ФБР відновило видалені повідомлення Signal з iPhone за допомогою бази push-сповіщень Apple.

ФБР зчитало видалені повідомлення Signal з iPhone через базу push-сповіщень Apple / Signal

Федеральні слідчі США змогли відновити зашифровані повідомлення в месенджері Signal з телефону підсудної — навіть після видалення програми з пристрою. Спосіб: база даних push-сповіщень iOS, яка зберігає вміст вхідних повідомлень для відображення на екрані блокування.

Цей випадок стався в рамках резонансної справи “Prairieland” — про напад активістів на центр утримання іммігрантів ICE в техаському місті Алварадо. У липні 2024 року група осіб підпалювала феєрверки, вчиняла вандалізм, а один з учасників вистрілив поліцейському в шию. Це була перша справа в США, порушена після того, як президент Дональд Трамп офіційно визначив термін “Антифа” як терористичну організацію. Всі підсудні врешті-решт були визнані винними за кількома статтями обвинувачення.

Одна з фігуранток справи — Лінетт Шарп — раніше визнала свою провину у сприянні терористичній діяльності. Під час судового засідання спеціальний агент ФБР Кларк Вайторн свідчив про зібрані докази. Ключовим став Доказ № 158 — резюме якого було опубліковане на сайті групи підтримки підсудних:

“Повідомлення були відновлені з телефону Шарп через внутрішнє сховище сповіщень Apple — Signal було видалено, але вхідні сповіщення зберігалися у внутрішній пам’яті. Були захоплені лише вхідні повідомлення (без вихідних).”

Адвокат іншої підсудної — Елізабет Сото — Гармоні Шуерман зафіксувала свідчення у своїх нотатках і поділилася ними з виданням 404 Media. За її словами:

“Їм вдалося захопити ці чати через налаштування сповіщень на телефоні — щоразу, коли сповіщення з’являється на екрані блокування, Apple зберігає його у внутрішній пам’яті пристрою”.

Окремо свідок у залі суду зазначив: деякі з відновлених повідомлень були налаштовані на автовидалення у Signal і дійсно зникли з самого застосунку — проте їхній вміст залишився у кеші сповіщень iOS.

Як це працює технічно

Суть проблеми полягає не в зламі шифрування Signal. Месенджер не передає вміст повідомлень на сервери Apple. Натомість повідомлення розшифровуються локально на пристрої, і вже після цього iOS генерує сповіщення для відображення на екрані блокування. Якщо в налаштуваннях увімкнено попередній перегляд вмісту — iOS кешує цей текст у своїй внутрішній базі даних, незалежно від того, чи було видалено застосунок і чи спрацював таймер автовидалення в самому Signal.

Критично: токен, що використовується для надсилання push-сповіщень, не анулюється одразу після видалення програми. Сервер Signal не знає, чи встановлено застосунок на пристрої після останнього надісланого сповіщення, і може продовжувати надсилати нові нотифікації. iPhone сам вирішує, відображати їх чи ні — але кешування при цьому може тривати.

Форензічні інструменти, зокрема Cellebrite, здатні витягувати ці дані з кешу push-сповіщень. База сповіщень може зберігати інформацію тижнями — незалежно від наскрізного шифрування Signal та таймерів самознищення. Крім того, іноді ФБР може отримати ці дані не безпосередньо з пристрою, а з резервної копії — у разі, якщо пристрій перебуває в режимі BFU (Before First Unlock, тобто ще не розблокований після перезавантаження). Після першого розблокування (режим AFU — After First Unlock) система надає набагато ширший доступ до кешованих даних.

СпецпроєктиВід застарілої інституції до data-product компанії: як будували Держстат 2.0Весняний апгрейд: 10 гаджетів Canyon, на які варто звернути увагу

Важливо: ця вразливість не є унікальною для Signal. Будь-який застосунок, що відображає вміст повідомлень у сповіщеннях на екрані блокування, потенційно залишає такі криміналістичні артефакти.

Реакція компаній та зміни в iOS

Ні Signal, ні Apple не надали коментарів виданню 404 Media щодо того, як саме обробляються та зберігаються сповіщення. Signal підтвердив отримання запиту ще 12 березня, але після цього припинив відповідати на листи.

Примітно, що незабаром після оприлюднення цієї справи Apple випустила iOS 26.4, в якій змінила спосіб валідації push-токенів. Видання 9to5Mac зазначає, що встановити прямий зв’язок між цим оновленням і справою Prairieland неможливо — але збіг у часі є показовим.

То як же захиститися?

Signal має вбудоване налаштування, яке блокує відображення вмісту в сповіщеннях. Для активації: Signal → Налаштування → Сповіщення → Вміст сповіщення → вибрати “Лише ім’я” або “Без імені та вмісту”.

На системному рівні в iOS: Налаштування → Сповіщення → Показувати попередній перегляд → встановити “Ніколи”. Якщо попередній перегляд вимкнено — iOS не кешує вміст, а слідчі бачитимуть лише факт отримання сповіщення без жодного тексту.

ФБР не змогли “зламати” iPhone журналістки Washington Post через активований режим блокування

Джерело: 404 Media