Os governos podem espiar as suas notificações push

Se eu lhe dissesse que os governos o estão a espiar através do seu smartphone, ficaria surpreendido? Provavelmente não. Todos sabemos que estes pequenos espelhos negros são um pesadelo em termos de privacidade, mesmo com as extensas funcionalidades de proteção de dados que a Apple e a Google acrescentaram ao longo dos anos.

No entanto, é provável que fique surpreendido ao saber que os governos não estão necessariamente a seguir a sua localização através do GPS do seu telefone, ou a escutar as suas chamadas telefónicas (embora quem sabe): Sabemos agora que o estão a espiar através das suas notificações push, entre outras coisas.

Como é que os governos roubam os seus dados de notificações push

A única razão pela qual sabemos disto é graças a Ron Wyden. O senador do Oregon enviou uma carta ao Departamento de Justiça (DOJ) na quarta-feira, pedindo que a Apple e o Google avisem seus clientes sobre pedidos de uso de seus smartphones.

Na carta, Wyden explica que seu escritório recebeu uma dica na primavera de 2022 que afirma que governos estrangeiros estavam exigindo que a Apple e o Google entregassem registros de notificação push dos usuários. Desde então, o escritório de Wyden investigou o problema: Quando eles contataram a Apple e o Google sobre essa afirmação preocupante, as empresas disseram que o governo federal os havia impedido de comentar sobre a prática. Isso é assustador.

Como explica a carta, as notificações push não são uma ligação de um para um do seu smartphone para a aplicação ou serviço que envia o alerta. Estas notificações têm de passar primeiro pelos servidores da Apple e da Google: Do lado da Apple, trata-se do Apple Push Notification Service, enquanto a Google utiliza o Firebase Cloud Messaging. Todas as suas notificações push que dependem de uma ligação à Internet passam por estes servidores antes de chegarem ao seu iPhone ou Android, o que significa que são todas susceptíveis a este abuso por parte das agências governamentais.

Estas notificações push também contêm uma grande quantidade de dados. Quando a Apple e a Google recebem dados de notificações push nos seus servidores, interceptam metadados (dados sobre a aplicação que está a receber a notificação push), bem como detalhes sobre o telefone e a conta a que a notificação pertence. Se o Duolingo estiver a tentar enviar uma notificação para o "Jake's iPhone 14 Pro" na quinta-feira às 10h00, os governos que exigirem as minhas informações de notificações push à Apple poderão ver exatamente isso.

Este é um ótimo momento para implorar que utilize serviços de mensagens encriptadas para as suas necessidades de mensagens de texto. O conteúdo encriptado não aparece nos dados que terceiros recebem da Apple e da Google, pelo que os governos não conseguem ler as suas iMessages, mensagens de texto RCS ou alertas do WhatsApp, por exemplo. No entanto, se interceptarem notificações push de alertas não encriptados, como mensagens enviadas por SMS ou uma DM não encriptada do Instagram, poderão ver isso como parte dos dados que obtêm. Os segredos que envia através de métodos não encriptados são guardados por si, pelo seu amigo e por governos de todo o mundo.

De acordo com a Wired, os governos e as autoridades policiais que pretendam obter estes dados têm primeiro de obter o seu "token" de notificação push junto de um programador de aplicações. As aplicações que descarregamos nos nossos dispositivos atribuem-nos um token, que nos liga às respectivas notificações push. O governo pode então levar o seu token à Apple ou à Google para exigir informações sobre a conta associada a esse token. Isto já aconteceu antes nos EUA: Em 2021, num caso relacionado com o dia 6 de janeiro, o FBI solicitou os dados das notificações push de duas contas Meta. Meta não respondeu ao pedido de comentário da Wired.

Wyden está implorando ao DOJ para permitir que a Apple e o Google sejam mais transparentes sobre essas solicitações com o público. A Apple, por sua vez, diz que esta carta agora lhes dá poderes para serem mais públicos sobre a prática, embora ainda não se saiba até que ponto serão públicos.

O que pode fazer para proteger os seus dados de espiões de notificações push

Nesta altura, os pormenores em torno desta prática ainda são confusos, mas isso não significa que devamos ficar parados à espera que a Apple e a Google façam declarações.

Se quiser ir ao extremo, deve desativar as notificações push para todas as suas aplicações. Sou um grande defensor de manter as notificações desactivadas em quase todas as aplicações, exceto naquelas de que realmente precisamos, e as notícias recentes só reforçam a minha posição. Não há absolutamente nenhuma razão para que os governos, estrangeiros ou nacionais, possam ver o que as minhas aplicações me notificam, mas parece especialmente flagrante permitir que o façam quando é apenas o Snapchat a pedir-me desesperadamente para abrir a aplicação.

Penso que 90% das aplicações que enviam alertas no iPhone ou Android são uma treta, por isso, se as desativar, ficará mais descansado e reforçará a sua privacidade. Claro que desativar as notificações de determinadas aplicações pode ter um efeito contrário: É provável que fique para trás nas conversas de grupo se desativar as notificações das suas aplicações de mensagens e pode perder reuniões e compromissos se desativar as notificações do seu calendário. (Desculpe, chefe.)

No final do dia, é um ato de equilíbrio entre privacidade e conveniência, como sempre é. Mesmo com as notícias de hoje, teria dificuldade em desativar as notificações do Mensagens, embora seja útil o facto de o iMessage ser encriptado. Mas outras aplicações não me importo de as manter desactivadas, para as poder acompanhar no meu tempo livre. (Estou a olhar para ti, Snapchat).

Dito isto, a solução maior terá de vir de forças maiores. Não deveríamos ter de desativar as notificações para preservar a nossa privacidade e, de qualquer forma, os governos não deveriam poder pedir esta informação. Esperemos que a carta do Senador Wyden faça alguma mudança em Washington.