在近期针对得克萨斯州普雷里兰(Prairieland)拘留中心破坏案的审判中,美国联邦调查局(FBI)特工证实,调查人员能够从嫌疑人的iPhone中恢复已删除的Signal加密消息。即使该应用已被卸载,这些信息依然可以通过设备内部的推送通知数据库被提取出来。
该案涉及多名被告在拘留中心燃放烟花、损毁财产,其中一人还曾向一名警察开枪。FBI特工克拉克·威索恩(Clark Wiethorn)在法庭证词中指出,尽管Signal应用已被删除,但由于系统默认保存了推送通知,调查人员得以获取部分传入消息的内容。
隐私设置存在的安全漏洞
一位在庭审现场做笔记的被告支持者告诉媒体,iPhone会将锁屏显示的通知和预览内容存入设备内存。即使相关消息在Signal应用内已设置为“自动销毁”,但只要手机接收过推送通知,这些痕迹就会被系统保留在底层数据库中。
辩护律师哈莫尼·舒尔曼(Harmony Schuerman)在查看证据清单后表示:“他们能够获取这些聊天记录,原因在于被告手机开启了通知预览功能。只要通知弹出在锁屏界面,苹果设备就会将其存入内部存储。”
此次证据提取仅限于传入消息,未发现发出的消息记录。调查显示,问题的根源在于加密通讯软件与苹果操作系统处理通知的方式存在冲突。无论用户是否删除了应用,只要设备处于物理控制之下,此类存储数据便可被取证软件深度挖掘。
Signal应用在隐私设置菜单中允许用户限制通知内容,提供“仅显示姓名”、“无姓名或内容”等选项。然而,许多用户并未意识到,开启默认的“显示消息内容”选项会绕过加密软件的阅后即焚保护机制。
此前已有报道显示,苹果曾应政府法律要求提供过数千条推送通知数据。此次普雷里兰案件进一步证实,即便没有苹果公司的直接配合,只要执法部门能够物理访问设备,利用系统留存的通知副本同样可以实现数据取证。目前,涉案所有被告均已被判有罪。