Apple、政府がユーザー監視のためにプッシュ通知を利用していると確認
(macrumors.com)- スマートフォンの通知がApple・Googleのサーバーを経由する構造のため、一部政府がプッシュ通知データでユーザーを追跡できるという警告が、米上院議員Ron Wydenの書簡を通じて明らかになった
- Wydenは、外国当局が特定アプリの利用方法を追跡しようとして両社にデータを要求しており、この構造が政府監視の接点になり得ると見ている
- Appleは米連邦政府のため関連情報を公開できなかったが、今回の公開を受けて透明性レポートにこうした要請をより詳しく反映するとReutersに述べた
- 事情に詳しい情報筋によると、外国および米国の政府機関の双方がプッシュ通知メタデータを要求してきており、匿名メッセージングアプリの利用者を特定のAppleまたはGoogleアカウントに結び付けるために使われていた
- 通知内容は開発者が暗号化できるが、どのアプリがどれくらい頻繁に通知を送るかといったメタデータは暗号化されないため、アプリ利用パターンが露出する可能性が残っている
プッシュ通知が監視の接点となった理由
- 身元が公表されていない一部政府がスマートフォン利用者のプッシュ通知を追跡して監視しているという警告が、米上院議員Ron Wydenの司法省宛て書簡で示された
- 監視対象はGoogleとAppleのサーバーを通過するプッシュ通知データである
- Wydenは、外国当局がスマートフォン追跡のために両テック企業へデータを要求していると明らかにした
Wydenの司法省への要請
- プッシュ通知トラフィックは、AppleとGoogleをユーザーのアプリ利用方法にアクセスできる特別な立場に置いている
- 両社が特定アプリ利用に関する政府監視を後押しし得る接点になり得る
- Wydenは司法省に対し、プッシュ通知監視に関する公開議論を妨げる方針を廃止または修正するよう求めた
Appleの対応
- Appleは、Wydenの書簡をきっかけに政府によるプッシュ通知監視の手法についてより多くの情報を公開できるようになったとReutersに述べた
- これまでは米連邦政府がこの件に関する情報共有を妨げていたという立場である
- 手法が公開された以上、Appleは透明性レポートを更新し、この種の要請をより詳しく扱う予定である
要求されたデータと利用方法
- Wydenの書簡では、監視情報の出所は1件の内部告発として示されている
- 事情に詳しい情報筋は、外国および米国の政府機関がAppleとGoogleにプッシュ通知関連のメタデータを要求してきたと確認した
- そのデータは、匿名メッセージングアプリ利用者を特定のAppleまたはGoogleアカウントに結び付けようとする試みに使われたと伝えられている
- Reutersの情報筋は、どの政府が要請したかは明らかにしなかったが、要請主体を「米国と同盟関係にある民主主義国家」と表現した
- 要請がどれほど長く続いていたかは分かっていない
開発者への勧告と残る露出ポイント
- Appleは開発者に対し、通知に機微なデータを含めないよう勧告している
- 通知ペイロードにデータを入れる前に暗号化するよう勧告も行っている
- ただし、この保護措置は開発者が自ら実施しなければならない
- どのアプリが通知を送っているか、どれくらい頻繁に送るかといったメタデータは暗号化されない
- このメタデータにアクセスできる主体は、ユーザーのアプリ利用方法に関する情報を得られる可能性がある
1件のコメント
Hacker News の意見
Nextcloud サーバーで UnifiedPush を動かし、端末では Nextpush アプリを使っています。一部のアプリはこれを使っています
WebSocket を使うアプリもありますが、バックグラウンドで動かし続けるとリソースを多く消費すると理解しています
Cheogram アプリに乗せてプッシュ通知を受け取れるアプリもあります
Google Play Services のない Android フォークを使っていますが、iPhone で何が可能なのかは分かりません
スマートフォンの設定ではなく、アプリ内でオフにすれば効果があるかもしれません