根據 404 Media 的報導,FBI 能夠從一部 iPhone 中恢復已刪除的 Signal 消息,這是透過提取存儲於設備通知數據庫中的數據來實現的。以下是相關細節。
報導指出,即使 Signal 被刪除,通知歷史仍然可以被訪問。根據 404 Media 的消息,在一起涉及「一群人在德克薩斯州 Alvarado 的 ICE Prairieland 拘留中心放煙火和破壞財物」的案件中,FBI 能夠從一名被告的 iPhone 中恢復 Signal 消息的內容。該名被告名為 Lynette Sharp,曾經承認為恐怖分子提供物質支持。在相關的審判中,FBI 特工 Clark Wiethorn 提到了部分收集到的證據。
根據一份在支持者網站上發佈的 Exhibit 158 摘要,內容指稱「從 Sharp 的手機中通過 Apple 的內部通知存儲恢復了消息—Signal 雖然已被移除,但進來的通知仍然保存在內部記憶中。僅捕獲了進來的消息(沒有發出的消息)。」根據 404 Media 的報導,Signal 的設置包括一個選項,可以防止實際消息內容在通知中預覽。然而,看來被告並未啟用該設置,這使得系統能夠將內容存儲在數據庫中。
404 Media 嘗試聯絡 Signal 和 Apple,但兩家公司均未就通知的處理或存儲方式發表任何聲明。至於這種內部存儲如何運作,報導中並未提供具體的技術細節,因此無法確定 FBI 恢復信息的準確方法。例如,iPhone 可以處於多個系統狀態,每個狀態都有其自身的安全性和數據訪問限制,例如 BFU(首次解鎖前)模式和 AFU(首次解鎖後)模式等。
當設備被解鎖時,安全性和數據訪問的限制會顯著改變,因為系統假設用戶在場,並允許訪問更廣泛的受保護數據。此外,iOS 本身會在本地存儲和緩存大量數據,並信任這些不同狀態能夠安全地保護信息,但在設備的合法擁有者需要時隨時可用。
另外一個重要因素是,用於發送推送通知的令牌在應用被刪除時不會立即失效。由於伺服器無法得知最後一次發送通知後應用是否仍然安裝,可能會繼續推送通知,最終由 iPhone 決定是否顯示這些通知。有趣的是,Apple 最近在 iOS 16.4 中改變了推送通知令牌的驗證方式。儘管無法確定這是否與本案有關,但這一時間點仍然引人注意。
回到案件中,根據 Exhibit 158 的描述,這些消息「是通過 Apple 的內部通知存儲從 Sharp 的手機中恢復的」,因此 FBI 可能是從設備備份中提取信息。在這種情況下,有許多市面上可用的工具可以被執法機構利用,以發掘 iOS 的漏洞來提取數據,這可能幫助 FBI 獲取該信息。
若需了解更詳細的情況,請參考 404 Media 的原始報導。
