1 คะแนน โดย GN⁺ 2023-12-07 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีการเปิดเผยผ่านจดหมายของวุฒิสมาชิกสหรัฐ Ron Wyden ว่า เนื่องจากการแจ้งเตือนบนสมาร์ตโฟนต้องผ่านเซิร์ฟเวอร์ของ Apple และ Google จึงมีคำเตือนว่าบางรัฐบาลสามารถติดตามผู้ใช้ผ่าน ข้อมูลการแจ้งเตือนแบบพุช ได้
  • Wyden ระบุว่าเจ้าหน้าที่ต่างประเทศได้ขอข้อมูลจากทั้งสองบริษัทเพื่อพยายามติดตามรูปแบบการใช้งานแอปบางตัว และมองว่าโครงสร้างนี้อาจกลายเป็น จุดเชื่อมต่อของการสอดส่องโดยรัฐ
  • Apple ระบุว่าเดิมทีไม่สามารถเปิดเผยข้อมูลที่เกี่ยวข้องได้เพราะรัฐบาลกลางสหรัฐ แต่หลังจากมีการเปิดเผยครั้งนี้ บริษัทบอกกับ Reuters ว่าจะสะท้อนคำขอประเภทนี้อย่างละเอียดมากขึ้นใน รายงานความโปร่งใส
  • ตามข้อมูลจากแหล่งข่าวที่ใกล้ชิดกับเรื่องนี้ ทั้งหน่วยงานรัฐบาลต่างประเทศและสหรัฐต่างก็เคยขอ เมทาดาทาการแจ้งเตือนแบบพุช และถูกนำไปใช้เพื่อเชื่อมโยงผู้ใช้แอปส่งข้อความนิรนามเข้ากับบัญชี Apple หรือ Google ที่เฉพาะเจาะจง
  • แม้เนื้อหาการแจ้งเตือนจะเข้ารหัสได้โดยนักพัฒนา แต่ เมทาดาทา เช่น แอปใดส่งการแจ้งเตือนและส่งบ่อยแค่ไหน ไม่ได้ถูกเข้ารหัส จึงยังมีความเสี่ยงที่รูปแบบการใช้งานแอปจะถูกเปิดเผย

เหตุใดการแจ้งเตือนแบบพุชจึงกลายเป็นจุดเชื่อมต่อของการสอดส่อง

  • มีคำเตือนผ่านจดหมายถึงกระทรวงยุติธรรมสหรัฐจากวุฒิสมาชิกสหรัฐ Ron Wyden ว่ารัฐบาลบางแห่งที่ไม่เปิดเผยตัวตนกำลังติดตาม การแจ้งเตือนแบบพุช ของผู้ใช้สมาร์ตโฟนเพื่อนำไปสู่การสอดส่อง
  • เป้าหมายของการสอดส่องคือข้อมูลการแจ้งเตือนแบบพุชที่ผ่านเซิร์ฟเวอร์ของ Google และ Apple
  • Wyden เปิดเผยว่าเจ้าหน้าที่ต่างประเทศกำลังร้องขอข้อมูลจากบริษัทยักษ์ใหญ่ด้านเทคโนโลยีทั้งสองแห่งเพื่อใช้ติดตามสมาร์ตโฟน

คำขอของ Wyden ต่อกระทรวงยุติธรรม

  • ทราฟฟิกการแจ้งเตือนแบบพุชทำให้ Apple และ Google อยู่ในตำแหน่งพิเศษที่สามารถเข้าถึงรูปแบบการใช้งานแอปของผู้ใช้ได้
    • ทั้งสองบริษัทอาจกลายเป็นจุดเชื่อมต่อที่เอื้อต่อ การสอดส่องโดยรัฐบาล เกี่ยวกับการใช้แอปบางตัว
  • Wyden ขอให้กระทรวงยุติธรรม ยกเลิกหรือแก้ไข นโยบายที่ขัดขวางการถกเถียงสาธารณะเกี่ยวกับการสอดส่องผ่านการแจ้งเตือนแบบพุช

