Mit einem öffentlichen Schreiben an das amerikanische Justizministerium hat der demokratische US-Senator Ron Wyden gestern eine staatliche Überwachungsmethode ins Licht der Öffentlichkeit gerückt, die bis dahin noch vollständig unbekannt war.
Staatliche Akteure, so der Senator, würden die sowohl von Apple als auch von Google zentral verwalteten Push-Mitteilungen für die gezielte Überwachung ausgewählter Anwender zweckentfremden.
Push-Mitteilungen als Datenquelle
Der Senator, der nach eigenen Angaben mittels eines anonymen Tipps auf die Überwachung per Push-Nachricht aufmerksam gemacht wurde, ließ seinen Angestellten daraufhin ein Jahr Zeit, um weitere Details zu den Hintergründen der neuen Überwachungsmethode in Erfahrung zu bringen, ehe der Vorwurf der verdeckten Überwachung gestern öffentlich gemacht wurde.
Laut Senator Wyden würde die Tatsache, dass Apple und Google die Push-Benachrichtigungen für ihre Nutzer exklusiv verarbeiten, diese in die Lage versetzen, unter Umständen dazu verpflichtet zu werden, diese Informationen an Regierungen herauszugeben. Wyden betont, dass App-Entwickler keine Alternativen hätten, da diese, um Push-Benachrichtigungen zuverlässig an iOS- und Android-Geräte auszuliefern, zwangsläufig die Dienste von Apple oder Google nutzen müssten.
US-Senator Ron Wyden
Dies würde beide Unternehmen in die Lage versetzen, die Überwachung ihrer Anwender durch staatliche Akteure hinsichtlich der Nutzung bestimmter Apps zu erleichtern.
Die fraglichen Push-Nachrichten beinhalten nicht nur Metadaten, die angeben, welche App eine Benachrichtigung erhalten hat und wann, sowie Informationen über das jeweilige iPhone und das zugehörige Apple-Konto, für das die Benachrichtigung bestimmt war. In manchen Fällen könnten die Mitteilungen auch andere interessante Inhalte enthalten – von Backend-Anweisungen für die App bis hin zu unverschlüsselten Textinhalten.
„Transparenzbericht“ wenig transparent
Apple hatte bereits gestern öffentlich eingeräumt, entsprechende Daten an Strafverfolgungsbehörden weiterzureichen, unter dem Verweis auf Geheimhaltungsvorgaben jedoch erklärt, dies bislang nicht in den Transparenzberichten des Unternehmens öffentlich gemacht zu haben.
Inzwischen hat Apple das in den Tiefen der eigenen Webseite verlinkte PDF „Legal Process Guidelines“ aktualisiert und mit einem Zusatz zum Thema versehen.
PDF-Download: Legal Process Guidelines
Der Abschnitt „Von Apple verfügbare Informationen“ wurde nun um den neuen Punkt AA („Apple Push Notification Service (APNs)“) ergänzt. Hier schreibt Apple jetzt:
Wenn Benutzer einer von ihnen installierten Anwendung erlauben, Push-Benachrichtigungen zu empfangen, wird ein Apple Push Notification Service (APNs) Token generiert und auf den Entwickler und das Gerät registriert. Einige Anwendungen können mehrere APNs-Tokens für ein Konto auf einem Gerät haben, um zwischen Nachrichten und Multi-Media zu unterscheiden. Die Apple ID, die mit einem registrierten APNs-Token verknüpft ist, kann durch eine Vorladung oder ähnliches erlangt werden.
Im deutschsprachigen Dokument „Richtlinien für Rechtsverfahren“ (PDF-Download) sind die Änderungen noch nicht abgedruckt.
Unklar bleibt, wie viele andere Unterpunkte das PDF noch beinhalten müsste, die Apple weiterhin verschweigt.