1件のコメント

 
GN⁺ 2023-12-07
Hacker Newsの意見
  • Home Assistant Companion for iOS チームは、しばらく プッシュ通知のエンドツーエンド暗号化 を実装しようとしていたが、Apple が com.apple.developer.usernotifications.filtering [0] 権限の申請を何度も却下していた
    今日のニュースを受けて再申請すれば認められるのか気になる
    ちなみに、iOS では月に約3,500万件、Android では約6,700万件のプッシュ通知を送信している。詳細は [1] にある
    [0]: https://developer.apple.com/documentation/bundleresources/en...
    [1]: https://threadreaderapp.com/thread/1721717002946191480.html

    • Firefox iOS では APNS の暗号化 を大きな苦労なく実装していた
      鍵は別経路でネゴシエーションし、メッセージの復号は受信通知を前処理できる Notification extension で行っていた。特別な権限は不要で、ソースコードは GitHub.com/mozilla-mobile にある
    • そのユースケースになぜ フィルタリング権限 が必要なのか気になる
      プッシュ通知の復号は mutable-content と通知サービスでサポートされているように見え、実際 Apple のドキュメントの例もその方式になっている: https://developer.apple.com/documentation/usernotifications/...
    • 理解している限りでは、その権限があれば暗号化された不可視の通知を送って、アプリ側でローカル復号した後、ネットワークを経由しないローカル通知として再表示できるのではないかと思う
      それとも、こうした動作が妙なことにその特定の権限にひも付けられているのだろうか
    • 素朴な質問かもしれないが、通知から機微なデータやすべてのデータを除去して、二次 API 呼び出し でコンテキストを取得してはいけない理由が気になる
    • Apple が権限を選別して利用を拒否するやり方はかなり狂っていて、見た目には 恣意的 に見える
  • Ron Wyden はかなり前からこの問題を掘り下げ続けてきた
    https://www.wyden.senate.gov/issues/secret-law
    https://www.wyden.senate.gov/news/press-releases/wyden-colle...
    https://www.wyden.senate.gov/news/press-releases/wyden-intro...
    https://www.wyden.senate.gov/priorities/gps-act
    https://www.wyden.senate.gov/news/press-releases/wyden-relea...

    • Snowden が違法な大規模監視プログラムを暴露するに至ったことにも影響を与えた
      記憶が正しければ、Snowden は当時の国家情報長官 James Clapper が、Wyden 上院議員の国内監視に関する質問に対して議会で宣誓の上で虚偽の証言をしたときに限界に達した。こうした権力者の話をもっと聞けないのは残念だ
    • 技術に関連して プライバシーと憲法上の権利 を擁護する上院議員のニュースが出ると、十中八九 Wyden だ
      彼は上院情報委員会のメンバーで、超党派の支持を得て実際に物事を前に進めてきた実績もかなりあり、単なる票目当てのアピールではない。オレゴンでは支持が非常に強く、実質的に選挙で負けにくい立場でもある。74歳なので、引退後に誰かがその torch を引き継いでくれればと思う。負け戦ではあるが、有能で尊敬される人物が代わりに戦ってくれることには依然として意味がある
    • Oregon に Bernie Sanders に次ぐ、上院でも最高クラスの上院議員がいるのは本当に素晴らしい
      Oregon は本当にしっかりした州だ。みんな PDX をけなすが、現実にはここには米国のどの州よりも、ひょっとすると世界のどこよりも、より多くの自由とより少ない圧政がある。PDX が「悪い」と言われる理由は、警察を嫌って実際にその力を抑え込んでいる世界でも数少ない場所だからで、ブーツを恐れずに生きられるならホームレス問題を受け入れる価値はある
      大麻を吸いたい? できる、しかも世界最安級だ。幻覚剤をやりたい? 事実上合法化されている。銃を撃ちたい? 民主党優勢の州にしては銃規制はかなり緩い。監視されたくない? Ron Wyden が可能な限りそれを防いでくれる
  • 「今回の件では、連邦政府がいかなる情報も共有させないよう禁じていた。いまやこの手法が公になったので、この種の要請を詳しく扱えるよう透明性レポートを更新する」という会社の立場があった。
    CSAM検出器を作る際に、「政府が政治ミーム画像のような他のメディアにまで検出を拡大しろと言ってきたら?」という問いに「拒否する」と答えていたことを思い出す

