image

Senator VS: overheden bespioneren Android- en iPhone-gebruikers via pushnotificaties

woensdag 6 december 2023, 15:06 door Redactie, 15 reacties

Overheidsinstanties maken gebruik van de pushnotificaties die naar Android- en iPhone-gebruikers worden verstuurd om deze gebruikers te bespioneren, zo stelt de Amerikaanse senator Ron Wyden, die de Amerikaanse minister van Justitie om opheldering heeft gevraagd. Wyden ontving vorig jaar naar eigen zeggen een tip dat niet nader genoemde overheidsinstanties in het buitenland gegevens over pushnotificaties bij Apple en Google opvragen, waarmee overheidssurveillance mogelijk is.

Tal van apps maken gebruik van pushnotificaties om gebruikers over bijvoorbeeld een nieuw bericht of 'breaking nieuws' te informeren. Ze worden echter niet direct via de app-aanbieder naar gebruikers verstuurd. Hiervoor wordt gebruikgemaakt van servers van Apple en Google. Daardoor beschikken de techbedrijven over allerlei informatie over de pushnotificaties, zoals wie de afzender of ontvanger is, en in bepaalde gevallen zelfs de onversleutelde inhoud.

"Daardoor zijn Apple en Google in een unieke positie om overheidssurveillance te faciliteren van hoe gebruikers bepaalde apps gebruiken", aldus Wyden (pdf). "De data die deze twee bedrijven ontvangen bestaat uit metadata, waarin staat welke app een notificatie ontving en wanneer, alsmede de telefoon en het bijbehorende Apple- of Google-account waar de notificatie moet worden afgeleverd."

Medewerkers van Wyden vroegen Apple en Google om opheldering, maar de bedrijven stelden dat de Amerikaanse overheid het hen heeft verboden om hier informatie over te openbaren. De Amerikaanse senator wil nu dat de techbedrijven transparant mogen zijn over de wettelijke eisen die ze ontvangen, met name van buitenlandse overheden. "De bedrijven moeten worden toegestaan om te laten weten of ze gedwongen zijn deze surveillance te faciliteren."

Reacties (15)
06-12-2023, 15:27 door Anoniem
Om redenen zoals deze (en meer) gebruik ik een AOSP-gebaseerde firmware zonder Google Play Services geinstalleerd, ik raad ieder die niet te afhankelijk van derden willen zijn hetzelfde aan.
Diensten zoals Signal/Molly-FOSS messenger hebben een ingebouwde voorziening voor pushnotificaties zonder afhankelijk te hoeven zijn van GSF.
06-12-2023, 15:52 door Anoniem
LineageOS met microG of /e/OS


App-info
microG Services Core

Extra instellingen in de app

microG Instellingen

> Account
[verwijder Google account]

> Google account registratie
[on|off]

> Cloud Messaging
[on|off] <-- push-berichten uitzetten

> Google SafetyNet
[on|off]

Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.
06-12-2023, 16:02 door Anoniem
Door Anoniem: LineageOS met microG of /e/OS


App-info
microG Services Core

Extra instellingen in de app

microG Instellingen

> Account
[verwijder Google account]

> Google account registratie
[on|off]

> Cloud Messaging
[on|off] <-- push-berichten uitzetten

> Google SafetyNet
[on|off]

Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.
Dat er instellingen zijn wil nog niet zeggen dat deze gerespecteerd worden c.q. ook iets doen.
06-12-2023, 16:41 door Anoniem
Door Anoniem: LineageOS met microG of /e/OS


App-info
microG Services Core

Extra instellingen in de app

microG Instellingen

> Account
[verwijder Google account]

> Google account registratie
[on|off]

> Cloud Messaging
[on|off] <-- push-berichten uitzetten

> Google SafetyNet
[on|off]

Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.

Zelf microG er ook uitgesloopt, blijft een backdoor. Dan maar geen bank app etc.
06-12-2023, 16:50 door Anoniem
Door Anoniem:
Het een en andere kan tot gevolg hebben dat sommige bank of verzekering apps niet meer of onvolledig werken. Men ontvangt door Cloud Messaging uit te zetten ook geen push-berichten meer van bijvoorbeeld nieuwe DigiD app updates.

Tijd voor kamer vragen, dat de DidiD app firebase gebruikt en push notificaties is dus duidelijk een datalek. Moeten ze dat niet melden bij het AP?
06-12-2023, 17:12 door Anoniem
Door Anoniem: Dat er instellingen zijn wil nog niet zeggen dat deze gerespecteerd worden

Er bestaan wifi-scanners en andere geavanceerde utilities om dat te controleren.

https://en.wikipedia.org/wiki/Packet_analyzer

Door Anoniem: Zelf microG er ook uitgesloopt, blijft een backdoor. Dan maar geen bank app etc.

Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)
06-12-2023, 18:28 door Anoniem
En jullie vinden dat vreemd?

