FBI gebruikt pushnotificaties voor het opsporen van verdachten
De FBI maakt gebruik van pushnotificaties voor het opsporen van verdachten, zo meldt The Washington Post. De krant beschrijft een zaak waarin een verdachte zijn sporen via de app TeleGuard probeerde te verbergen. Een Zwitserse 'secure messenger' die anonimiteit zegt te garanderen. In het onderzoek naar de verdachte zorgde een buitenlandse opsporingsdienst ervoor dat TeleGuard een push token verstrekte waarmee het pushnotificaties naar gebruikers verstuurt.
Tal van apps maken gebruik van pushnotificaties om gebruikers over bijvoorbeeld een nieuw bericht of 'breaking nieuws' te informeren. Ze worden echter niet direct via de app-aanbieder naar gebruikers verstuurd. Hiervoor wordt gebruikgemaakt van servers van Apple en Google. Om een pushnotificatie te kunnen versturen moet de betreffende app eerst een token genereren waarmee het techbedrijf het apparaat van de gebruiker kan vinden. Die tokens worden op de servers van Apple en Google opgeslagen. Daardoor beschikken de techbedrijven over allerlei informatie over de pushnotificaties, zoals wie de afzender of ontvanger is, en in bepaalde gevallen zelfs de onversleutelde inhoud.
De FBI stapte met het push token naar Google, en vroeg een lijst met e-mailadressen op die aan dat token waren gekoppeld. Dit leidde uiteindelijk tot de aanhouding van de verdachte. De Amerikaanse burgerrechtenbeweging EFF maakt zich zorgen dat deze werkwijze tot surveillance kan leiden. "Dit is hoe elke nieuwe surveillancemethode begint: de overheid zegt dat het alleen voor de ergste gevallen wordt gedaan, om terroristen en pedofielen te stoppen, en iedereen kan zich daarin vinden", zegt Cooper Quintin van de EFF. "Zelfs als je de VS nu vertrouwt, vertrouw je misschien niet dat de nieuwe regering het op een ethische wijze gebruikt."
Het Amerikaanse ministerie van Justitie bevestigt het gebruik van pushnotificaties. "Na te hebben vastgesteld dat de metadata van pushnotificaties zonder content kan helpen bij het aanhouden van overtreders of het stoppen van een misdrijf, voldoen opsporingsdiensten aan de Amerikaanse grondwet en van toepassing zijnde wetten om de data bij privébedrijven op te vragen."
The Washington Post ontdekte meer dan honderddertig zoekbevelen waarin techbedrijven werden opgedragen om informatie over de pushnotificaties van een verdachte te overhandigen en waarin ook het belang van push tokens werd genoemd. Tevens bleek dat in twee andere zaken verdachten konden worden gevonden via push tokens van chatapp Wickr. In drie van de vier zaken die The Washington Post onderzocht werd de aan het push token gekoppelde data over verdachten zonder gerechtelijk bevel door Apple en Google aan de FBI verstrekt. De opsporingsdienst maakte hierbij gebruik van zogenoemde noodverzoeken.
- [url=https://www.security.nl/posting/827000]iOS-apps gebruiken pushnotificaties om stiekem data te verzamelen[/url]
- [url=https://www.security.nl/posting/821394]Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google[/url]
Ik raad GrapheneOS aan zonder Play Services aangezien men dan tenminste verified boot hebben naast alle extra beveiligingsmaatregelen.
Ik raad overigens af om Play Services installeren op GrapheneOS.
Koop wel een Pixel telefoon (6 of hoger) ZONDER abonnement. (Anders is de bootloader unlocken en GrapheneOS niet mogelijk)
De Pixel 6a heeft men al vanaf €299.
Zorg bij chatapps wel dat onbeperkt batterijverbruik aanstaat in de appinstellingen. (Dan houd de telefoon de chats en notificaties in stand)
Iets anders (behalve portable zakcomputers/non-smartphones e.d.) kan ik niet aanraden, ook de iPhone is gevoelig voor spionage via push berichten.
Maar het probleem is natuurlijk hoe een regering van een land het woord 'misdrijf' definieert. In bepaalde landen van de wereld is het absoluut verboden (een misdrijf) om kritiek op de regering of de leider van het land te hebben. Wie dat doet draait gewoon de gevangenis in.
Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.
Er is geen enkele reden om aan te namen dat dit inmiddels niet geautomatiseerd opgevraagd wordt voor elke iPhone en Android gebruiker in de wereld.
