image

FBI gebruikt pushnotificaties voor het opsporen van verdachten

maandag 4 maart 2024, 13:09 door Redactie, 19 reacties

De FBI maakt gebruik van pushnotificaties voor het opsporen van verdachten, zo meldt The Washington Post. De krant beschrijft een zaak waarin een verdachte zijn sporen via de app TeleGuard probeerde te verbergen. Een Zwitserse 'secure messenger' die anonimiteit zegt te garanderen. In het onderzoek naar de verdachte zorgde een buitenlandse opsporingsdienst ervoor dat TeleGuard een push token verstrekte waarmee het pushnotificaties naar gebruikers verstuurt.

Tal van apps maken gebruik van pushnotificaties om gebruikers over bijvoorbeeld een nieuw bericht of 'breaking nieuws' te informeren. Ze worden echter niet direct via de app-aanbieder naar gebruikers verstuurd. Hiervoor wordt gebruikgemaakt van servers van Apple en Google. Om een pushnotificatie te kunnen versturen moet de betreffende app eerst een token genereren waarmee het techbedrijf het apparaat van de gebruiker kan vinden. Die tokens worden op de servers van Apple en Google opgeslagen. Daardoor beschikken de techbedrijven over allerlei informatie over de pushnotificaties, zoals wie de afzender of ontvanger is, en in bepaalde gevallen zelfs de onversleutelde inhoud.

De FBI stapte met het push token naar Google, en vroeg een lijst met e-mailadressen op die aan dat token waren gekoppeld. Dit leidde uiteindelijk tot de aanhouding van de verdachte. De Amerikaanse burgerrechtenbeweging EFF maakt zich zorgen dat deze werkwijze tot surveillance kan leiden. "Dit is hoe elke nieuwe surveillancemethode begint: de overheid zegt dat het alleen voor de ergste gevallen wordt gedaan, om terroristen en pedofielen te stoppen, en iedereen kan zich daarin vinden", zegt Cooper Quintin van de EFF. "Zelfs als je de VS nu vertrouwt, vertrouw je misschien niet dat de nieuwe regering het op een ethische wijze gebruikt."

Het Amerikaanse ministerie van Justitie bevestigt het gebruik van pushnotificaties. "Na te hebben vastgesteld dat de metadata van pushnotificaties zonder content kan helpen bij het aanhouden van overtreders of het stoppen van een misdrijf, voldoen opsporingsdiensten aan de Amerikaanse grondwet en van toepassing zijnde wetten om de data bij privébedrijven op te vragen."

The Washington Post ontdekte meer dan honderddertig zoekbevelen waarin techbedrijven werden opgedragen om informatie over de pushnotificaties van een verdachte te overhandigen en waarin ook het belang van push tokens werd genoemd. Tevens bleek dat in twee andere zaken verdachten konden worden gevonden via push tokens van chatapp Wickr. In drie van de vier zaken die The Washington Post onderzocht werd de aan het push token gekoppelde data over verdachten zonder gerechtelijk bevel door Apple en Google aan de FBI verstrekt. De opsporingsdienst maakte hierbij gebruik van zogenoemde noodverzoeken.

Reacties (19)
04-03-2024, 13:38 door Anoniem
De dag die je wist dat zou komen is eindelijk hier.

- [url=https://www.security.nl/posting/827000]iOS-apps gebruiken pushnotificaties om stiekem data te verzamelen[/url]
- [url=https://www.security.nl/posting/821394]Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google[/url]
04-03-2024, 14:18 door Anoniem
Daarom, en om meer redenen is het belangrijk géén Google Services op het apparaat te hebben, een DeGoogled telefoon met een AOSP gebaseerde firmware is daarom ideaal.
Ik raad GrapheneOS aan zonder Play Services aangezien men dan tenminste verified boot hebben naast alle extra beveiligingsmaatregelen.
Ik raad overigens af om Play Services installeren op GrapheneOS.
Koop wel een Pixel telefoon (6 of hoger) ZONDER abonnement. (Anders is de bootloader unlocken en GrapheneOS niet mogelijk)
De Pixel 6a heeft men al vanaf €299.
Zorg bij chatapps wel dat onbeperkt batterijverbruik aanstaat in de appinstellingen. (Dan houd de telefoon de chats en notificaties in stand)
Iets anders (behalve portable zakcomputers/non-smartphones e.d.) kan ik niet aanraden, ook de iPhone is gevoelig voor spionage via push berichten.
04-03-2024, 14:33 door Anoniem
Als wij het over een misdrijf hebben, dan spreek je toch over ernstige gevallen (moord, zedendelicten, brandstichting, terrorisme etc).