การตอบสนองของ Apple

  • Apple บอกกับ Reuters ว่า จากจดหมายของ Wyden ทำให้บริษัทสามารถเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่รัฐบาลใช้สอดส่องผ่านการแจ้งเตือนแบบพุชได้
  • ก่อนหน้านี้บริษัทมีจุดยืนว่ารัฐบาลกลางสหรัฐขัดขวางการแบ่งปันข้อมูลเกี่ยวกับเรื่องนี้
  • เมื่อวิธีการดังกล่าวถูกเปิดเผยแล้ว Apple มีแผนจะอัปเดต รายงานความโปร่งใส เพื่ออธิบายคำขอประเภทนี้อย่างละเอียดมากขึ้น

ข้อมูลที่ถูกร้องขอและวิธีการใช้งาน

  • ในจดหมายของ Wyden แหล่งที่มาของข้อมูลการสอดส่องถูกระบุว่าเป็น ผู้แจ้งเบาะแส
  • แหล่งข่าวที่รู้เรื่องนี้ยืนยันว่าทั้งหน่วยงานรัฐบาลต่างประเทศและสหรัฐได้ร้องขอ เมทาดาทา ที่เกี่ยวข้องกับการแจ้งเตือนแบบพุชจาก Apple และ Google
  • ข้อมูลดังกล่าวถูกรายงานว่าใช้ในความพยายามเชื่อมโยงผู้ใช้แอปส่งข้อความนิรนามเข้ากับบัญชี Apple หรือ Google ที่เฉพาะเจาะจง
  • แหล่งข่าวของ Reuters ไม่ได้เปิดเผยว่ารัฐบาลใดเป็นผู้ร้องขอ แต่ระบุว่าเป็น “ประเทศประชาธิปไตยที่เป็นพันธมิตรกับสหรัฐ”
  • ยังไม่ทราบว่าคำขอดังกล่าวดำเนินมาเป็นเวลานานเท่าใด

คำแนะนำสำหรับนักพัฒนาและจุดที่ยังเปิดเผยได้

  • Apple แนะนำให้นักพัฒนาไม่ใส่ ข้อมูลที่อ่อนไหว ไว้ในการแจ้งเตือน
  • บริษัทยังแนะนำให้เข้ารหัสข้อมูลก่อนใส่ลงใน payload ของการแจ้งเตือน
  • อย่างไรก็ตาม มาตรการป้องกันนี้นักพัฒนาต้องดำเนินการเอง
  • แต่ เมทาดาทา เช่น แอปใดเป็นผู้ส่งการแจ้งเตือน และส่งบ่อยเพียงใด จะไม่ถูกเข้ารหัส
  • ผู้ที่เข้าถึงเมทาดาทานี้ได้อาจสามารถรับรู้ข้อมูลเกี่ยวกับรูปแบบการใช้งานแอปของผู้ใช้

1 ความคิดเห็น

 
GN⁺ 2023-12-07
ความคิดเห็นจาก Hacker News
  • นี่ซ้ำกับ https://news.ycombinator.com/item?id=38543155
    • ดูเหมือนเป็นเนื้อหาที่ Apple ตอบ/ยอมรับ ต่อการเปิดเผยของวุฒิสมาชิก ถ้า Reuters ไม่ได้อัปเดตบทความ
  • มีวิธีแก้อะไรบ้างไหม?
    รัน UnifiedPush บนเซิร์ฟเวอร์ Nextcloud และใช้แอป Nextpush บนอุปกรณ์ บางแอปใช้วิธีนี้
    บางแอปใช้ WebSocket แต่เข้าใจว่าถ้ารันต่อเนื่องในเบื้องหลังจะกินทรัพยากรเยอะ
    บางแอปสามารถรับ push notification ได้โดยอาศัยแอป Cheogram
    ผมใช้ Android fork ที่ไม่มี Google Play Services อยู่ เลยไม่รู้ว่าใน iPhone ทำอะไรได้บ้าง
  • งั้นถ้า ปิด push notification ก็จะไม่ถูกติดตามใช่ไหม?
    • ผมคิดว่านั่นแค่กันไม่ให้แสดงบนโทรศัพท์เท่านั้น แอปน่าจะยังพยายามส่งการแจ้งเตือนผ่านเซิร์ฟเวอร์ของ Apple อยู่
      ถ้าปิดจากภายในแอป ไม่ใช่จากการตั้งค่าของโทรศัพท์ อาจจะได้ผลก็ได้