404 Media最近的一篇报道指出,FBI能从一部iPhone里恢复被删除的Signal消息,靠的是提取设备通知数据库里保存的内容。具体情况是这样的。
Signal卸载后,通知历史记录依然能被调出来
据404 Media报道,在一起涉及“几个人在得克萨斯州Alvarado的ICE Prairieland拘留中心放烟火、破坏财物”的案件审判中,证词显示FBI从被告的iPhone上恢复了收到的Signal消息内容——尽管Signal这个App已经被从手机里删掉了:
其中一名被告是Lynette Sharp,她之前已经认罪,承认向恐怖分子提供物质支持。在相关庭审的某一天,FBI特别探员Clark Wiethorn就收集到的证据作证。支持者网站上公布的158号证物摘要写道:“消息是从Sharp的手机通过苹果内部的通知存储中恢复的——Signal已被卸载,但收到的通知内容仍保留在内部存储里。只捕获了传入的消息(没有传出的)。”
404 Media提到,Signal的设置里本来有一个选项,可以阻止通知预览显示实际消息内容。但看起来这位被告没有打开这个选项,于是系统就把内容存进了数据库。
404 Media联系了Signal和苹果公司,两边都没有就通知如何处理和存储给出任何回应。
那么这个内部存储到底是怎么回事?
由于关于被告iPhone具体状态的技术细节非常少,我们很难准确说出FBI到底用了什么办法来获取这些信息。
比如,iPhone可能处于不同的系统状态,每种状态的安全和数据访问限制都不一样,像BFU(首次解锁前)、AFU(首次解锁后)等等。
当设备被解锁后,安全和数据访问权限会发生更大变化,因为系统认为用户就在面前,会允许访问更多受保护的数据。
不过,iOS确实会在本地存储和缓存大量数据,它相信靠这些不同状态就能既保护信息,又能在机主需要时快速调用。
还有一点很重要:用于推送通知的token在App被删除后并不会立刻失效。服务器也不知道App是否还在,所以可能会继续推送通知,最后由iPhone自己决定要不要显示。
有意思的是,苹果刚在iOS 26.4里改了验证推送通知token的方式。虽然没法确定这是否和这个案子有关,但时间点还是挺值得注意的。
Post by @_inside@mastodon.social View on Mastodon
回到这个案子,根据158号证物的描述,消息“是通过苹果内部的通知存储从Sharp的手机里恢复的”,所以FBI很有可能是从设备备份中提取出来的。
如果是这样,市面上有很多执法机构常用的商业工具,能利用iOS的漏洞来提取数据,很可能帮FBI拿到了这些信息。
想看404 Media的原始报道,可以点这个链接。
