Algunos gobiernos están espiando las notificaciones push enviadas a usuarios de iPhone, confirmó Apple el miércoles. Al examinar los registros de notificaciones push enviadas por varias aplicaciones, las autoridades pueden reunir información sorprendentemente detallada sobre los usuarios de teléfonos inteligentes y sus actividades.
La recopilación de datos previamente no divulgada, que también afecta a dispositivos Android, se hizo pública después de que el senador Roy Wyden publicara una carta abierta al fiscal general Merrick B. Garland el miércoles solicitando la divulgación del método de vigilancia.
El espionaje de notificaciones push está sucediendo
“Escribo para instar al Departamento de Justicia (DOJ) a permitir que Apple y Google informen a sus clientes y al público en general sobre las solicitudes de registros de notificaciones de aplicaciones para teléfonos inteligentes”, escribió Wyden.
A diferencia de iMessage, que mantiene los mensajes entre usuarios de iPhone seguros detrás de un cifrado de extremo a extremo, las notificaciones push de las aplicaciones fluyen a través de servidores operados por Apple. Y eso los hace susceptibles a demandas del gobierno para obtener información.
Aunque no son tan sensibles como los mensajes de texto, correos electrónicos o llamadas telefónicas, las notificaciones push pueden revelar cierta información sobre los usuarios.
El acceso a las notificaciones push enviadas por una aplicación de entrega o un servicio de uso compartido de automóviles podría, por ejemplo, permitir a las autoridades localizar la ubicación de un usuario de iPhone. Los gobiernos incluso podrían potencialmente reunir interacciones entre múltiples usuarios de teléfonos inteligentes.
Los gobiernos extranjeros buscan registros de notificaciones push de Apple y Google
Wyden dijo que su oficina comenzó a investigar el espionaje de notificaciones push después de recibir un aviso a principios de 2022 de que “agencias gubernamentales de países extranjeros estaban exigiendo registros de notificaciones ‘push’ de teléfonos inteligentes de Google y Apple”.
Así como a veces los gobiernos solicitan datos sobre dispositivos individuales de personas, cuentas e información financiera, que Apple y Google solicitan o niegan caso por caso, aparentemente países no identificados piden rutinariamente registros de notificaciones push.
“Apple y Google están en una posición única para facilitar la vigilancia gubernamental sobre cómo los usuarios están utilizando aplicaciones específicas”, escribió Wyden. “Los datos que reciben estas dos compañías incluyen metadatos, detallando qué aplicación recibió una notificación y cuándo, así como el teléfono y la cuenta de Apple o Google asociados a los que se suponía que se debía enviar esa notificación. En ciertos casos, también podrían recibir contenido no cifrado, que podría variar desde directivas de backend para la aplicación hasta el texto real mostrado a un usuario en una notificación de la aplicación.”
Se revela un nuevo tipo de espionaje gubernamental en iPhones y dispositivos Android
La carta de Wyden no reveló qué países hacen este tipo de solicitudes de datos a Apple y Google. Sin embargo, sí hizo que este tipo de vigilancia se hiciera pública. Y eso, a su vez, liberó a Apple y a Google para informar a sus clientes sobre la situación.
“Apple se compromete a la transparencia y desde hace mucho tiempo ha sido partidario de los esfuerzos para garantizar que los proveedores puedan divulgar la mayor cantidad de información posible a sus usuarios”, dijo la compañía en un comunicado el miércoles. “En este caso, el gobierno federal nos prohibió compartir cualquier información y ahora que este método se ha hecho público, estamos actualizando nuestra divulgación de transparencia para detallar este tipo de solicitudes”.
Apple actualizó su documento de Directrices sobre el Proceso Legal (.pdf) para incluir información sobre cómo maneja las solicitudes de notificaciones push de las fuerzas del orden.
“Cuando los usuarios permiten que una aplicación que han instalado reciba notificaciones push, se genera y registra un token del Servicio de Notificación Push de Apple (APNs) para ese desarrollador y dispositivo”, dice el documento. “Algunas aplicaciones pueden tener varios tokens APNs para una cuenta en un dispositivo para diferenciar entre mensajes y contenido multimedia. El ID de Apple asociado con un token APNs registrado puede obtenerse con una citación o un mayor proceso legal.”
Apple regularmente divulga las solicitudes gubernamentales de información del usuario en sus Informes de Transparencia semestrales.
Google le dijo a Reuters que comparte el “compromiso de Wyden de mantener a los usuarios informados sobre estas solicitudes”.
Y el Washington Post informó que Google mantiene a las agencias de cumplimiento de la ley a un nivel más alto antes de entregar datos de notificaciones push de los usuarios.
“Para las solicitudes de notificaciones push y otra información no relacionada con el contenido, Google dijo que requiere una orden judicial, no solo una citación, que esté sujeta a supervisión judicial”, escribió el Post. “Con esas órdenes, los funcionarios federales deben persuadir a un juez de que los datos solicitados sean relevantes y materiales para una investigación criminal en curso.”
El Post dijo que “encontró más de dos docenas de solicitudes de orden de registro y otros documentos en registros judiciales relacionados con solicitudes federales de datos de notificaciones push” de aplicaciones creadas por Apple, Google, Amazon y otros.
Algunas solicitudes se referían a investigaciones sobre los disturbios del 6 de enero de 2021 en el Capitolio de los EE. UU. Otras “buscaron datos sobre sospechosos acusados de lavado de dinero y distribución de material de abuso sexual infantil”, dijo el Post.
Nota: Originalmente publicamos esta entrada el 6 de diciembre de 2023. La actualizamos con información adicional sobre las reglas de Apple y Google para el cumplimiento de las solicitudes de cumplimiento de la ley relacionadas con las notificaciones push.