Apple ยืนยันว่ารัฐบาลใช้การแจ้งเตือนแบบพุชเพื่อสอดส่องผู้ใช้
(macrumors.com)- มีการเปิดเผยผ่านจดหมายของวุฒิสมาชิกสหรัฐ Ron Wyden ว่า เนื่องจากการแจ้งเตือนบนสมาร์ตโฟนต้องผ่านเซิร์ฟเวอร์ของ Apple และ Google จึงมีคำเตือนว่าบางรัฐบาลสามารถติดตามผู้ใช้ผ่าน ข้อมูลการแจ้งเตือนแบบพุช ได้
- Wyden ระบุว่าเจ้าหน้าที่ต่างประเทศได้ขอข้อมูลจากทั้งสองบริษัทเพื่อพยายามติดตามรูปแบบการใช้งานแอปบางตัว และมองว่าโครงสร้างนี้อาจกลายเป็น จุดเชื่อมต่อของการสอดส่องโดยรัฐ
- Apple ระบุว่าเดิมทีไม่สามารถเปิดเผยข้อมูลที่เกี่ยวข้องได้เพราะรัฐบาลกลางสหรัฐ แต่หลังจากมีการเปิดเผยครั้งนี้ บริษัทบอกกับ Reuters ว่าจะสะท้อนคำขอประเภทนี้อย่างละเอียดมากขึ้นใน รายงานความโปร่งใส
- ตามข้อมูลจากแหล่งข่าวที่ใกล้ชิดกับเรื่องนี้ ทั้งหน่วยงานรัฐบาลต่างประเทศและสหรัฐต่างก็เคยขอ เมทาดาทาการแจ้งเตือนแบบพุช และถูกนำไปใช้เพื่อเชื่อมโยงผู้ใช้แอปส่งข้อความนิรนามเข้ากับบัญชี Apple หรือ Google ที่เฉพาะเจาะจง
- แม้เนื้อหาการแจ้งเตือนจะเข้ารหัสได้โดยนักพัฒนา แต่ เมทาดาทา เช่น แอปใดส่งการแจ้งเตือนและส่งบ่อยแค่ไหน ไม่ได้ถูกเข้ารหัส จึงยังมีความเสี่ยงที่รูปแบบการใช้งานแอปจะถูกเปิดเผย
เหตุใดการแจ้งเตือนแบบพุชจึงกลายเป็นจุดเชื่อมต่อของการสอดส่อง
- มีคำเตือนผ่านจดหมายถึงกระทรวงยุติธรรมสหรัฐจากวุฒิสมาชิกสหรัฐ Ron Wyden ว่ารัฐบาลบางแห่งที่ไม่เปิดเผยตัวตนกำลังติดตาม การแจ้งเตือนแบบพุช ของผู้ใช้สมาร์ตโฟนเพื่อนำไปสู่การสอดส่อง
- เป้าหมายของการสอดส่องคือข้อมูลการแจ้งเตือนแบบพุชที่ผ่านเซิร์ฟเวอร์ของ Google และ Apple
- Wyden เปิดเผยว่าเจ้าหน้าที่ต่างประเทศกำลังร้องขอข้อมูลจากบริษัทยักษ์ใหญ่ด้านเทคโนโลยีทั้งสองแห่งเพื่อใช้ติดตามสมาร์ตโฟน
คำขอของ Wyden ต่อกระทรวงยุติธรรม
- ทราฟฟิกการแจ้งเตือนแบบพุชทำให้ Apple และ Google อยู่ในตำแหน่งพิเศษที่สามารถเข้าถึงรูปแบบการใช้งานแอปของผู้ใช้ได้
- ทั้งสองบริษัทอาจกลายเป็นจุดเชื่อมต่อที่เอื้อต่อ การสอดส่องโดยรัฐบาล เกี่ยวกับการใช้แอปบางตัว
- Wyden ขอให้กระทรวงยุติธรรม ยกเลิกหรือแก้ไข นโยบายที่ขัดขวางการถกเถียงสาธารณะเกี่ยวกับการสอดส่องผ่านการแจ้งเตือนแบบพุช
การตอบสนองของ Apple
- Apple บอกกับ Reuters ว่า จากจดหมายของ Wyden ทำให้บริษัทสามารถเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่รัฐบาลใช้สอดส่องผ่านการแจ้งเตือนแบบพุชได้
- ก่อนหน้านี้บริษัทมีจุดยืนว่ารัฐบาลกลางสหรัฐขัดขวางการแบ่งปันข้อมูลเกี่ยวกับเรื่องนี้
- เมื่อวิธีการดังกล่าวถูกเปิดเผยแล้ว Apple มีแผนจะอัปเดต รายงานความโปร่งใส เพื่ออธิบายคำขอประเภทนี้อย่างละเอียดมากขึ้น
ข้อมูลที่ถูกร้องขอและวิธีการใช้งาน
- ในจดหมายของ Wyden แหล่งที่มาของข้อมูลการสอดส่องถูกระบุว่าเป็น ผู้แจ้งเบาะแส
- แหล่งข่าวที่รู้เรื่องนี้ยืนยันว่าทั้งหน่วยงานรัฐบาลต่างประเทศและสหรัฐได้ร้องขอ เมทาดาทา ที่เกี่ยวข้องกับการแจ้งเตือนแบบพุชจาก Apple และ Google
- ข้อมูลดังกล่าวถูกรายงานว่าใช้ในความพยายามเชื่อมโยงผู้ใช้แอปส่งข้อความนิรนามเข้ากับบัญชี Apple หรือ Google ที่เฉพาะเจาะจง
- แหล่งข่าวของ Reuters ไม่ได้เปิดเผยว่ารัฐบาลใดเป็นผู้ร้องขอ แต่ระบุว่าเป็น “ประเทศประชาธิปไตยที่เป็นพันธมิตรกับสหรัฐ”
- ยังไม่ทราบว่าคำขอดังกล่าวดำเนินมาเป็นเวลานานเท่าใด
คำแนะนำสำหรับนักพัฒนาและจุดที่ยังเปิดเผยได้
- Apple แนะนำให้นักพัฒนาไม่ใส่ ข้อมูลที่อ่อนไหว ไว้ในการแจ้งเตือน
- บริษัทยังแนะนำให้เข้ารหัสข้อมูลก่อนใส่ลงใน payload ของการแจ้งเตือน
- อย่างไรก็ตาม มาตรการป้องกันนี้นักพัฒนาต้องดำเนินการเอง
- แต่ เมทาดาทา เช่น แอปใดเป็นผู้ส่งการแจ้งเตือน และส่งบ่อยเพียงใด จะไม่ถูกเข้ารหัส
- ผู้ที่เข้าถึงเมทาดาทานี้ได้อาจสามารถรับรู้ข้อมูลเกี่ยวกับรูปแบบการใช้งานแอปของผู้ใช้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
รัน UnifiedPush บนเซิร์ฟเวอร์ Nextcloud และใช้แอป Nextpush บนอุปกรณ์ บางแอปใช้วิธีนี้
บางแอปใช้ WebSocket แต่เข้าใจว่าถ้ารันต่อเนื่องในเบื้องหลังจะกินทรัพยากรเยอะ
บางแอปสามารถรับ push notification ได้โดยอาศัยแอป Cheogram
ผมใช้ Android fork ที่ไม่มี Google Play Services อยู่ เลยไม่รู้ว่าใน iPhone ทำอะไรได้บ้าง
ถ้าปิดจากภายในแอป ไม่ใช่จากการตั้งค่าของโทรศัพท์ อาจจะได้ผลก็ได้