image

Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google

vrijdag 8 december 2023, 11:18 door Redactie, 7 reacties

Deze week maakten Apple en Google bekend dat overheidsinstanties voor surveillancedoeleinden metadata opvragen over naar gebruikers verstuurde pushnotificaties. Volgens versleutelde e-mailprovider Tuta laat dit zien waarom het zo belangrijk is dat er alternatieven zijn voor de pushnotificatie-services van Apple en Google. Zelf maakt Tuta geen gebruik van de Google-services en zegt het de Apple-notificatiedata zoveel mogelijk te beperken.

Tal van apps maken gebruik van pushnotificaties om gebruikers over bijvoorbeeld een nieuw bericht of 'breaking nieuws' te informeren. Ze worden echter niet direct via de app-aanbieder naar gebruikers verstuurd. Hiervoor wordt gebruikgemaakt van servers van Apple en Google. Daardoor beschikken de techbedrijven over allerlei informatie over de pushnotificaties, zoals wie de afzender of ontvanger is, en in bepaalde gevallen zelfs de onversleutelde inhoud.

"Daardoor zijn Apple en Google in een unieke positie om overheidssurveillance te faciliteren van hoe gebruikers bepaalde apps gebruiken", aldus de Amerikaanse senator Ron Wyden die de Amerikaanse minister van Justitie om opheldering hierover vroeg. "De data die deze twee bedrijven ontvangen bestaat uit metadata, waarin staat welke app een notificatie ontving en wanneer, alsmede de telefoon en het bijbehorende Apple- of Google-account waar de notificatie moet worden afgeleverd."

"Het niet gebruiken van Googles pushnotificatie-services was onze hoogste prioriteit toen we onze mail-app opnieuw ontwikkelden", aldus Tuta. De app maakt geen gebruik van deze services en heeft daardoor 'geen verbinding' met Google, wat gebruikers beschermt tegen het tracking-ecosysteem van Google en ongerechtvaardigde overheidssurveillance, laat de mailprovider verder weten.

In een blogposting legt Tuta uit hoe het Firebase Cloud Messaging (FCM), Googles service voor het versturen van pushnotificaties, heeft vervangen. Daarvoor besloot het een eigen pushnotificatie-service te maken. Volgens Tuta zouden gebruikers voor elke app zelf eenvoudig een notificatieprovider moeten kunnen kiezen. "Dit is geen technisch obstakel, maar zolang onze systemen worden gecontroleerd door grote spelers die dit niet toestaan, moeten we het zelf oplossen. Voor een vrij en open web moeten we onze privédata niet meer aan grote bedrijven geven. Daarom zeggen we: #NoMoreGoogle".

Reacties (7)
08-12-2023, 11:36 door Anoniem
Er is gewoon ntfy die je ook zelf kunt hosten.... https://ntfy.sh/
08-12-2023, 12:03 door Anoniem
Helemaal mee eens.
Van de Google/Apple appstore is via de rechter afgedwongen dat daar alternatieve voor mogelijk moeten zijn. Op dit moment geldt dat eerdergenoemde bedrijven een monopolie hebben op notificaties. Waarom zou ik een Firebase account moeten maken om een simpele notificatie te sturen naar mijn telefoon? "Alternatieve" in de vorm van een app[0] zijn er maar dit zou op OS-niveau configureerbaar moeten zijn. Wat het nu niet is.

[0] https://github.com/binwiederhier/ntfy
08-12-2023, 18:37 door Alexios
Door Anoniem: Er is gewoon ntfy die je ook zelf kunt hosten.... https://ntfy.sh/
Wanneer je een reactie plaatst, dan kun je een website adres aanklikbaar maken. Het viel mij in het begin ook niet op, maar door op de tekst Ondersteunde bbcodes te klikken, zorg je ervoor dat een klein overzicht open klapt om wat tekstopmaak toe te kunnen voegen.

ntfy kan een leuke functionaliteit bieden, maar het is niet zo dat het buiten de push dienstverlening van Google of Apple omgaat. Ook niet wanneer je voor de zelf hosting optie kiest. Wat je bij het zelf draaien van die software kunt besparen, zijn de maandelijkse abonnement kosten van ntfy die op https://ntfy.sh/#pricing genoemd worden.
09-12-2023, 05:14 door Anoniem
Door Alexios:
Door Anoniem: Er is gewoon ntfy die je ook zelf kunt hosten.... https://ntfy.sh/
Wanneer je een reactie plaatst, dan kun je een website adres aanklikbaar maken. Het viel mij in het begin ook niet op, maar door op de tekst Ondersteunde bbcodes te klikken, zorg je ervoor dat een klein overzicht open klapt om wat tekstopmaak toe te kunnen voegen.

ntfy kan een leuke functionaliteit bieden, maar het is niet zo dat het buiten de push dienstverlening van Google of Apple omgaat. Ook niet wanneer je voor de zelf hosting optie kiest. Wat je bij het zelf draaien van die software kunt besparen, zijn de maandelijkse abonnement kosten van ntfy die op https://ntfy.sh/#pricing genoemd worden.

Het is waarschijnlijker dat hij geen aanklikbare links wil aanmaken, want de meesten hier willen
absoluut niet zomaar op een link klikken.
09-12-2023, 09:39 door Anoniem
Bedenk wel dat als je iets bij een derde partij host je altijd hetzelfde probleem hebt als met apple/google: Kan je die partij vertrouwen? Je weet nooit 100% zeker wat ze allemaal met je data doen, ondanks mooie praatjes op de websites.
Daarnaast is ntfy geschreven in go, een taal van google, dus of de gegenereerde binary hij spywarevrij is is ook nog maar de vraag ...
09-12-2023, 10:04 door Anoniem
Tuta schrijft in hun blogposting dat ze FCM in hun app vervangen hebben door het SSE (Server Sent Events) protocol.

We’ve made a research on how others (Signal, Wire, Conversations, Riot, Facebook, Mastodon) have been solving similar problems. We had several options in mind, including WebSockets, MQTT, Server Sent Events and HTTP/2 Server Push. We settled on the SSE (Server Sent Events) because it seemed like a simple solution.

https://tuta.com/blog/open-source-email-fdroid
26-01-2024, 11:57 door Anoniem
Onderzoek: iOS-apps gebruiken pushnotificaties om stiekem data te verzamelen
vrijdag 26 januari 2024, 11:10 door Redactie

https://www.security.nl/posting/827000/Onderzoek%3A+iOS-apps+gebruiken+pushnotificaties+om+stiekem+data+te+verzamelen
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.