ФБР зчитало видалені повідомлення Signal з iPhone через базу push-сповіщень Apple

Федеральні слідчі США відновили зашифровані переписки в месенджері Signal з телефону підсудної — навіть після того, як застосунок було видалено з пристрою. Метод: база даних push-сповіщень iOS, яка кешує вміст вхідних повідомлень для відображення на екрані блокування.

Прецедент стався в рамках резонансної справи “Prairieland” — про напад активістів на центр утримання іммігрантів ICE у техаському місті Алварадо. У липні 2024 року група людей підпалювала феєрверки, вандалізувала майно установи, а один із учасників вистрілив поліцейському в шию. Це була перша справа в США, порушена після того, як президент Дональд Трамп офіційно визначив термін “Антифа” як терористичну організацію. Усіх підсудних зрештою визнали винними за кількома статтями обвинувачення.

Одна з фігуранток справи — Лінетт Шарп — раніше визнала свою вину у сприянні терористичній діяльності. Під час судового засідання спеціальний агент ФБР Кларк Вайторн давав показання щодо зібраних доказів. Ключовим став Доказ № 158 — резюме якого було опубліковане на сайті групи підтримки підсудних:

Адвокат іншої підсудної — Елізабет Сото — Гармоні Шуерман зафіксувала показання у своїх нотатках і поділилась ними з виданням 404 Media. За її словами:

Окремо очевидець у залі суду зазначив: деякі з відновлених повідомлень були налаштовані на автовидалення у Signal і справді зникли з самого застосунку — проте їхній вміст залишився у кеші сповіщень iOS.

Як це працює технічно

Суть проблеми — не в зламі шифрування Signal. Месенджер не передає вміст повідомлень на сервери Apple. Замість цього повідомлення розшифровуються локально на пристрої, і вже після цього iOS генерує сповіщення для відображення на екрані блокування. Якщо в налаштуваннях увімкнено попередній перегляд вмісту — iOS кешує цей текст у своїй внутрішній базі даних, незалежно від того, чи видалений застосунок і чи спрацював таймер автовидалення в самому Signal.

Критично: токен, що використовується для надсилання push-сповіщень, не анулюється одразу після видалення застосунку. Сервер Signal не знає, чи встановлено застосунок на пристрої після останнього надісланого сповіщення, і може продовжувати надсилати нові нотифікації. iPhone сам вирішує, відображати їх чи ні — але кешування при цьому може тривати.

Forensic-інструменти, зокрема Cellebrite, здатні витягувати ці дані з кешу push-сповіщень. База сповіщень може зберігати інформацію тижнями — незалежно від наскрізного шифрування Signal та таймерів самознищення. Крім того, іноді ФБР може отримати ці дані не безпосередньо з пристрою, а з резервної копії — в разі, якщо пристрій перебуває в режимі BFU (Before First Unlock, тобто ще не розблокований після перезавантаження). Після першого розблокування (режим AFU — After First Unlock) система надає набагато ширший доступ до кешованих даних.

Важливо: ця вразливість не є унікальною для Signal. Будь-який застосунок, що відображає вміст повідомлень у сповіщеннях на екрані блокування, потенційно залишає такі криміналістичні артефакти.

Реакція компаній та зміни в iOS

Ні Signal, ні Apple не надали коментарів виданню 404 Media щодо того, як саме обробляються та зберігаються сповіщення. Signal підтвердив отримання запиту ще 12 березня, але після цього припинив відповідати на листи.

Примітно, що незабаром після оприлюднення цієї справи Apple випустила iOS 26.4, в якій змінила спосіб валідації push-токенів. Видання 9to5Mac зазначає, що встановити прямий зв’язок між цим оновленням і справою Prairieland неможливо — але збіг у часі є показовим.

То як же захиститися?

Signal має вбудоване налаштування, яке блокує відображення вмісту в сповіщеннях. Для активації: Signal → Налаштування → Сповіщення → Вміст сповіщення → вибрати “Лише ім’я” або “Без імені та вмісту”.

На системному рівні в iOS: Налаштування → Сповіщення → Показувати попередній перегляд → встановити “Ніколи”. Якщо попередній перегляд вимкнено — iOS не кешує вміст, а слідчі бачитимуть лише факт отримання сповіщення без жодного тексту.

Джерело: 404 Media