È possibile spiare gli utenti attraverso le apparentemente innocue notifiche push? A quanto pare sì, ed è un colosso del calibro di Apple a confermare che governi stranieri hanno attivamente utilizzato questa soluzione. Tali governi hanno ordinato all’azienda di Cupertino e a Google di consegnare i dettagli delle push inviate agli iPhone e agli smartphone Android rispettivamente.
Le notifiche push per sorvegliare gli utenti: Apple e Google costrette a condividere informazioni con i governi stranieri
Questa sorprendente scoperta è venuta fuori grazie alle indagini del senatore Ron Wyden, membro delle commissione di intelligence del Senato degli Stati Uniti d’America. «Nella primavera del 2022, il mio ufficio ha ricevuto una soffiata secondo cui le agenzie governative di paesi stranieri richiedevano a Apple e Google i dettagli delle notifiche push inviate agli smartphone. Dopo la segnalazione, il mio staff ha dato il via alle indagini», ha dichiarato Wyden.
Lo stesso ha fornito informazioni più dettagliate sul funzionamento di questa sconcertante modalità di spionaggio. «Le notifiche push […] non vengono inviate direttamente dal fornitore dell’app agli smartphone degli utenti. Passano invece attraverso una sorta di ufficio postale digitale gestito dal fornitore del sistema operativo dello dispositivo. Per gli iPhone, questo servizio è fornito dal servizio di notifica push di Apple; per quanto riguarda Android, si tratta di Firebase Cloud Messaging di Google. Questi servizi garantiscono la consegna tempestiva ed efficiente delle notifiche, ma ciò significa anche che Apple e Google fungono da intermediari nel processo di trasmissione».
«Come per tutte le altre informazioni che queste aziende archiviano per o suoi propri utenti», ha continuato Wyden, «Apple e Google possono essere costrette a fornire segretamente i dettagli sulle notifiche push ai governi».
Alla luce di quanto emerso, Wyden ha chiesto alle due aziende coinvolte di confermare quanto descritto e ha scritto una lettera aperta al Dipartimento di Giustizia degli Stati Uniti per chiedere la revoca dell’obbligo di segretezza.
«Ad Apple e Google dovrebbe essere consentito di essere trasparenti circa le richieste che ricevono, soprattutto quelle che provengono da governi stranieri. […] A queste aziende dovrebbe essere consentito di rivelare se sono state costrette a supportare questa pratica di sorveglianza, […] di informare i clienti sulle richieste specifiche sui loro dati».
Quella di Wayden è stata una mossa molto intelligente. Ora che le informazioni sono di dominio pubblico, i requisiti di segretezza imposti ad Apple e Google non possono più essere applicati. A prescindere dunque dalla risposta del Dipartimento di Giustizia, le due aziende possono ora includere questi dettagli nei loro report sulla trasparenza.
E in effetti Apple si è già mossa in questa direzione. Un portavoce del colosso californiano ha comunicato alla redazione di 9to5mac quanto segue:
Apple ha a cuore la trasparenza e da tempo sostiene gli sforzi per garantire che i fornitori siano in grado di divulgare quante più informazioni possibili ai propri utenti. In questo caso, il governo federale ci ha vietato di condividere qualsiasi informazione e ora che questa notizia è diventata pubblica, stiamo aggiornando il nostro reporting sulla trasparenza per fare maggior chiarezza.
Cosa possono rivelare i dati legati alle notifiche push
Nel caso di servizi di messaggistica istantanea con crittografia end-to-end (come iMessage e WhatsApp), i messaggi sono protetti, quindi Apple e Google – anche se costrette – non potrebbero trasmettere il contenuto del messaggio a chiunque lo chieda.
Per quanto riguarda invece altri servizi, come quelli per la consegna del cibo (Uber Eats, Glovo, Just Eat e così via), possono effettivamente rivelare informazioni, come la posizione approssimativa dell’utente.
Ma si può ipotizzare anche altro. Un governo potrebbe facilmente risalire ad esempio ad un informatore di un giornalista (soprattutto se i due si trovano in paesi diversi) semplicemente monitorando il numero di messaggi che i due si sono scambiati in un determinato periodo. Insomma, pur non potendo accedere al contenuto dei messaggi, si potrebbero comunque trarre delle conclusioni.
Immagine di copertina ©TechCrunch