedidos em seus levantamentos.

No comunicado enviado à imprensa americana, a Maçã foi taxativa, afirmando claramente que o governo americano proibiu a empresa de divulgar qualquer informação sobre os pedidos ligados às notificações push. O Google ainda não havia se pronunciado até a publicação desta reportagem.

De acordo com o senador americano, a carta aberta é resultado de uma investigação que começou em meados de 2022, quando uma denúncia foi recebida. O pedido, endereçado ao Departamento de Justiça, é por maior transparência em relação à prática e o fim das ordens de silêncio enviadas às fornecedoras de serviços online.

Fonte: 9to5Mac