Het hele internet is nooit ontworpen geweest met privacy in gedachten!
06-12-2023, 19:49 door Anoniem
Door Anoniem:
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)

Helaas is dat niet mogelijk, het business model is te goed. Maar ik hoef niet vrijwillig mee te werken.

https://slate.com/technology/2023/12/ai-mass-spying-internet-surveillance.html

Before the internet, putting someone under surveillance was expensive and time-consuming. You had to manually follow someone around, noting where they went, whom they talked to, what they purchased, what they did, and what they read. That world is forever gone. Our phones track our locations. Credit cards track our purchases. Apps track whom we talk to, and e-readers know what we read. Computers collect data about what we’re doing on them, and as both storage and processing have become cheaper, that data is increasingly saved and used. What was manual and individual has become bulk and mass. Surveillance has become the business model of the internet, and there’s no reasonable way for us to opt out of it.
06-12-2023, 20:47 door Anoniem
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)

Nee, dat behoort helaas niet meer tot de mogelijkheden. Probeer nu en helemaal over een paar jaar maar eens iets niet digitaal (met verplichting van biometrie, smartphone/app) te regelen.

Uiteraard zijn er ook een heleboel dingen die we allemaal graag zouden willen missen uit die steentijd; al is het alleen al een warm, droog en veilig bed, bad en brood :)
06-12-2023, 21:39 door johanw
Door Anoniem: Om redenen zoals deze (en meer) gebruik ik een AOSP-gebaseerde firmware zonder Google Play Services geinstalleerd,
Wat ik er zo van lees moet je ook nog een Google Ply account actief hebben op de telefoon zodat ze je identiteit aan die berichten gekoppeld kan worden. Maar voor het ontvangen van notificaties is dat niet nodig.
07-12-2023, 08:18 door majortom - Bijgewerkt: 07-12-2023, 08:20
Door Anoniem:
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)

Nee, dat behoort helaas niet meer tot de mogelijkheden. Probeer nu en helemaal over een paar jaar maar eens iets niet digitaal (met verplichting van biometrie, smartphone/app) te regelen.
Nu lukt dat nog wel. En (digitale) biometrische identificatie en authenticatie weiger ik nu en in de toekomst evenals accounts bij (Amerikaanse) techreuzen die niets anders willen dan mijn doen en laten commercieel uitbuiten.
07-12-2023, 08:55 door Anoniem
Door Anoniem: En jullie vinden dat vreemd?

Het hele internet is nooit ontworpen geweest met privacy in gedachten!
Het internet is ook nooit ontworpen met exploitatie van persoonsgegevens in gedachten. Er zijn partijen die dat via het internet doen, en grootschalig ook, maar het is niet inherent aan hoe het internet werkt, al willen die misbruikende partijen je dat graag doen geloven.

Ga maar na: IP blijft gewoon werken als ze je niet profileren, HTTPS blijft gewoon werken, HTML, JavaScript, CSS etc. blijven gewoon werken, SMTP/POP3/IMAP blijven gewoon werken, het MIME-formaat blijft gewoon werken, en ga zo maar door. Al die dingen die het internet het internet maken blijven gewoon werken als ze je niet tracken en profileren.

Misschien denk je dat Google/Twitter/X/Facebook/Instagram/TikTok/etc. definiëren wat het internet is. Dat klopt niet, hoe groot en alomtegenwoordig ze ook zijn, zijn het uiteindelijk toch alleen maar webapplicaties die via het internet toegankelijk zijn. Het internet zelf is het geheel van met elkaar verbonden computernetwerken, met IP als verbindend low-level-protocol en een verzameling andere protocollen en formaten die maken dat applicaties met elkaar kunnen praten.

Persoonlijk verdom ik het om het normaal te gaan vinden. Zonder naïef te zijn erover blijf ik het dus vreemd, want niet normaal, vinden.
07-12-2023, 12:24 door Anoniem
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)
1984 is ver genoeg terug, toen er nog geen sprake was dat een boek uit 1948 kon voorspellen hoe het zou vergaan ná 't jaar 1984.
07-12-2023, 14:02 door Anoniem
Door Anoniem:
Terug naar de oude steentijd. Dat behoort inderdaad ook tot de mogelijkheden. :)
1984 is ver genoeg terug...

In een ruim vijfduizend jaar oud massagraf zijn zo veel ingeslagen schedels en botten met snijwonden gevonden, dat de betrokken archeologen voorzichtig concluderen dat oorlogvoering in de prehistorie weleens groter en beter georganiseerd kan zijn geweest dan tot nu werd gedacht. Het concept van het vreedzame neolithicum is dood.

https://www.nrc.nl/nieuws/2023/11/07/vredig-in-de-late-steentijd-sloegen-ze-elkaar-georganiseerd-de-hersens-in-a4180029
08-12-2023, 11:30 door Anoniem
Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google
vrijdag 8 december 2023, 11:18 door Redactie

https://www.security.nl/posting/821394/Tuta%3A+alternatieven+nodig+voor+pushnotificatie-services

In een blogposting [1] legt Tuta uit hoe het Firebase Cloud Messaging (FCM), Googles service voor het versturen van pushnotificaties, heeft vervangen. Daarvoor besloot het een eigen pushnotificatie-service te maken.

[1] https://tuta.com/blog/open-source-email-fdroid
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.