Secondo un nuovo rapporto di 404 Media, l'FBI è riuscita a recuperare i messaggi Signal cancellati da un iPhone estraendo i dati memorizzati nel database delle notifiche del dispositivo. Ecco i dettagli.

Accesso alla cronologia delle notifiche nonostante la cancellazione di Signal

Secondo 404 Media, in un caso riguardante "un gruppo di persone che ha sparato fuochi d'artificio e ha danneggiato la proprietà" presso il Centro di Detenzione ICE Prairieland in Texas, l'FBI è riuscita a recuperare il contenuto dei messaggi Signal provenienti da un iPhone di un imputato, anche se Signal era stato rimosso dal dispositivo:

Uno degli imputati era Lynette Sharp, che aveva precedentemente ammesso di aver fornito sostegno materiale a terroristi. In un giorno del processo, l'agente speciale dell'FBI Clark Wiethorn ha testimoniato su alcune prove raccolte. Il riassunto della prova numero 158 pubblicato sul sito web dei sostenitori affermava: "I messaggi sono stati recuperati dal telefono di Sharp tramite lo spazio di archiviazione interno delle notifiche di Apple - Signal era stato rimosso, ma le notifiche in arrivo sono state memorizzate nella memoria interna. Solo i messaggi in arrivo sono stati catturati (nessun messaggio in uscita)."

404 Media osserva che le impostazioni di Signal contengono un'opzione che impedisce l'anteprima del contenuto reale dei messaggi nelle notifiche. Tuttavia, sembra che l'imputato non avesse attivato questa impostazione, il che ha permesso al sistema di memorizzare il contenuto nel database.

404 Media ha contattato Signal e Apple, ma entrambe le aziende non hanno fornito alcuna spiegazione su come vengono elaborate o memorizzate le notifiche.

Come funziona quindi questo storage interno?

Poiché ci sono pochi dettagli tecnici sulla situazione esatta dell'iPhone dell'imputato, è impossibile determinare il metodo esatto utilizzato dall'FBI per recuperare le informazioni.

Ad esempio, ci sono molte condizioni di stato in cui un iPhone può trovarsi, ognuna con le proprie restrizioni di sicurezza e accesso ai dati; come BFU (Before First Unlock) e AFU (After First Unlock).

Inoltre, quando il dispositivo è sbloccato, la sicurezza e l'accesso ai dati cambiano in modo ancora più drammatico, poiché il sistema presume che l'utente sia presente e concede un accesso più ampio ai dati protetti.

In questa situazione, iOS memorizza e memorizza localmente un gran numero di dati facendo affidamento su queste diverse condizioni per conservare in modo sicuro le informazioni nel caso in cui il legittimo proprietario del dispositivo ne abbia bisogno.

Un altro fattore importante da considerare: il token utilizzato per inviare le notifiche push non viene immediatamente invalidato quando un'app viene rimossa. E poiché il server non sa se l'app è ancora installata dopo l'ultima notifica inviata, può continuare a inviare notifiche, lasciando alla decisione dell'iPhone se visualizzarle o meno.

In modo interessante, Apple ha cambiato il metodo di verifica dei token delle notifiche push in iOS 26.4. Sebbene sia impossibile determinare se questa situazione sia il risultato di questo caso, il tempismo è notevole.

Post by @_inside@mastodon.social View on Mastodon

Tornando al caso, secondo la dichiarazione della prova numero 158 che "i messaggi sono stati recuperati dal telefono di Sharp tramite lo spazio di archiviazione interno delle notifiche di Apple", è possibile che l'FBI abbia estratto le informazioni da un backup del dispositivo.

In questo caso, ci sono molti strumenti commercialmente disponibili che potrebbero utilizzare le vulnerabilità di iOS per aiutare l'FBI ad accedere a queste informazioni.

Segui questo link per leggere il rapporto originale di 404 Media su questo caso.

Prodotti da controllare su Amazon

  • David Pogue – 'Apple: I Primi 50 Anni'
  • MacBook Neo
  • Logitech MX Master 4
  • AirPods Pro 3
  • AirTag (2° Gen) – Pacco da 4
  • Apple Watch Series 11
  • Adattatore CarPlay wireless