    • 公表禁止があったという事実は、拒否するという約束を反証するものではない。
      どちらなのかを証明しにくくしているだけで、それは同じ問題ではない
    • Yahooはこの種の問題について、GoogleやAppleより良い実績がある: https://money.cnn.com/2014/09/11/technology/security/yahoo-f...
      いまではYahoo phoneも、そこまでひどい冗談には聞こえない: https://www.slashgear.com/wp-content/uploads/2010/05/nokia_y...
    • すでに行っていると見なして差し支えない。
      ただ、こうした監視の常態化を進める法律がゆっくり後追いしているため、まだ言えないだけだ。もっと知りたければ、その法律に投票しろという話だ
  • 本当に恐ろしいが、驚きではない
    Snowdenは何が起きていて、どこへ向かっているのかを知らせようとしてすべてを賭けたが、結局ここまで来てしまった。今や政府からこうした扱いを受けない唯一の方法は、システムから完全にプラグを抜くことのように見えるが、現実には社会の圧倒的大多数にとって不可能だ。では代替案は何なのか気になる

    • 強力な携帯電話にアプリと絶え間ない通知がぎっしり詰まっていなければ、充実して楽しく愉快な技術生活は送れないのか疑問だ
      技術好きの人たちが、世界でもっとも多機能なスパイ装置が巨大多国籍企業のエンドツーエンドの支配下で人々のポケットに普及していくとき、こうした状態や数々の明白な欠点が最初から必然だったと、なぜ見抜けなかったのか本当に驚く。まるで私たち全員が完全に取り込まれてしまったようだ
    • 携帯電話では、友人や家族の前にいる公共の場で振る舞うように振る舞うべきだ
      見知らぬ人に知られても構わないことだけをテキストで送り、検索すべきだ。まさにこの記事で明らかになったその理由のために、何年もそうやって生きてきた
    • 故意に戦争犯罪者に支配されるのをやめ、その犯罪を起訴すべきだ
      政府に対する統制を取り戻すための市民的手段は存在し、それを使う勇気が必要だ。つまり、自分たち自身の戦争犯罪者を起訴しなければならないということだ
      結局のところ、国家の道具で大衆を抑圧しようとするのは手にもっとも多くの血を付けた犯罪者たちであり、彼らは実際の権力を大衆から得ており、逃げ回る犯罪者たちに実質的に対処できる資源も大衆だけが持っている
      こうした権利侵害の装置は、犯罪的な支配エリートを守るためだけに存在する
      政府を正すには、戦争犯罪者を起訴しなければならない。戦争犯罪は現実であり、人道に対する罪も現実であり、人権侵害も現実だ。現実でないのは、自分たちが故意に筋金入りの戦争犯罪者に支配されているという事実に向き合うときに感じるはずの気まずさを、大衆が引き受ける意思のほうだ
      「よりひどい人権侵害国家」より自分たちのほうが道徳的に優れているという虚構に対する不快感は、私たちの名のもとに行われている現実の人権侵害への怒りに変わるべきだ。そうでなければ、ただ深淵へ滑り落ち続けるだけだ
    • 最新の iPhone 27 Max Pro(TM) で得られるものより機能の少ない環境を受け入れる必要がある
      そして、携帯電話をUSBポートに挿したまま、ブラウザで「別のOSをインストール」ボタンを押せるだけの度胸も必要だ
      サービスまで広げると、かなりの部分は自分で配備できる能力にかかっている。家にあるマシンにLinuxを入れて、使い方の文書をたくさん読む時間が必要になるかもしれない。オンラインには十分な文書があるので、高校卒業程度の人なら大半はやり遂げられるだろうが、無力さを拒むだけの動機が必要だ
