.
Mais de 130 petições solicitando acesso a metadados de notificações push foram apresentadas em tribunais dos EUA, de acordo com uma investigação do Washington Post – uma conclusão que sublinha a falta de protecção da privacidade disponível para utilizadores de dispositivos móveis.
O mau estado da privacidade dos dispositivos móveis forneceu aos investigadores estaduais e federais dos EUA informações valiosas em investigações criminais envolvendo suspeitas de terrorismo, abuso sexual infantil, drogas e fraude – mesmo quando os suspeitos tentaram ocultar as suas comunicações utilizando mensagens encriptadas.
Mas também significa que os procuradores dos estados que proíbem o aborto podem exigir essas informações para localizar geograficamente as mulheres em unidades de saúde reprodutiva. Os governos estrangeiros também podem exigir metadados de notificações push da Apple, do Google, de serviços push de terceiros ou de desenvolvedores de aplicativos para suas próprias investigações criminais ou perseguições políticas. Já surgiu a preocupação de que eles possam ter feito isso há vários anos.
Em dezembro de 2023, o senador norte-americano Ron Wyden (D-OR) enviou uma carta ao Departamento de Justiça sobre uma denúncia recebida por seu gabinete em 2022, indicando que agências governamentais estrangeiras estavam exigindo registros de notificações push de smartphones do Google e da Apple.
“Tal como acontece com todas as outras informações que estas empresas armazenam para ou sobre os seus utilizadores, porque a Apple e o Google fornecem dados de notificação push, podem ser secretamente obrigados pelos governos a entregar esta informação”, escreveu Wyden.
Wyden escreveu ao Departamento de Justiça buscando esclarecimentos porque quando a equipe pediu à Apple e ao Google que esclarecessem as demandas de dados de notificação push, eles foram informados de que “as informações sobre esta prática estão restritas à divulgação pública pelo governo”.
Desde então, a Apple indicou que pretende fornecer mais informações sobre as exigências de dados push no seu relatório de transparência – o documento semestral que compila para listar os pedidos do governo para a sua intervenção. O Google também ofereceu garantias de que apoia uma maior transparência.
A Apple e o Google operam serviços de notificação push que retransmitem a comunicação de servidores de terceiros para aplicativos específicos em telefones iOS e Android. Os desenvolvedores de aplicativos podem criptografar essas mensagens quando elas são armazenadas (em trânsito, elas são protegidas por TLS), mas os metadados associados – o aplicativo que recebe a notificação, o carimbo de data/hora e os detalhes da rede – não são criptografados.
De acordo com o Washington Post, processos judiciais em 14 estados e no Distrito de Columbia demonstram que os investigadores estão usando metadados de notificações push.
Zach Edwards, consultor de segurança que dirige o Victory Medium, disse O registro que os metadados de notificações push são extremamente valiosos para organizações de marketing, para distribuidores de aplicativos como Apple e Google, e também para organizações governamentais e agências de aplicação da lei.
“Em 2022, descobriu-se que uma das maiores empresas de notificação push do mundo, a Pushwoosh, era secretamente uma empresa russa que enganou o CDC e o Exército dos EUA para que instalassem sua tecnologia em aplicativos governamentais específicos”, disse Edwards.
“Esses tipos de escândalos são a ponta do iceberg de como as notificações push podem ser abusadas e por que inúmeras organizações sérias se concentram nelas como fonte de inteligência”, explicou ele.
“Se você se inscrever para receber notificações push e viajar para locais exclusivos, à medida que as mensagens chegam ao seu dispositivo, detalhes específicos sobre o seu dispositivo, endereço IP e localização são compartilhados com lojas de aplicativos como Apple e Google”, acrescentou Edwards. “E as empresas de notificação push que oferecem suporte a esses serviços geralmente têm detalhes adicionais sobre os usuários, incluindo endereços de e-mail e IDs de usuários”.
Edwards continuou que outros identificadores podem privar ainda mais a privacidade das pessoas, observando que os identificadores de publicidade podem ser conectados a identificadores de notificação push. Ele apontou o Pushwoosh como um exemplo de empresa que construiu seu ID de notificação push usando o ID de publicidade do iOS.
“A maneira mais simples de pensar sobre notificações push”, disse ele, é “elas são como pequenas mensagens pré-agendadas de fornecedores de marketing, enviadas por meio de aplicativos móveis. Os dados necessários para 'ativar qualquer serviço de notificação push' são bastante invasivo e pode revelar/rastrear inesperadamente sua localização/armazenar seu movimento com uma empresa de marketing terceirizada ou uma das lojas de aplicativos, o que é apenas uma ordem judicial ou intimação para evitar a exposição potencial desses dados pessoais.” ®
.
