FBI recupera mensagens apagadas do Signal com dados de notificações do iPhone

 (9to5mac.com)
1 pontos por GN⁺ 19 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Um caso em que o FBI recuperou mensagens apagadas do Signal usando o banco de dados interno de notificações do iPhone foi revelado por meio de depoimento em tribunal
  • No iPhone da ré, mesmo após o app Signal ter sido apagado, o conteúdo das notificações recebidas permaneceu no armazenamento interno, e a configuração de pré-visualização de notificações estava desativada
  • Devido ao estado de segurança do iPhone (AFU, BFU) e à estrutura de cache local, parte dos dados pode permanecer no sistema interno
  • Foi levantada a possibilidade de que, mesmo após a exclusão do app, o token de notificação push não tenha sido invalidado imediatamente, permitindo que o servidor continuasse enviando notificações e que o iPhone as recebesse
  • O caso mostra que a estrutura de retenção de dados de apps de mensagens criptografadas e do sistema de notificações do iOS está se tornando uma questão central de privacidade e segurança

Caso do FBI que recuperou mensagens apagadas do Signal com dados de notificações do iPhone

  • Foi divulgado um caso em que o FBI recuperou mensagens apagadas do Signal usando o banco de dados interno de notificações do iPhone
    • Segundo reportagem da 404 Media, isso veio à tona em depoimento durante o julgamento de uma ré envolvida em um caso de fogos de artifício e depredação no centro de detenção ICE Prairieland, em Alvarado, Texas
    • O agente do FBI Clark Wiethorn explicou em tribunal o processo de coleta das evidências

  • Mensagens recuperadas a partir de dados de notificações

    • No iPhone da ré Lynette Sharp, o conteúdo de mensagens recebidas continuou armazenado no repositório interno de notificações mesmo após a exclusão do app Signal
    • Segundo o resumo das provas apresentado em juízo (Exhibit 158), “o Signal foi apagado, mas as notificações recebidas foram preservadas na memória interna por meio do armazenamento interno de notificações da Apple, e apenas as mensagens recebidas foram recuperadas”
    • O Signal tem uma configuração para ocultar o conteúdo das mensagens na pré-visualização de notificações, mas a ré aparentemente havia deixado essa opção desativada
    • Nem o Signal nem a Apple apresentaram uma posição oficial sobre a forma de armazenamento ou o processamento desses dados de notificações

  • Estrutura interna de armazenamento e contexto técnico

    • Como faltam informações técnicas detalhadas sobre o estado do iPhone da ré, não está claro exatamente como o FBI recuperou os dados
    • O iPhone possui vários estados de segurança, como BFU (Before First Unlock) e AFU (After First Unlock), e as permissões de acesso aos dados variam conforme cada estado
    • Quando o aparelho está desbloqueado, o sistema presume que o usuário está interagindo diretamente com ele, e o escopo de acesso a dados protegidos é ampliado
    • O iOS gerencia diversos estados de segurança com base em confiança e, para conveniência do usuário, armazena muitos dados localmente em forma de cache

  • Token de notificação push e possibilidade de persistência dos dados

    • Mesmo que o app seja apagado, o token usado para envio de notificações push não é invalidado imediatamente

      • Como o servidor não consegue detectar que o app foi removido, ele pode continuar enviando pushes mesmo após a última notificação, e há a possibilidade de o iPhone recebê-los e processá-los internamente
      • A Apple mudou recentemente o método de verificação de tokens de notificações push no iOS 26.4; não há confirmação de relação direta com este caso, mas o momento chama atenção

  • Possibilidade de extração de dados e ferramentas de investigação

    • Segundo a descrição do Exhibit 158, o FBI recuperou os dados por meio do armazenamento interno de notificações da Apple, o que pode significar informações extraídas de um backup do aparelho
    • As autoridades de aplicação da lei possuem diversas ferramentas forenses comerciais que extraem dados explorando vulnerabilidades do iOS, e é possível que o FBI tenha usado uma delas
    • A 404 Media também publicou separadamente o relatório original deste caso

  • Significado do caso

    • O caso chama atenção por mostrar que apagar um app de mensagens ou usar criptografia não garante a eliminação completa dos dados
    • A estrutura de retenção de dados do sistema de notificações do iOS e sua gestão de segurança pode se tornar um ponto central nas futuras discussões sobre privacidade