      今なら Pixel 7[|a|Pro] を買って GrapheneOS をフラッシュできる。F-Droid で多くのものが手に入るし、本当に Google Play Store のアプリが必要なら、GrapheneOS がかなりうまくサンドボックス化してくれる。その Google Play Store 導入専用の Google アカウントを新しく作ればよい
      携帯電話では、Google、Microsoft、Apple、Facebook、Twitter/X、LinkedIn のようなところには決してログインしないほうがよい。どうしても必要なら、信頼できるブラウザのシークレットモードまたはプライベートブラウジングを使えばよい
      お気に入りの地図アプリ以外では、位置追跡をすべて切るべきだ。移動中に基地局が位置情報を拾うのが嫌なら、機内モードにしておけばよい。GPS受信はそのまま動作する
      自宅ネットワークの外では、WG Tunnel で自分のサーバーに接続できる。Tailscale を強く勧める人もいるが、彼らにノード情報を預けることになる
      Syncthing は多くの人にとってバックアップ用途でうまく動く
      個人用の地図は Organic Maps をある程度うまく使っている。場所検索が必ずしも簡単とは言えないが、ナビゲーション機能は常によく動いてきた
      非公開の通信には双方、つまり自分と受信者の両方が必要だ。弱点はたいてい受信者側の環境になるが、Signal のようなものは少なくとも可能性を与えてくれる
      メールとカレンダーは Fastmail のようなものが悪くない。おそらくユーザープロファイルを作って広告主に売ることはないだろう。カレンダー同期には DAVx5 が F-Droid で無料だ
      検索は Kagi がよく機能する。広告主に売られている可能性も低そうだ。DuckDuckGo も別の折衷点を持つ選択肢だ
      音楽は minidlnad で FLAC ファイルを VLC に提供できる。minidlnad は apt-get でインストールし、設定ファイルを3分ほど調整すれば済んだ。この分野には選択肢が非常に多い
      Spotube、FreeOTP、Podverse、Librara FD、Cheogram のような、よりプライバシー保護に向いているかもしれないアプリを F-Droid で探せばよい。F-Droid のアプリが完璧なプライバシー保護を保証するという意味ではないが、一般に Play Store で強く勧められる多くのものよりは良い可能性が高い
      地元の図書館で電子書籍やオーディオブックを借りればよい。あるいは電子書籍を Calibre の DeDRM 拡張で処理してから、Syncthing で端末にコピーすることもできる。要点は、携帯電話からライセンスサーバーに接触しないようにすることだ
      eReceipt が収集されて消費者プロファイルに追加されるのが嫌なら、Apple Pay や Google Pay、クレジットカード、ロイヤルティプログラムは諦めなければならない
      これらすべてが完璧なプライバシー保護を保証するわけではないが、政府や企業がモバイル機器を通じて収集する個人情報の量を大幅に減らすことはできる
    • Google/Apple の足かせから離れて、F-Droid/LineageOS やそれに近い自由・オープンソース志向のものを使えばよい
  • 実際のユーザーに結び付けられる可能性がある通知メタデータの例を見てみたい
    示唆されているのは、たとえばこんな形に見える。通知を有効にしているユーザーがいて、Xアプリをインストールしており、対象ユーザーが米国にいて、対象ユーザーがXアプリで「foo」をフォローしているとする。そのとき、「foo」ユーザー関連の通知を受け取ったすべてのスマートフォンユーザーについてFISA令状を発行すれば、この条件に合うApple/Googleアカウントをすべて取得し、実際の住所や氏名を得たうえで、ほかの詳細と照合して容疑者を絞り込める、ということのようだ
    あるいは、通知が何らかの形で位置データを漏らしてしまう、もっと悪い状況かもしれない

