Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google
Deze week maakten Apple en Google bekend dat overheidsinstanties voor surveillancedoeleinden metadata opvragen over naar gebruikers verstuurde pushnotificaties. Volgens versleutelde e-mailprovider Tuta laat dit zien waarom het zo belangrijk is dat er alternatieven zijn voor de pushnotificatie-services van Apple en Google. Zelf maakt Tuta geen gebruik van de Google-services en zegt het de Apple-notificatiedata zoveel mogelijk te beperken.
Tal van apps maken gebruik van pushnotificaties om gebruikers over bijvoorbeeld een nieuw bericht of 'breaking nieuws' te informeren. Ze worden echter niet direct via de app-aanbieder naar gebruikers verstuurd. Hiervoor wordt gebruikgemaakt van servers van Apple en Google. Daardoor beschikken de techbedrijven over allerlei informatie over de pushnotificaties, zoals wie de afzender of ontvanger is, en in bepaalde gevallen zelfs de onversleutelde inhoud.
"Daardoor zijn Apple en Google in een unieke positie om overheidssurveillance te faciliteren van hoe gebruikers bepaalde apps gebruiken", aldus de Amerikaanse senator Ron Wyden die de Amerikaanse minister van Justitie om opheldering hierover vroeg. "De data die deze twee bedrijven ontvangen bestaat uit metadata, waarin staat welke app een notificatie ontving en wanneer, alsmede de telefoon en het bijbehorende Apple- of Google-account waar de notificatie moet worden afgeleverd."
"Het niet gebruiken van Googles pushnotificatie-services was onze hoogste prioriteit toen we onze mail-app opnieuw ontwikkelden", aldus Tuta. De app maakt geen gebruik van deze services en heeft daardoor 'geen verbinding' met Google, wat gebruikers beschermt tegen het tracking-ecosysteem van Google en ongerechtvaardigde overheidssurveillance, laat de mailprovider verder weten.
In een blogposting legt Tuta uit hoe het Firebase Cloud Messaging (FCM), Googles service voor het versturen van pushnotificaties, heeft vervangen. Daarvoor besloot het een eigen pushnotificatie-service te maken. Volgens Tuta zouden gebruikers voor elke app zelf eenvoudig een notificatieprovider moeten kunnen kiezen. "Dit is geen technisch obstakel, maar zolang onze systemen worden gecontroleerd door grote spelers die dit niet toestaan, moeten we het zelf oplossen. Voor een vrij en open web moeten we onze privédata niet meer aan grote bedrijven geven. Daarom zeggen we: #NoMoreGoogle".
Van de Google/Apple appstore is via de rechter afgedwongen dat daar alternatieve voor mogelijk moeten zijn. Op dit moment geldt dat eerdergenoemde bedrijven een monopolie hebben op notificaties. Waarom zou ik een Firebase account moeten maken om een simpele notificatie te sturen naar mijn telefoon? "Alternatieve" in de vorm van een app[0] zijn er maar dit zou op OS-niveau configureerbaar moeten zijn. Wat het nu niet is.
[0] https://github.com/binwiederhier/ntfy
ntfy kan een leuke functionaliteit bieden, maar het is niet zo dat het buiten de push dienstverlening van Google of Apple omgaat. Ook niet wanneer je voor de zelf hosting optie kiest. Wat je bij het zelf draaien van die software kunt besparen, zijn de maandelijkse abonnement kosten van ntfy die op https://ntfy.sh/#pricing genoemd worden.
ntfy kan een leuke functionaliteit bieden, maar het is niet zo dat het buiten de push dienstverlening van Google of Apple omgaat. Ook niet wanneer je voor de zelf hosting optie kiest. Wat je bij het zelf draaien van die software kunt besparen, zijn de maandelijkse abonnement kosten van ntfy die op https://ntfy.sh/#pricing genoemd worden.
Het is waarschijnlijker dat hij geen aanklikbare links wil aanmaken, want de meesten hier willen
absoluut niet zomaar op een link klikken.
Daarnaast is ntfy geschreven in go, een taal van google, dus of de gegenereerde binary hij spywarevrij is is ook nog maar de vraag ...
https://tuta.com/blog/open-source-email-fdroid
vrijdag 26 januari 2024, 11:10 door Redactie
https://www.security.nl/posting/827000/Onderzoek%3A+iOS-apps+gebruiken+pushnotificaties+om+stiekem+data+te+verzamelen
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