Maar het probleem is natuurlijk hoe een regering van een land het woord 'misdrijf' definieert. In bepaalde landen van de wereld is het absoluut verboden (een misdrijf) om kritiek op de regering of de leider van het land te hebben. Wie dat doet draait gewoon de gevangenis in.

Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.
04-03-2024, 14:39 door Anoniem
De Amerikaanse burgerrechtenbeweging EFF maakt zich zorgen dat deze werkwijze tot surveillance kan leiden.

Er is geen enkele reden om aan te namen dat dit inmiddels niet geautomatiseerd opgevraagd wordt voor elke iPhone en Android gebruiker in de wereld.

En dat deze 'aanvraag' slechts een farce is om het geautomatiseerd opvragen te verbloemen... Zo zou ik het doen... Achterdeur via de NSA kabel alles aftappen en dan op papier een aanvraag doen als je de informatie toch al hebt gezien, bekeken en gevonden hebt dat het zinvol was. Doe je voor de buhne alsof je je aan de wet houdt, maar onder water ben je een bananenrepubliek.

De VS heeft al zoooo vaak laten zien dat het de rechten van eigen burgers al niet serieus neemt, laat staan zoals de amerikanen dat keer op keer noemen 'rest of the world'... (en dat is vaak inclusief Canada en Mexico, soms zelfs Engeland en Australie)...
04-03-2024, 14:52 door Anoniem
De FBI stapte met het push token naar Google

Hoe komen ze aan het token?
04-03-2024, 16:33 door Anoniem
Je kunt push toch uitzetten?
04-03-2024, 17:23 door Anoniem
Door Anoniem:
De FBI stapte met het push token naar Google

Hoe komen ze aan het token?

Waarschijnlijk heeft het Zwitserse openbaar ministerie de firma achter TeleGuard een subpoena met dwangsom gegeven.

Door Anoniem: Je kunt push toch uitzetten?

Ja, dat kan met een Murena met /e/OS of onder LineageOS met microG. Dat is echter minder veilig dan GrapheneOS.

https://www.security.nl/posting/821100#posting821118
04-03-2024, 17:56 door Anoniem
Door Anoniem: Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.

Soms vraag ik me af of ik in andere landen geseind sta terwijl ik dingen in mijn eigen land op het internet plaats.
04-03-2024, 18:09 door Anoniem
Vertaald citaat, afkomstig uit door de redactie aangehaalde The Washington Post artikel:

In feite, zei senator Ron Wyden (Democraten, Oregon), maakte dat technische ontwerp Apple en Google tot een "digital post office" dat in staat was om bepaalde berichten en metadata te scannen en te verzamelen, zelfs van mensen die discreet wilden blijven. David Libeau, een ontwikkelaar en ingenieur in Parijs, schreef vorig jaar dat de alomtegenwoordige functie een "privacynachtmerrie" [is] geworden.

https://blog.davidlibeau.fr/push-notifications-are-a-privacy-nightmare/
04-03-2024, 18:09 door Anoniem
Door Anoniem: Als wij het over een misdrijf hebben, dan spreek je toch over ernstige gevallen (moord, zedendelicten, brandstichting, terrorisme etc).

Maar het probleem is natuurlijk hoe een regering van een land het woord 'misdrijf' definieert. In bepaalde landen van de wereld is het absoluut verboden (een misdrijf) om kritiek op de regering of de leider van het land te hebben. Wie dat doet draait gewoon de gevangenis in.

Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.
De opsporings gsm ping was eerst ook uitsluitend voor ernstige misdrijven....
DNA idem, ANPR... Etc.
04-03-2024, 18:11 door Anoniem
Door Anoniem: Je kunt push toch uitzetten?
Meestal is dat geen losse optie in apps.
04-03-2024, 18:57 door Anoniem
Door Anoniem: Je kunt push toch uitzetten?
Ja, dat klopt. Handleidingen vind je op het internet.
04-03-2024, 22:13 door Anoniem
Door Anoniem: De dag die je wist dat zou komen is eindelijk hier.

https://www.security.nl/posting/827000 OS-apps gebruiken pushnotificaties om stiekem data te verzamelen
https://www.security.nl/posting/821394 Tuta: alternatieven nodig voor pushnotificatie-services Apple en Google
04-03-2024, 22:55 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt push toch uitzetten?
Ja, dat klopt. Handleidingen vind je op het internet.
Unified Push is eventueel een optie, of een DeGoogled telefoon.
Unified Push:
https://search.f-droid.org/?q=unifiednlp&lang=en
https://f-droid.org/en/packages/org.unifiedpush.distributor.noprovider2push/
https://f-droid.org/en/packages/org.unifiedpush.distributor.nextpush/
Molly Unified Push:
https://github.com/mollyim/mollyim-android-unifiedpush?tab=readme-ov-file
AOSP (Android) gebaseerde besturingsystemen zonder Google Cloud:
https://grapheneos.org/install/web
https://wiki.lineageos.org/devices/
Met een DeGoogled besturingsysteem heeft men in de meeste chatapps geen Unified Push nodig, wel moet men onbeperkt batterijverbruik aanzetten in de instellingen voor de desbetreffende chatapps.
Installeer geen Google Services Framework op DeGoogled apparaten aangezien dit ook Google Cloud installeert.
Voor gewone (Met Google) besturingsystemen raad ik Unified Push aan.
05-03-2024, 10:11 door Anoniem
Door Anoniem: Als wij het over een misdrijf hebben, dan spreek je toch over ernstige gevallen (moord, zedendelicten, brandstichting, terrorisme etc).

Maar het probleem is natuurlijk hoe een regering van een land het woord 'misdrijf' definieert. In bepaalde landen van de wereld is het absoluut verboden (een misdrijf) om kritiek op de regering of de leider van het land te hebben. Wie dat doet draait gewoon de gevangenis in.

Je kunt er dus donder op zeggen dat deze opsporingsmethode ook voor 'misdrijven' zal worden ingezet waar wij in ons land onze schouders voor ophalen.

Je haalt de woorden uit m'n mond.
Op zich helemaal geen probleem als je braaf 's avonds op de bank gaat zitten, het 8 uur journaal kijkt en netjes op tijd je belastingaangifte doet.
Een beetje dociel en netjes binnen de lijntjes zodat je daarna de helft van je erfenis aan de belastingdienst kunt geven.

Het wordt vaak over het hoofd gezien dat dezelfde wetgeving ook eens zal worden uitgevoerd door mensen waar je het wellicht niet mee eens bent. Rusland is daar een mooi voorbeeld van. Blijf je gewoon binnen en houdt je je mond dan is er niets aan de hand.
05-03-2024, 10:32 door Anoniem
Ik geloof dat jullie iets missen:
Jij kan wel je push notificaties uit hebben of een ontgoogled device (is al irritant), maar als de ontvanger van jouw berichten dit niet uit heeft ben je alsnog te volgen.
05-03-2024, 18:54 door Anoniem
Door Anoniem: Ik geloof dat jullie iets missen:
Jij kan wel je push notificaties uit hebben of een ontgoogled device (is al irritant), maar als de ontvanger van jouw berichten dit niet uit heeft ben je alsnog te volgen.
Mmhh, u heeft helemaal gelijk, daar had ik helemaal niet aan gedacht!
Dan wordt het Briar messenger!
Dat verloopt via een mesh-netwerk of TOR en gebruikt uberhaupt geen Google cloud diensten.
Of een soortgelijke dienst die er een "no Google cloud-policy" op nahouden.
05-03-2024, 21:27 door Anoniem
dit is de klasssieke silent SMS in een moderenre vorm; zie
https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/glossary-of-terms#silent-sms

Ook die werd/wordt door telecom providers en overheidsdiensten (en mogelijk derden) misbruikt
om een gebruiker bij GSM tot op 100m via triangulatie van de ontvangststerkte te bepalen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.