    • そもそも、ここまでの手順を踏む必要があるのか疑問
      単に全部取得して自前で保存・索引化すればいいのではないか。後から人々が受け取ったものをさかのぼって見て、新しい犯罪を定義したくなるかもしれない
    • 政府の手が及ぶ領域の外で、社会の一部が活動し結社できる並列ネットワークを作るか、プライバシーと安全を技術的に保証する必要がある
      拡張しづらい制約であることは理解しているが、不可能ではなく、現在も反復的に改善されている解決策がある。人々は以前にも、通信、相互扶助、家族とは無関係に大衆へ提供される安全を中心に、代替社会をうまく築いたことがある
      こうしたものは政府と企業にとって脅威になる。人々がそのような機関への依存度を下げ、金だけでは統制しにくい力を生み出すからだ。そのため歴史的には暴力に頼ってきた。たとえばブレア・マウンテンの戦いのような例だ
      技術は、自動化、汎用部品、オープンソースによって単位コストと労働コストを大きく下げてきたため、潜在的な解決策をスケール可能にする独特の手段だと思う
    • Appleの開発者ドキュメントにも、通知が物理的な境界の通過時にトリガーされうると書かれている
      たとえばアプリ通知が「デモ区域」に入ったときにトリガーされるなら、政府はそこにいた全員を把握できる
    • 通知配信にIPを使うなら、政府は通知が配信されたIPアドレスを渡すよう要求できる
      そこから位置を割り出すのは難しくない
    • はっきりさせておくと、最近FBIがTrumpアカウントについてTwitterに捜索令状を執行し、その結果として彼のTwitterフォロワー全体にアクセスしていたことが分かった: https://www.bbc.com/news/world-us-canada-66365643.amp
  • メッシュネットワークはどうなったのかと思う
    公共の場所を出歩きたいなら、もっと基本機能だけを持つ、非常に匿名化された機器を持ち歩けるはずだ。その機能の中には、メッシュネットワーク経由でのメッセージや小さなファイルの送信も含められるだろう。連邦機関が侵入できるとしても、今のように些細なことではないはずだ。ユーザーは機器を交換することもできる
    問題の機器が本物の携帯電話ではなく、キーボード付きのWi‑Fi対応汎用機器なら、IMEIも不要だろう

    • Apple AirDropは基本的にこれに近かったが、中国政府の要請で骨抜きにされた
      今でも動作はするが、30分ごとに自動でオフになるので、たとえば通勤時に検閲されていないニュースを人々の携帯電話へ自動的に流し込めるようなオプトインはできない。30分ごとに携帯電話を触らなければならないからだ
      技術的にはマルチホップルーティングをサポートしていないのでメッシュネットワークではない。それでもピアツーピアであり、データ接続は不要だ
    • メッシュネットワークは今でも存在し、IoTに有用なので、これまでになく活発だ
      無料と有料のサービスを組み合わせて提供する民間のLoRaネットワーク運営者は多い。Amazonはすでに配送網のおかげでこの分野の大きなプレイヤーだ
    • Apple Airtag機器がどのような種類のメッシュネットワーキングを使っているのか気になる
  • プッシュメッセージに標準でエンドツーエンド暗号化が入っていれば、一部の問題は防げたはずだ
    開発ツールに組み込まれていれば、使うのも特別難しくはなかったはずだ。ところが、[0] のような開発者向け推奨は、プッシュメッセージにコンテンツを入れ、必要に応じて別ライブラリで暗号化することを提案している。開発者が明らかにそうしていないため、監視の機会が生まれる
    [0] https://android-developers.googleblog.com/2018/09/notifying-...

    • タイミングだけでも露呈しうる
      特権的なネットワーク位置があれば、あるユーザーがメッセージングサービスにメッセージを送信し、その少し後に、あるユーザー集合がそのメッセージングサービスから通知を受け取ったことが分かる。十分な回数観測を繰り返せば、グループの構成員について高い確信を得られる
      こうした攻撃を避けるには、固定レートのメッセージストリームを送る必要がある。大半はダミーメッセージで、たまにだけ本物の内容を含むメッセージであるべきだ。ナンバーズステーションのような方式だ。また、チェーン上のすべての地点で、どのメッセージが本物か分からないようにしなければならない。本物の通知を受け取ったときにサーバーから暗号化メッセージを取りに行けば、それ自体がデータ漏えいになる
      アプリ運営者は固定間隔でメッセージを送ることで、相関付けをより難しくできる。受信者を確信するには、より多くのサンプルが必要になる。しかしダミー通知を送ると、ユーザーに見えない通知に関するApple/Googleの制約に引っかかる可能性が高い。Appleは禁止しているのを知っているし、Googleもそうだと思う
      Apple/Googleの立場からすると、こうした攻撃を妨害することに関心があるとは思えない。全員の電力消費と無線帯域幅の要求がかなり大きく増えるはずだ
    • 記事の内容のように狙われているのがメタデータなら、プッシュ通知自体が暗号化されても大きな違いがあるのか分からない
      Apple/Googleサーバーでプッシュ通知を管理している限り、暗号化の有無にかかわらず、監視に有用なメタデータはある程度存在するはずだ
    • 実際にそうしているアプリもある
      少なくともRocket.Chatには、プッシュをその方式で処理するオプションがあると認識している。グループやコミュニティで使う似たようなチャットアプリもそうしてほしい
      しかし他の人が言うように、通知のタイムスタンプと宛先だけでも、すでに多くのことを物語る
    • 暗号化は役に立たないだろう。要点は同時発生のタイミングを見ることだからだ
      たとえば、あるユーザーが既知のサービスで活動した後、別のユーザーへプッシュが行くというパターンが繰り返されれば、両者が連絡を取り合っているという確信を積み上げられる
    • なぜそうする必要があるのか分からない
      システム運用者は、メッセージが誰に送られるのかを把握している。裁判所命令で列挙された対象に送られたメッセージを追跡しろと言われれば、従うしかない
  • この場合、メタデータとは、Apple と Google が「この実在のユーザーがあの実在のユーザーとこの時刻に接続した」と特定するのを助ける、という意味のように見える
    政府がプッシュメッセージ本文や、その本文を理由に送信されたデータを復号できる可能性はあるし、できない可能性もある

