Ein Schreiben eines US-Senators hat heute öffentlich bestätigt, was viele schon vermuteten: Die US-Regierung hat Zugriff auf Push-Nachrichten.
Gegenüber Reuters hat Apple jetzt bestätigt, dass die US-Regierung Benachrichtigungen mitliest. Das Unternehmen durfte die Öffentlichkeit bislang nicht darüber unterrichten. Ausgerechnet der Brief eines US-Senators ändert das jetzt.
Wie privat sind Push-Benachrichtigungen bei Apple und Google?
Nicht sonderlich. Apple ist diesbezüglich auch sehr offen. In ihrem Tutorial zum Erstellen einer Push-Benachrichtigung schreibt das Unternehmen:
Senden Sie in der Payload keine sensiblen Daten […]. Wenn es unbedingt sein muss, verschlüsseln Sie die Daten […]. Sie können auf dem Gerät der Nutzer durch eine notification service app extension entschlüsselt werden.
Apple Inc. in der Anleitung zum Erstellen von Push-Benachrichtigungen
Offengelegt wurde die Praxis, dass die US-Regierung diese Fähigkeit besitzt, ausgerechnet durch den US-Senator Ron Wyden. Dieser hat heute in einem Brief bereits große Teile der Details dazu veröffentlicht.
Laut dem französischen Entwickler David Libeau sei es nicht zu weit hergeholt, dass die DSGVO verlangen dürfte, dass hierzu ein explizites Einverständnis der Nutzer eingeholt werden müsse.
Wie gesichert sind die Informationen?
Sehr sicher. In seinem Brief drängt der Senator das US-Justizministerium darauf das Redeverbot, unter dem Google und Apple stehen, aufzuheben, damit diese ihre Kunden informieren könnten. Wyden schreibt:
Im Frühling 2022 erhielt mein Büro einen Hinweis, dass ausländische Regierungen Aufzeichnungen über Push-Benachrichtigungen von Google und Apple gefordert haben. […] [Auf Anfrage meiner Mitarbeiter] haben die Unternehmen meine Angestellten informiert, dass Informationen über diese Praktik von der Freigabe an die Öffentlichkeit nicht herausgegeben werden dürfen.
Ron Wyden, US-Senator für Oregon
Die Regierung habe wohl Zugriff auf Metadaten, Apple- bzw. Google-Account und „in einigen Fällen“ sogar unverschlüsselte Nachrichteninhalte.
Gegenüber Reuters äußerte sich Apple wie folgt:
Nun, da diese Methode öffentlich bekannt ist, aktualisieren wir unsere Transparenzberichte, damit sie diese Art von Anfragen wiedergeben.
Apple gegenüber Reuters
Google hat sich bis jetzt noch nicht zu dazu geäußert.
Sind alle Push-Benachrichtigungen auf Android betroffen?
Nein. Betroffen sind nur Push-Benachrichtigungen, die durch Apples und Googles Push-Gateways laufen. Das sind zwar die meisten, aber eben nicht alle. Gerät-interne Benachrichtigungen wie die deines Weckers und solche, die vom Anbieter über eigene Infrastruktur verschickt werden, sind nicht betroffen.
Bei Telegram sind zum Beispiel die Benachrichtigungen über die Play Store-Version gefährdet, die über den F-Droid Store bezogene Version aber nicht. Welche Daten genau hier geleakt werden, ist ohne weiteres nicht zu sagen. Das Ausblenden von Nachrichteninhalten hilft aber ausdrücklich nicht gegen diese Form von Überwachung.
Fazit
Was passiert, wenn man die Infrastruktur eines Anderen (wie Apple oder Google) nutzt, um Push-Benachrichtigungen zu senden? Die Zwischenstufe erhält Zugriff auf die Benachrichtigungen. Hier ist für Entwickler, die auf Datenschutz bedacht sind, besondere Vorsicht geboten. Und wenn das Partner-Unternehmen in den USA sitzt, umso mehr. Und ja, liebe Vorstände von Großunternehmen: Das heißt, dass die amerikanische Regierung möglicherweise Geschäftsgeheimnisse, die ihr über Teams verschickt habt, mitlesen konnte. Aber das wisst ihr ja schon, ne? SaaS ist was Tolles.
