FBI a extras mesaje Signal șterse ale unui suspect, salvate în baza de date a notificărilor iPhone

FBI a reușit să recupereze copii ale mesajelor Signal de pe iPhone-ul unui suspect chiar și după ce aplicația fusese ștearsă, prin extragerea datelor stocate în baza de date internă a notificărilor Apple, potrivit publicției 404 Media, preluată de 9to5Mac.

Descoperirea a ieșit la iveală în timpul mărturiei dintr-un proces penal legat de un atac asupra Centrului de detenție ICE Prairieland din Alvarado, Texas, din iulie, unde un grup ar fi folosit artificii pentru a provoca pagube materiale și, într-un caz, ar fi împușcat un ofițer de poliție în gât.

Detaliile tehnicii criminalistice au apărut în cadrul procedurilor, când agentul special al FBI Clark Wiethorn a descris modul în care anchetatorii au accesat rămășițele comunicațiilor Signal prin analiza criminalistică a unui iPhone confiscat, aspect documentat parțial prin Proba 158, care rezuma probele recuperate de pe telefonul acuzatei Lynette Sharp.

Deși aplicația Signal fusese dezinstalată de pe dispozitiv, mesajele primite erau încă recuperabile, deoarece previzualizările fuseseră păstrate în baza de date internă de notificări a Apple, iar note de sală de judecată și declarațiile avocatei apărării Harmony Schuerman indică faptul că au fost capturate doar mesajele primite, nu și cele trimise.

Toate aplicațiile de mesagerie sunt expuse

Când previzualizarea mesajelor este activată, notificările primite, inclusiv porțiuni din conținutul mesajelor, pot fi stocate local în bazele de date ale sistemului, iar aceste înregistrări pot persista independent de aplicația de origine, astfel încât nici mesajele care dispar și nici aplicațiile șterse nu elimină neapărat toate urmele comunicării.

Signal, o platformă de mesagerie criptată, cunoscută pentru protecția confidențialității, oferă utilizatorilor opțiuni de a limita ceea ce apare în notificări, iar setările pot fi configurate pentru a ascunde conținutul mesajelor sau identitatea expeditorului.

Setările Signal includ o opțiune care împiedică afișarea conținutului real al mesajului în notificări, însă în acest caz inculpata nu avea acea opțiune activată, ceea ce ar fi permis sistemului să stocheze conținutul în baza de date de notificări.

Artefacte similare pot fi generate de alte aplicații de mesagerie care afișează conținut în notificările push, astfel încât problema ține de modul în care iOS gestionează notificările și nu este specifică aplicației Signal, iar Apple nu a clarificat public durata de păstrare sau condițiile de stocare a acestor date.

Cine poate face asta de fapt

Munca descrisă în cazul din Texas presupune acces fizic la dispozitiv, utilizarea de hardware și software criminalistic comercial avansat și expertiză pentru analiza artefactelor relevante, fiind o activitate rezervată în practică agențiilor de aplicare a legii, unor experți în litigii și oficialilor de frontieră cu echipamentul potrivit, nu unor persoane obișnuite.

Bariera tehnică și operațională este semnificativă, însă, odată ce un anumit tip de artefact este menționat într-un dosar public sau într-o procedură judiciară, experții din domeniul criminalisticii mobile îl adaugă, de regulă, pe lista de verificare pentru analize viitoare.

Cum să împiedicați acest lucru să se întâmple pe telefonul vostru

În aplicația Signal, deschideți profilul, atingeți „Notificări”, apoi „Afișare” („Show”), unde aveți trei opțiuni: „Nume, conținut și acțiuni”, „Numai nume” sau „Fără nume sau conținut”, conform documentației și ghidurilor de utilizare.

Pentru protecție maximă, se recomandă alegerea opțiunii „Fără nume sau conținut”, caz în care Signal transmite sistemului de operare doar o alertă generică de tipul „A sosit un mesaj”, fără detalii pe care sistemul să le poată reține.

Puteți întări această setare la nivel de sistem în iOS, în meniul de notificări, unde opțiunea „Afișare previzualizări” poate fi setată la „Când este deblocat” sau „Niciodată”, ceea ce ține conținutul ascuns pe ecranul de blocare și reduce datele pe care telefonul le înregistrează.

Aceleași ajustări ar trebui făcute pentru toate aplicațiile de mesagerie de pe telefon – WhatsApp, iMessage, Telegram, Wire, Session și altele – astfel încât previzualizările să nu afișeze conținut pe ecranul de blocare, iar sistemul de operare să nu primească fragmente de mesaj de stocat.

Lecția importantă

Previzualizarea notificărilor este doar un exemplu al unui model mai amplu, în care smartphone-urile moderne scriu constant date pe disc pentru funcții de cache, indexare, diagnosticare, predicție și căutare, o parte dintre aceste date persistând după ștergerea aplicațiilor sau a conținutului de către utilizator.

Găsirea acestor artefacte, analizarea lor și prezentarea lor în fața judecătorilor și juriilor reprezintă esența criminalisticii telefoanelor mobile, iar instrumentele comerciale de extragere recomandă „extragerea completă a sistemului de fișiere” ca metodă de bază pentru obținerea înregistrărilor șterse, a datelor din aplicații terțe, a bazelor de date iOS și a cheilor de acces.

Această situație nu reprezintă o problemă specifică Signal și nici strict a Apple, ci rezultă din prețul pe care îl plătește utilizatorul pentru conveniență: fiecare funcție care memorează ceva pentru confort creează o înregistrare care poate rămâne pe disc și poate fi recuperată ulterior de un expert cu instrumentele potrivite.

Ar trebui să presupunem că ceea ce se vede pe ecran nu reprezintă întreaga poveste a datelor stocate pe dispozitiv și să ajustăm setările de notificare pentru a proteja confidențialitatea.

Utilizatorii care vor să minimizeze expunerea conținutului mesajelor în afara aplicațiilor criptate ar trebui să dezactiveze previzualizările mesajelor pe ecranele de blocare, să limiteze notificările la afișarea numelui expeditorului sau la lipsa oricăror detalii și să folosească controalele de confidențialitate la nivel de dispozitiv pentru a restricționa accesul la ecranul de blocare.

Deși criptarea end-to-end protejează mesajele în tranzit și în cadrul aplicațiilor, acest caz arată că date sensibile pot ajunge în continuare în zone neașteptate ale sistemului de operare, mai ales prin funcții de confort, cum sunt notificările.