Senator VS: overheden bespioneren Android- en iPhone-gebruikers via pushnotificaties
Overheidsinstanties maken gebruik van de pushnotificaties die naar Android- en iPhone-gebruikers worden verstuurd om deze gebruikers te bespioneren, zo stelt de Amerikaanse senator Ron Wyden, die de Amerikaanse minister van Justitie om opheldering heeft gevraagd. Wyden ontving vorig jaar naar eigen zeggen een tip dat niet nader genoemde overheidsinstanties in het buitenland gegevens over pushnotificaties bij Apple en Google opvragen, waarmee overheidssurveillance mogelijk is.
Tal van apps maken gebruik van pushnotificaties om gebruikers over bijvoorbeeld een nieuw bericht of 'breaking nieuws' te informeren. Ze worden echter niet direct via de app-aanbieder naar gebruikers verstuurd. Hiervoor wordt gebruikgemaakt van servers van Apple en Google. Daardoor beschikken de techbedrijven over allerlei informatie over de pushnotificaties, zoals wie de afzender of ontvanger is, en in bepaalde gevallen zelfs de onversleutelde inhoud.
"Daardoor zijn Apple en Google in een unieke positie om overheidssurveillance te faciliteren van hoe gebruikers bepaalde apps gebruiken", aldus Wyden (pdf). "De data die deze twee bedrijven ontvangen bestaat uit metadata, waarin staat welke app een notificatie ontving en wanneer, alsmede de telefoon en het bijbehorende Apple- of Google-account waar de notificatie moet worden afgeleverd."
Medewerkers van Wyden vroegen Apple en Google om opheldering, maar de bedrijven stelden dat de Amerikaanse overheid het hen heeft verboden om hier informatie over te openbaren. De Amerikaanse senator wil nu dat de techbedrijven transparant mogen zijn over de wettelijke eisen die ze ontvangen, met name van buitenlandse overheden. "De bedrijven moeten worden toegestaan om te laten weten of ze gedwongen zijn deze surveillance te faciliteren."
Diensten zoals Signal/Molly-FOSS messenger hebben een ingebouwde voorziening voor pushnotificaties zonder afhankelijk te hoeven zijn van GSF.
App-info
microG Services Core
Extra instellingen in de app
microG Instellingen
> Account
[verwijder Google account]
> Google account registratie
[on|off]
> Cloud Messaging
[on|off] <-- push-berichten uitzetten
> Google SafetyNet
[on|off]
Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.
App-info
microG Services Core
Extra instellingen in de app
microG Instellingen
> Account
[verwijder Google account]
> Google account registratie
[on|off]
> Cloud Messaging
[on|off] <-- push-berichten uitzetten
> Google SafetyNet
[on|off]
Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.
App-info
microG Services Core
Extra instellingen in de app
microG Instellingen
> Account
[verwijder Google account]
> Google account registratie
[on|off]
> Cloud Messaging
[on|off] <-- push-berichten uitzetten
> Google SafetyNet
[on|off]
Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.
Zelf microG er ook uitgesloopt, blijft een backdoor. Dan maar geen bank app etc.
Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.
Tijd voor kamer vragen, dat de DidiD app firebase gebruikt en push notificaties is dus duidelijk een datalek. Moeten ze dat niet melden bij het AP?
Er bestaan wifi-scanners en andere geavanceerde utilities om dat te controleren.
https://en.wikipedia.org/wiki/Packet_analyzer
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)
Het hele internet is nooit ontworpen geweest met privacy in gedachten!
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)
Helaas is dat niet mogelijk, het business model is te goed. Maar ik hoef niet vrijwillig mee te werken.
https://slate.com/technology/2023/12/ai-mass-spying-internet-surveillance.html
Nee, dat behoort helaas niet meer tot de mogelijkheden. Probeer nu en helemaal over een paar jaar maar eens iets niet digitaal (met verplichting van biometrie, smartphone/app) te regelen.
Uiteraard zijn er ook een heleboel dingen die we allemaal graag zouden willen missen uit die steentijd; al is het alleen al een warm, droog en veilig bed, bad en brood :)
Nee, dat behoort helaas niet meer tot de mogelijkheden. Probeer nu en helemaal over een paar jaar maar eens iets niet digitaal (met verplichting van biometrie, smartphone/app) te regelen.
Het hele internet is nooit ontworpen geweest met privacy in gedachten!
Ga maar na: IP blijft gewoon werken als ze je niet profileren, HTTPS blijft gewoon werken, HTML, JavaScript, CSS etc. blijven gewoon werken, SMTP/POP3/IMAP blijven gewoon werken, het MIME-formaat blijft gewoon werken, en ga zo maar door. Al die dingen die het internet het internet maken blijven gewoon werken als ze je niet tracken en profileren.
Misschien denk je dat Google/Twitter/X/Facebook/Instagram/TikTok/etc. definiëren wat het internet is. Dat klopt niet, hoe groot en alomtegenwoordig ze ook zijn, zijn het uiteindelijk toch alleen maar webapplicaties die via het internet toegankelijk zijn. Het internet zelf is het geheel van met elkaar verbonden computernetwerken, met IP als verbindend low-level-protocol en een verzameling andere protocollen en formaten die maken dat applicaties met elkaar kunnen praten.
Persoonlijk verdom ik het om het normaal te gaan vinden. Zonder naïef te zijn erover blijf ik het dus vreemd, want niet normaal, vinden.
In een ruim vijfduizend jaar oud massagraf zijn zo veel ingeslagen schedels en botten met snijwonden gevonden, dat de betrokken archeologen voorzichtig concluderen dat oorlogvoering in de prehistorie weleens groter en beter georganiseerd kan zijn geweest dan tot nu werd gedacht. Het concept van het vreedzame neolithicum is dood.
https://www.nrc.nl/nieuws/2023/11/07/vredig-in-de-late-steentijd-sloegen-ze-elkaar-georganiseerd-de-hersens-in-a4180029
vrijdag 8 december 2023, 11:18 door Redactie
https://www.security.nl/posting/821394/Tuta%3A+alternatieven+nodig+voor+pushnotificatie-services
[1] https://tuta.com/blog/open-source-email-fdroid
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