    • Glenn Greenwald の本で興味深い点は、メタデータのほうが実データより多くの情報を与えることがよくある、ということ
      たとえば、スミス夫人が受付係と電話で来週水曜日の9時30分の診察予約を取った、という通話内容と、スミス夫人が中絶クリニックに電話をかけた、という事実を比べると、後者のほうがより大きなプライバシー侵害に見える。メタデータこそが本当のデータだ
    • 少なくとも2014年以降、すでにメタデータだけで「人を殺して」いる。[0]
      [0]: https://www.nybooks.com/online/2014/05/10/we-kill-people-bas...
    • FCM メッセージはエンドツーエンドで暗号化されていない
      アプリのバックエンドとクライアントが自分たちで行う必要がある
  • この混乱から抜け出す唯一の道は新しい法律であり、そのためには新しい立法者が必要だ
    企業の善意に期待したり、難解な技術にすがったり、「オフグリッド」に行くような別の解決策は、おおむね99%の人にとって愚かか非現実的なので、そもそも検討対象であるべきではない
    おそらく最も有望な出発点は州レベルだろう

    • 既存の法律ですら創造的に解釈して破ってきたのだから、新しい法律にどれほど意味があるのかよく分からない
    • 国家が法律を書くことで市民を監視できなくなることを期待しているのか、という気もする
    • Libertarian Party は私たちのプライバシー要求に合っているかもしれないが、その党に属する人はごく少ない
      自由主義者として、私は引退した米上院議員である Libertarian の Ron Paul のポッドキャストを、少なくとも週に1回は聞き始めた。年を取ったせいかもしれないが、彼の言っていることの大半は筋が通っていると感じる
      第三党の話を出したのでここで叩かれるかもしれないが、構わない
  • 記事の中でより不快なのはこの部分だ
    「今回のケースでは、連邦政府がいかなる情報の共有も禁じた。今回この手法が公になったので、今後はこうした要請を詳しく扱うよう透明性レポートを更新する」
    政府監視の主要な経路が抜け落ちるのなら、透明性レポートにどんな意味があるのか分からない
    こうしたかん口令は、大量監視に適用される場合には合法であるべきではないと思う。特定の個人が令状に基づいて監視されている事実を、会社が本人に知らせられないようにするのは許されるかもしれない。だが、特に米国市民が関係する非標的または半標的の監視について、会社がそれを公開できないようにするのは、表現の自由の観点から違憲であるべきだろう

    • Patriot Act を読んでいないようだ
      あの名称こそ Orwell 的ダブルスピークの典型だ
    • 米国では、表現の自由に対する違憲な制限にかなり明白に見える
      とりわけ Apple の立場が「公知の事実になったので、これでもう公に話せる」というものだった点を考えると、なおさらだ
    • これが全部まやかしだと分かっていた人たちが、これまで何度警告してきたか分からない
    • だから Apple の「私たちはあなたのプライバシーを非常に真剣に考えています!」は決して信じない
      政府が裏で何かをやれと言ってくるまでは、という意味だからだ
    • 勘違いでなければ、これらは NSL と呼ばれていて、異議申し立てがあっても、その合法性は秘密法廷で秘密法と文言の秘密解釈によって審査される
      私には全体が制御不能の悪夢に見えるし、腐敗した議会は気にも留めていない