Leituras relacionadas

1 comentários

 
GN⁺ 19 일 전
Comentários do Hacker News

  • Pensando do ponto de vista do usuário, eu achava que o Signal, por ter forward secrecy, fazia as mensagens desaparecerem depois de recebidas
    Mas, se você não ativar disappearing messages, ferramentas forenses como a Cellebrite podem recuperá-las. Isso vem desativado por padrão
    Mesmo ativando, a mensagem pode ficar incluída na notificação, e o SO pode armazená-la. A Apple de fato fazia isso, e existe uma opção para impedir, mas ela também vem desativada por padrão
    Mesmo apagando o app, a mensagem continua no SO. No fim, quando o equilíbrio entre segurança e usabilidade quebra, acho que isso não é culpa do usuário, e sim um problema de design do sistema
    Reuni casos relacionados no meu texto

    • Acho que criptografia de ponta a ponta (E2EE) é uma ilusão se o backup não for criptografado. Se a outra pessoa não usa ADP, iMessage e WhatsApp aplicam apenas criptografia em repouso
      O WhatsApp no Android também recomenda por padrão backups não criptografados no Google Drive
      Suspeito que Google, Apple e Meta tenham feito algo como um acordo sucessor do PRISM para “permitir E2EE, mas com acesso possível nas configurações padrão”
      Como a maioria das pessoas usa as configurações padrão, a segurança acaba neutralizada
    • Por mais seguro que o Signal seja, o sistema operacional e o ecossistema em que ele roda são complexos demais, então é difícil ter certeza de que a comunicação é realmente segura
      Metadados (quem falou com quem e quando) continuam expostos
    • Como a maioria dos usuários não muda as configurações padrão, o nível de segurança do app é, na prática, o nível de segurança do padrão
    • É ainda mais grave o Signal colocar a mensagem em texto puro na notificação.
      Como neste texto, dados sensíveis não deveriam ser incluídos em notificações, ou deveriam ser enviados em payload criptografado
    • Se você quer um mensageiro realmente seguro, recomendo usar SimpleX. O Whonix o recomenda, e Snowden apoia o Whonix
      Página de recomendações de chat do Whonix

  • Nas configurações do Signal,
    se você mudar em Settings > Notifications > Notification Content > Show para “Name Only” ou “No Name or Content”,
    mensagens sensíveis não ficam expostas ao mostrar a tela. Vendo este caso, essa configuração também traz benefício extra de segurança

    • Isso não é uma configuração do SO, e sim uma configuração dentro do app Signal. Mudar só as configurações de notificação do SO apenas impede a exibição na tela, mas o armazenamento interno continua
    • No Android, fica em Settings > Notifications > Messages > Show
    • A configuração padrão deveria ser a menos sensível possível. Se é um app de segurança, precisa ter padrões seguros
    • Também é melhor desativar o recurso de resumo do Apple Intelligence para notificações de apps sensíveis
    • Ativar o modo Lockdown também pode bloquear várias vulnerabilidades, inclusive esse tipo de problema

  • Se a configuração de prévia de notificações do Signal não estiver desativada, o sistema armazena o conteúdo da mensagem no banco de dados
    No macOS, esse histórico de notificações pode ser visto em ~/Library/Group Containers/group.com.apple.usernoted/db2/db
    Dá para extrair com consultas SQL usando o app Crank

    • No Android, dá para ver o histórico de notificações com apps como NotiStar.
      Mas infraestruturas centralizadas de notificação, como FCM (APNs), podem armazenar os dados no meio do caminho
    • Em aparelhos Pixel, parte do histórico pode ser vista em Settings > Notifications > Manage > Notification History
    • No caso do iPhone, se estiver configurado para mostrar a prévia na tela bloqueada, o conteúdo da notificação é armazenado em texto puro
      A configuração padrão é “mostrar prévia ao desbloquear”, e mesmo nesse caso não está claro se o armazenamento interno é criptografado
      No fim, isso é um problema de OPSEC causado por erro de configuração do usuário, e acho que os padrões do Signal eram adequados
    • No Android, antigamente havia uma página de endereço de protocolo que mostrava todas as notificações. Era útil, mas hoje quase não se usa mais