En dat deze 'aanvraag' slechts een farce is om het geautomatiseerd opvragen te verbloemen... Zo zou ik het doen... Achterdeur via de NSA kabel alles aftappen en dan op papier een aanvraag doen als je de informatie toch al hebt gezien, bekeken en gevonden hebt dat het zinvol was. Doe je voor de buhne alsof je je aan de wet houdt, maar onder water ben je een bananenrepubliek.
De VS heeft al zoooo vaak laten zien dat het de rechten van eigen burgers al niet serieus neemt, laat staan zoals de amerikanen dat keer op keer noemen 'rest of the world'... (en dat is vaak inclusief Canada en Mexico, soms zelfs Engeland en Australie)...
Hoe komen ze aan het token?
Hoe komen ze aan het token?
Waarschijnlijk heeft het Zwitserse openbaar ministerie de firma achter TeleGuard een subpoena met dwangsom gegeven.
Ja, dat kan met een Murena met /e/OS of onder LineageOS met microG. Dat is echter minder veilig dan GrapheneOS.
https://www.security.nl/posting/821100#posting821118
Soms vraag ik me af of ik in andere landen geseind sta terwijl ik dingen in mijn eigen land op het internet plaats.
https://blog.davidlibeau.fr/push-notifications-are-a-privacy-nightmare/
Maar het probleem is natuurlijk hoe een regering van een land het woord 'misdrijf' definieert. In bepaalde landen van de wereld is het absoluut verboden (een misdrijf) om kritiek op de regering of de leider van het land te hebben. Wie dat doet draait gewoon de gevangenis in.
Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.
DNA idem, ANPR... Etc.
https://www.security.nl/posting/827000 OS-apps gebruiken pushnotificaties om stiekem data te verzamelen
https://www.security.nl/posting/821394 Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google
https://www.security.nl/posting/821394/Tuta%3A+alternatieven+nodig+voor+pushnotificatie-services+Apple+en+Google
Unified Push:
https://search.f-droid.org/?q=unifiednlp&lang=en
https://f-droid.org/en/packages/org.unifiedpush.distributor.noprovider2push/
https://f-droid.org/en/packages/org.unifiedpush.distributor.nextpush/
Molly Unified Push:
https://github.com/mollyim/mollyim-android-unifiedpush?tab=readme-ov-file
AOSP (Android) gebaseerde besturingsystemen zonder Google Cloud:
https://grapheneos.org/install/web
https://wiki.lineageos.org/devices/
Met een DeGoogled besturingsysteem heeft men in de meeste chatapps geen Unified Push nodig, wel moet men onbeperkt batterijverbruik aanzetten in de instellingen voor de desbetreffende chatapps.
Installeer geen Google Services Framework op DeGoogled apparaten aangezien dit ook Google Cloud installeert.
Voor gewone (Met Google) besturingsystemen raad ik Unified Push aan.
Maar het probleem is natuurlijk hoe een regering van een land het woord 'misdrijf' definieert. In bepaalde landen van de wereld is het absoluut verboden (een misdrijf) om kritiek op de regering of de leider van het land te hebben. Wie dat doet draait gewoon de gevangenis in.
Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.
Je haalt de woorden uit m'n mond.
Op zich helemaal geen probleem als je braaf 's avonds op de bank gaat zitten, het 8 uur journaal kijkt en netjes op tijd je belastingaangifte doet.
Een beetje dociel en netjes binnen de lijntjes zodat je daarna de helft van je erfenis aan de belastingdienst kunt geven.
Het wordt vaak over het hoofd gezien dat dezelfde wetgeving ook eens zal worden uitgevoerd door mensen waar je het wellicht niet mee eens bent. Rusland is daar een mooi voorbeeld van. Blijf je gewoon binnen en houdt je je mond dan is er niets aan de hand.
Jij kan wel je push notificaties uit hebben of een ontgoogled device (is al irritant), maar als de ontvanger van jouw berichten dit niet uit heeft ben je alsnog te volgen.
Jij kan wel je push notificaties uit hebben of een ontgoogled device (is al irritant), maar als de ontvanger van jouw berichten dit niet uit heeft ben je alsnog te volgen.
Dan wordt het Briar messenger!
Dat verloopt via een mesh-netwerk of TOR en gebruikt uberhaupt geen Google cloud diensten.
Of een soortgelijke dienst die er een "no Google cloud-policy" op nahouden.
https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/glossary-of-terms#silent-sms
Ook die werd/wordt door telecom providers en overheidsdiensten (en mogelijk derden) misbruikt
om een gebruiker bij GSM tot op 100m via triangulatie van de ontvangststerkte te bepalen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
