El senador estadounidense Ron Wyden (D-OR) advirtió en una carta al Departamento de Justicia que gobiernos no identificados están espiando a los usuarios de teléfonos de Apple y Google a través de sus notificaciones automáticas. La carta dice que su oficina recibió un aviso el año pasado de que agencias gubernamentales en países extranjeros estaban «exigiendo» registros de notificaciones automáticas a los gigantes tecnológicos.
Las notificaciones automáticas son mensajes emergentes que aparecen en la pantalla de bloqueo y en la pantalla de inicio para alertarle sobre nuevos mensajes, actualizaciones, noticias de última hora y otras actualizaciones de aplicaciones. Dado que estas notificaciones automáticas pasan a través de los servidores de Apple y Google, los gigantes tecnológicos están «en una posición única para facilitar la vigilancia gubernamental de cómo los usuarios utilizan aplicaciones particulares», explica Wyden, que forma parte del Comité de Inteligencia del Senado, en la carta, que fue compartido con TechCrunch.
Wyden señala que Apple y Google pueden ser “obligados secretamente por los gobiernos a entregar esta información”.
«Se debería permitir a Apple y Google ser transparentes sobre las demandas legales que reciben, particularmente de gobiernos extranjeros, del mismo modo que las empresas notifican periódicamente a los usuarios sobre otros tipos de demandas gubernamentales de datos», escribió Wyden en la carta.
“Se debería permitir a estas empresas revelar en general si han sido obligadas a facilitar esta práctica de vigilancia, publicar estadísticas agregadas sobre el número de demandas que reciben y, a menos que un tribunal las silencie temporalmente, notificar a clientes específicos sobre las demandas de sus datos. «
Wyden pidió al Departamento de Justicia que derogue o modifique “cualquier política que impida esta transparencia”.
La carta fue reportada por primera vez por Reuters.
Los datos de estas notificaciones push brindan a Apple y Google información sobre qué aplicación recibió una notificación y cuándo, además de detalles sobre el teléfono y la cuenta de Apple o Google asociada con la notificación. La carta explica que, en determinados casos, las empresas también pueden recibir contenido cifrado, que podría incluir el texto real que se muestra en la notificación.
La carta de Wyden no especifica qué gobiernos extranjeros han pedido a Apple y Google información sobre notificaciones automáticas.
Reuters informa, citando una fuente, que agencias gubernamentales extranjeras y estadounidenses han solicitado a Apple y Google metadatos de notificaciones automáticas, incluida información que vincula a los usuarios de aplicaciones seudónimas con cuentas específicas de Apple o Google.
En un correo electrónico a TechCrunch, el portavoz de Apple, Shane Bauer, dijo que el gobierno federal impidió que el gigante tecnológico compartiera información sobre el asunto.
«Apple está comprometida con la transparencia y hemos apoyado durante mucho tiempo los esfuerzos para garantizar que los proveedores puedan revelar la mayor cantidad de información posible a sus usuarios», dijo el portavoz de Apple. “En este caso, el gobierno federal nos prohibió compartir cualquier información y ahora que este método se ha hecho público estamos actualizando nuestros informes de transparencia para detallar este tipo de solicitudes”.
Apple dijo que el gigante tecnológico comenzará a desglosar las solicitudes de tokens de notificación automática que recibió en su próximo informe de transparencia.
El portavoz de Google, Matt Bryant, dijo a TechCrunch que la compañía comparte el «compromiso de Wyden de mantener a los usuarios informados sobre estas solicitudes».
«Fuimos la primera empresa importante en publicar un informe de transparencia pública que comparte la cantidad y los tipos de solicitudes gubernamentales de datos de usuarios que recibimos, incluidas las solicitudes a las que se refiere el senador Wyden», se lee en el comunicado.
Una orden de registro presentada en California en relación con un caso de robo criminal detalla cómo se pueden utilizar las notificaciones automáticas para obtener información sobre una persona. La orden de registro, vista por TechCrunch, incluye una sección donde un agente especial del FBI escribe que cuando un usuario instala y descarga una aplicación, la aplicación dirige su teléfono para obtener un token de inserción, que es un identificador único que permite a Google localizar qué dispositivo la aplicación está instalada en.
“Después de que el servicio de notificaciones push aplicable (por ejemplo, Apple Push Notifications (APN) o Google Cloud Messaging) envía un Push Token al dispositivo, el Token se envía a la aplicación, que a su vez envía el Push Token al servidor/ proveedor”, se lee en el expediente. Luego, cada vez que una empresa envía notificaciones push al dispositivo de una persona, también envía Push Tokens.
Luego, el registro continúa señalando que los servidores de Google contienen «información útil que puede ayudar a identificar los dispositivos específicos utilizados por un suscriptor en particular para acceder a la cuenta de Google del suscriptor a través de la aplicación móvil».
404 Media informó anteriormente sobre otro caso judicial en el que se obtuvieron registros de notificaciones automáticas utilizando un lenguaje repetitivo similar.