FBI 利用 iPhone 通知數據恢復刪除的 Signal 訊息

根據 404 Media 的報導,FBI 能夠從一部 iPhone 中恢復已刪除的 Signal 消息,這是透過提取存儲於設備通知數據庫中的數據來實現的。以下是相關細節。

報導指出,即使 Signal 被刪除,通知歷史仍然可以被訪問。根據 404 Media 的消息,在一起涉及「一群人在德克薩斯州 Alvarado 的 ICE Prairieland 拘留中心放煙火和破壞財物」的案件中,FBI 能夠從一名被告的 iPhone 中恢復 Signal 消息的內容。該名被告名為 Lynette Sharp,曾經承認為恐怖分子提供物質支持。在相關的審判中,FBI 特工 Clark Wiethorn 提到了部分收集到的證據。

根據一份在支持者網站上發佈的 Exhibit 158 摘要,內容指稱「從 Sharp 的手機中通過 Apple 的內部通知存儲恢復了消息—Signal 雖然已被移除,但進來的通知仍然保存在內部記憶中。僅捕獲了進來的消息(沒有發出的消息)。」根據 404 Media 的報導,Signal 的設置包括一個選項,可以防止實際消息內容在通知中預覽。然而,看來被告並未啟用該設置,這使得系統能夠將內容存儲在數據庫中。

404 Media 嘗試聯絡 Signal 和 Apple,但兩家公司均未就通知的處理或存儲方式發表任何聲明。至於這種內部存儲如何運作,報導中並未提供具體的技術細節,因此無法確定 FBI 恢復信息的準確方法。例如,iPhone 可以處於多個系統狀態,每個狀態都有其自身的安全性和數據訪問限制,例如 BFU(首次解鎖前)模式和 AFU(首次解鎖後)模式等。

當設備被解鎖時,安全性和數據訪問的限制會顯著改變,因為系統假設用戶在場,並允許訪問更廣泛的受保護數據。此外,iOS 本身會在本地存儲和緩存大量數據,並信任這些不同狀態能夠安全地保護信息,但在設備的合法擁有者需要時隨時可用。

另外一個重要因素是,用於發送推送通知的令牌在應用被刪除時不會立即失效。由於伺服器無法得知最後一次發送通知後應用是否仍然安裝,可能會繼續推送通知,最終由 iPhone 決定是否顯示這些通知。有趣的是,Apple 最近在 iOS 16.4 中改變了推送通知令牌的驗證方式。儘管無法確定這是否與本案有關,但這一時間點仍然引人注意。

回到案件中,根據 Exhibit 158 的描述,這些消息「是通過 Apple 的內部通知存儲從 Sharp 的手機中恢復的」,因此 FBI 可能是從設備備份中提取信息。在這種情況下,有許多市面上可用的工具可以被執法機構利用,以發掘 iOS 的漏洞來提取數據,這可能幫助 FBI 獲取該信息。

若需了解更詳細的情況,請參考 404 Media 的原始報導。

想睇更深入嘅 AI 模型與工程科技報道?
前往 The Base Principle 繁體中文 AI 新聞 →
Henderson
Henderson

Henderson 是 TechRitual Hong Kong 科技編輯,專注報導智能手機、消費電子產品、SIM 卡及流動通訊市場。自加入 TechRitual 以來,累計撰寫數千篇科技報導及產品評測,內容同步發佈至 SINA 及 Yahoo Tech 等主要平台。

友情網站:日本語版 / TechNipponThe Base Principle(AI・工程)