Kaip FTB rado ištrintus signalinius pranešimus iš iPhone, net pašalinus programą

„IPhone“ iš tikrųjų nėra toks įrenginys, kurio tikėtumėte išsaugoti programos duomenis ištrynę programą. Bet, matyt, tai padarė, ir ne kokiu nors akivaizdžiu būdu. Tiesą sakant, anksčiau balandžio mėnesį „404 Media“ pranešė, kad FTB sugebėjo atkurti gaunamų signalų pranešimų kopijas iš „iPhone“ pranešimų duomenų bazės – net ir pašalinus programą. Ir tai yra signalas, apie kurį kalbame, viena iš populiaresnių saugių „iPhone“ programų, leidžiančių paslėpti pranešimus ir kalbėtis privačiai. Platforma plačiai laikoma privatesne nei „WhatsApp“ dėl savo tvirto galutinio šifravimo (E2EE) ir saugo labai mažai vartotojo duomenų.

Tačiau visa tai nieko nereiškė, nes šiuo atveju kaltininkas pasirodė pats „iPhone“. Dar blogiau, kad kaip papildomas saugumo veiksmas, tie atkurti pranešimai buvo suklastoti, kad susinaikintų pasibaigus nustatytam laikmačiui. Areštai įvyko dėl incidento liepos mėnesį ICE Prairieland Detention Facility, federaliniame sulaikymo centre Alvarado mieste, Teksase. Ten grupuotė, kaip įtariama, paleido fejerverkus, niokojo turtą, o vienas iš jų, kaip įtariama, šovė policijos pareigūnui į kaklą. Vis dėlto didesnis klausimas, susijęs su visa tai, yra tai, kaip FTB iš pradžių gavo signalo duomenis.

Kalbant apie tai, kaip FTB sugebėjo tai padaryti, tai yra kažkas bendro su sistemos lygio talpykla, įmontuota iOS. Kai gaunate pranešimą „Signal“ įrenginyje „iPhone“, „iOS“ suaktyvina tiesioginį pranešimą. Jis mirksi užrakinimo ekrane, o turinys iš tikrųjų registruojamas vidinėje įrenginio duomenų bazėje. Tai taikoma bet kuriai programai, kuriai leidžiama rodyti pranešimų turinį.

Kalbant apie tai, kodėl tai netgi egzistuoja, tai iš tikrųjų labai svarbu kelioms pranešimų centro funkcijoms, o ne tik įspėjimų rodymui, pvz., grupavimui ir braukimui, kad atsakytumėte. Visa šios duomenų bazės mechanika nėra viešai žinoma. Mes žinome, kad tai labai skiriasi nuo „Android“, kuri turi vartotojui skirtą pranešimų istorijos funkciją, kurią galite slinkti atgal. „iOS“ neleidžia to daryti.

Tyrimas, kuriame FTB specialusis agentas Clarkas Wiethornas liudijo apie išgavimą, suteikia daugiau informacijos. Kadangi pranešimus suaktyvina tik gaunami pranešimai, o ne siunčiami, buvo galima atkurti tik dalį pokalbio.

Tai ne pirmas kartas, kai tiesioginiai pranešimai buvo naudingi atliekant tyrimus. 2025 m. birželį „404 Media“ pranešė, kad „Apple“ perdavė duomenis apie tūkstančius jų, reaguodama į viso pasaulio vyriausybių teisinius reikalavimus. Tačiau Prairieland situacija skiriasi, nes tyrėjai čia turėjo fizinę prieigą prie įtariamojo telefono. Tai leidžia jiems tiesiogiai paleisti teismo medicinos įrankius, o tai dažnai yra kažkas panašaus į Cellebrite rinkinį, kurį teisėsauga naudoja duomenims iš sulaikytų telefonų atkurti. Galiausiai jiems nereikėjo nieko prašyti iš „Apple“.

Jei nerimaujate dėl privatumo pasekmių, gera žinia ta, kad „Apple“ dabar, matyt, išsprendė problemą. „iOS“ naujinys 26.4.2, kuris pasirodė balandžio pabaigoje, turėjo pataisą, skirtą „pranešimai, pažymėti kaip ištrinti, gali netikėtai likti įrenginyje“. Pastabose teigiama, kad „registravimo problema buvo išspręsta patobulinus duomenų redagavimą“. Nors tai tiksliai nepatvirtina, kad taisymas nukreiptas į trūkumą, kurį išnaudojo FTB, taip atrodo. iPadOS gavo tą patį pataisą.

Tačiau, kad būtumėte saugesni, galite atlikti papildomą veiksmą, be atnaujinimo į naujausią leidimą. Atidarykite programą „Signalas“, viršutiniame kairiajame kampe palieskite savo profilio nuotrauką, pasinerkite į „Nustatymai“ ir raskite pranešimų turinį. Čia pasirinkite „Be pavadinimo ar turinio“. Tai užtikrins, kad gausite tik įspėjimus apie gautus pranešimus, be nieko kito. Taip pat gausite parinktį „Tik vardas“, kuri vis tiek slepia pranešimų turinį, bet bent jau nurodo, kas atsiuntė pranešimą. Be to, galbūt norėsite patikrinti „iPhone“ užrakinimo ekrano pranešimų nustatymą, kad įsitikintumėte, jog žmonės nematys informacijos, kurią norite išlaikyti privačią.