  • Eu me perguntava por que o Signal continuava perguntando todo mês para ativar notificações. Mesmo recusando, ele insistia

    • Segundo os desenvolvedores do Signal, isso é porque há muitas reclamações sobre confiabilidade das notificações, então querem evitar que o usuário as deixe desativadas por engano. Ainda assim, a frequência parece excessiva
    • Mas a maior parte dos softwares prioriza os interesses do desenvolvedor ou da empresa acima da vontade do usuário.
      Continuar insistindo em algo que o usuário não quer já virou um padrão comum de UX
    • Plataformas de mensagens são mais bem-sucedidas quanto mais rápido os usuários respondem, então incentivar a ativação das notificações é uma estratégia natural
    • O próprio iOS também tem uma estrutura que pergunta periodicamente se você quer revisar notificações desativadas
    • É um contexto parecido com o PIN de 2FA do WhatsApp, que pede para ser digitado periodicamente

  • Acho que o verdadeiro jeito de verificar o estado real da segurança é por meio de depoimentos em tribunal
    Mais importante que debates teóricos é saber que dados de fato são recuperados em casos reais

    • Mas às vezes o governo desiste da acusação para evitar expor seus meios cibernéticos, então nem tudo vem à tona
    • O tribunal é um dos raros lugares onde detalhes técnicos reais acabam sendo revelados
    • O caso recente de Trivy / LiteLLM também era ligado a segurança, mas era de outra natureza
    • Porém, em países corruptos, o resultado judicial pode não refletir a realidade. Existe parallel construction

  • A frase “o réu não ativou a configuração e o sistema armazenou as mensagens” na prática significa que o problema é a configuração padrão da Apple
    A maioria dos usuários não muda configurações, e a Apple sabe disso

    • Pior ainda é que configurações de segurança alteradas com esforço pelo usuário são redefinidas a cada atualização. As configurações de privacidade do Firefox também frequentemente voltam assim
      Mesmo que não seja intencional, precisamos agir como se fosse intencional
    • Se você se importa com segurança, deve desativar obrigatoriamente a prévia na tela bloqueada. Como qualquer um pode ver a tela bloqueada, ela não é privada por padrão
    • Se a imprensa tivesse escrito “o sistema da Apple armazenava dados por padrão” em vez de “o réu não mudou a configuração”, a percepção seria diferente
      No fim, a responsabilidade é jogada no usuário, e a empresa que construiu o sistema se esconde atrás do anonimato de “o sistema”
    • Procurei estatísticas sobre a capacidade real dos usuários de mudar configurações, e o nível de educação em computação é muito baixo. Não basta curso de digitação; é preciso alfabetização digital

  • Artigo original: FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database

    • Porém, como é só para assinantes, os detalhes são limitados

  • Fico me perguntando por que a Apple não apaga os registros que ficam no banco de notificações mesmo depois que o app é removido.
    Continuar guardando conteúdos antigos de notificação é semente para incidentes de segurança

    • Quando um problema desses vem à tona, parece tão óbvio que dá vontade de perguntar “por que só agora?”. Imagino que a estrutura mude daqui para frente
    • No Android, ao apagar o app, o histórico de notificações desaparece, e desligar e ligar de novo o recurso de histórico limpa os dados anteriores
      Segundo a documentação oficial do Android, ele é mantido só por um período determinado
    • Mas, se isso foi realmente gravado em memória flash, os blocos podem continuar existindo mesmo depois da exclusão
      Por causa de wear leveling, os dados podem permanecer por anos
    • Na maioria dos bancos de dados (sqlite etc.), apagar uma linha não remove imediatamente os dados reais do disco.
      Algo parecido também acontece no nível do sistema de arquivos e do SSD

  • No fim, este caso mostra que uma das pontas do E2E não é o app, e sim o próprio telefone
    Em apps como o WhatsApp, o fato de você poder ler a mensagem pela notificação sem marcar como lida significa que o SO está atuando como man-in-the-middle (MITM)

    • Mas, como o próprio Signal gera a notificação, é difícil dizer que simplesmente exibir uma notificação como echo "my_private_data" | notify-send seja em si algo perigoso

  • Na verdade, esse problema de armazenamento de dados de notificações já era conhecido há bastante tempo.
    Ele já tinha sido abordado em RealityNet iOS Forensics References e
    em um texto do The Forensics Scooter