Федеральные следователи США восстановили зашифрованные переписки в мессенджере Signal с телефона подсудимой — даже после того, как приложение было удалено с устройства. Метод: база данных push-уведомлений iOS, которая кэширует содержимое входящих сообщений для отображения на экране блокировки.
Прецедент произошел в рамках резонансного дела «Prairieland» — о нападении активистов на центр содержания иммигрантов ICE в техасском городе Алварадо. В июле 2024 года группа людей поджигала фейерверки, вандализировала имущество учреждения, а один из участников выстрелил полицейскому в шею. Это было первое дело в США, возбужденное после того, как президент Дональд Трамп официально определил термин «Антифа» как террористическую организацию. Всех подсудимых в итоге признали виновными по нескольким статьям обвинения.
Одна из фигуранток дела — Линетт Шарп — ранее признала свою вину в содействии террористической деятельности. Во время судебного заседания специальный агент ФБР Кларк Вайторн давал показания относительно собранных доказательств. Ключевым стало Доказательство № 158 — резюме которого было опубликовано на сайте группы поддержки подсудимых:
«Сообщения были восстановлены с телефона Шарп через внутреннее хранилище уведомлений Apple — Signal было удалено, но входящие уведомления хранились во внутренней памяти. Были захвачены только входящие сообщения (без исходящих).»
Адвокат другой подсудимой — Элизабет Сото — Гармони Шуерман зафиксировала показания в своих заметках и поделилась ими с изданием 404 Media. По ее словам:
«Им удалось захватить эти чаты из-за того, как у нее были настроены уведомления на телефоне — каждый раз, когда уведомление появляется на экране блокировки, Apple сохраняет его во внутренней памяти устройства».
Отдельно очевидец в зале суда отметил: некоторые из восстановленных сообщений были настроены на автоудаление в Signal и действительно исчезли из самого приложения — однако их содержимое осталось в кэше уведомлений iOS.
Как это работает технически
Суть проблемы — не в взлома шифрования Signal. Мессенджер не передает содержимое сообщений на серверы Apple. Вместо этого сообщения расшифровываются локально на устройстве, и уже после этого iOS генерирует уведомления для отображения на экране блокировки. Если в настройках включен предварительный просмотр содержимого — iOS кэширует этот текст в своей внутренней базе данных, независимо от того, удалено ли приложение и сработал ли таймер автоудаления в самом Signal.
Критично: токен, используемый для отправки push-уведомлений, не аннулируется сразу после удаления приложения Сервер Сигнал не знает, установлено ли приложение на устройстве после последнего отправленного уведомления, и может продолжать отправлять новые уведомления. iPhone сам решает, отображать их или нет — но кэширование при этом может продолжаться.
Forensic-инструменты, в частности Cellebrite, способны извлекать эти данные из кэша push-уведомлений. База уведомлений может хранить информацию неделями — независимо от сквозного шифрования Signal и таймеров самоуничтожения. Кроме того, иногда ФБР может получить эти данные не непосредственно с устройства, а из резервной копии — в случае, если устройство находится в режиме BFU (Before First Unlock, то есть еще не разблокировано после перезагрузки). После первой разблокировки (режим AFU — After First Unlock) система предоставляет гораздо более широкий доступ к кэшированным данным.
СпецпроектыBROCARD: як б'юті-ритейлер розвиває мобільний продукт — огляд застосунку та Великодньої гейміфікаціїВесняний апгрейд: 10 гаджетів Canyon, на які варто звернути увагу
Важно: эта уязвимость не является уникальной для Signal. Любое приложение, отображающее содержимое сообщений в уведомлениях на экране блокировки, потенциально оставляет такие криминалистические артефакты.
Реакция компаний и изменения в iOS
Ни Signal, ни Apple не предоставили комментариев изданию 404 Media относительно того, как именно обрабатываются и хранятся уведомления. Signal подтвердил получение запроса еще 12 марта, но после этого прекратил отвечать на письма.
Примечательно, что вскоре после обнародования этого дела Apple выпустила iOS 26.4, в которой изменила способ валидации push-токенов. Издание 9to5Mac отмечает, что установить прямую связь между этим обновлением и делом Prairieland невозможно — но совпадение во времени является показательным.
Так как же защититься?
Signal имеет встроенную настройку, которая блокирует отображение содержимого в уведомлениях. Для активации: Signal → Настройки → Оповещения → Содержимое оповещения → выбрать «Только имя» или «Без имени и содержимого».
На системном уровне в iOS: Настройки → Оповещения → Показывать предварительный просмотр → установить «Никогда». Если предварительный просмотр отключен — iOS не кэширует содержимое, а следователи будут видеть только факт получения уведомления без какого-либо текста.
ФБР не смогли «взломать» iPhone журналистки Washington Post из-за активированного режима блокировки
Источник: 404 Media
