Apple ha reso pubblici per la prima volta i dati sulle richieste governative legate alle notifiche push, confermando un meccanismo poco noto con cui Stati e agenzie di intelligence possono identificare dispositivi, utenti e in alcuni casi accedere a contenuti non crittografati delle notifiche. A segnalare l’aggiornamento è stato il giornalista tedesco Andre Meister, che ha condiviso su Mastodon un collegamento ai nuovi dati pubblicati da Apple. L’inchiesta è stata riportata in anteprima da 404 Media, che già nel 2023 aveva seguito da vicino lo sviluppo di questo caso.
Notifiche come strumento di sorveglianza
Ogni notifica push che appare su un iPhone passa dai server Apple. E questo vale anche per le notifiche generate da app di terze parti. I metadati di questo flusso – come l’orario, l’app coinvolta, l’identificativo del dispositivo e l’account collegato – possono essere oggetto di richieste governative. In alcuni casi, secondo la documentazione, anche parte del contenuto della notifica può essere intercettata, se trasmessa in chiaro.
Il caso emerse per la prima volta alla fine del 2023, quando il senatore statunitense Ron Wyden denunciò pubblicamente la pratica con una lettera al Dipartimento di Giustizia. Wyden citava sia Apple sia Google, sottolineando come le due aziende fossero in grado di fornire dati potenzialmente sensibili alle autorità, spesso con semplice mandato di comparizione e non necessariamente con un ordine del giudice.
Migliaia di notifiche nel mirino
I dati diffusi da Apple coprono richieste avvenute in blocchi di sei mesi, da luglio 2022 a giugno 2024. Nei soli ultimi sei mesi del 2023, gli Stati Uniti hanno inoltrato 99 richieste relative a 345 token push; Apple ha risposto positivamente a 65 di queste. Il Regno Unito, nello stesso periodo, ha inviato 123 richieste per 128 token, ottenendo dati in 111 casi. Solo la Germania, tra gli altri Paesi europei, ha ottenuto un numero limitato di risposte.
Il dato più anomalo riguarda Israele, che ha presentato una sola richiesta ma relativa a 694 token push. Apple non ha chiarito se abbia risposto a tale richiesta. Le autorità israeliane, interpellate, non hanno commentato.
Nel primo semestre del 2024, le richieste sono proseguite. Il Regno Unito ha ricevuto dati in 127 casi, gli Stati Uniti in 36, mentre altri Paesi come Singapore non hanno ottenuto risposta nonostante le richieste.
Cosa c’è dentro un token push
Ogni token push identifica una specifica combinazione tra app, dispositivo e utente. Apple spiega che, quando un utente consente a un’app di inviare notifiche, viene generato un token registrato per quello specifico dispositivo. Le autorità che chiedono informazioni su un token possono ricevere i dettagli dell’account associato: nome, indirizzo fisico, email.
Fino a dicembre 2023, questi dati erano forniti su semplice mandato di comparizione. Solo recentemente Apple ha iniziato a richiedere un ordine del giudice per autorizzare l’accesso. La misura, seppur più stringente, non impedisce del tutto la trasmissione di dati in contesti meno controllati.
Un precedente preoccupante
L’esistenza di richieste di questo tipo era già stata svelata da 404 Media, che aveva scoperto un verbale giudiziario statunitense con riferimento esplicito all’uso dei dati delle notifiche push in ambito investigativo. Il nuovo report conferma non solo la pratica, ma anche l’ampiezza del fenomeno: centinaia di richieste ogni semestre, con esiti quasi sempre positivi nei confronti dei Paesi anglofoni.
Secondo gli attivisti per la privacy, questa vicenda mostra ancora una volta quanto i meccanismi invisibili dei servizi digitali possano diventare strumenti di sorveglianza. Il fatto che notifiche apparentemente innocue possano rivelare l’identità e la posizione di un utente, o mostrare frammenti del contenuto ricevuto, espone a rischi significativi chi si trova sotto indagine, compresi giornalisti, dissidenti e attivisti.
Aiutaci a crescere: lasciaci un like :)