Čerstvým důkazem toho, že ani smazaná data nejsou opravdu smazaná, je případ z USA, na který upozornil server 404 Media. FBI se podařilo z iPhonu obžalované ženy získat zprávy z aplikace Signal, ačkoliv byla samotná aplikace z telefonu dávno smazaná. Klíčem k usvědčujícím důkazům se nestalo prolomení kódu šifrované aplikace, ale zdánlivě banální historie oznámení v systému iOS.
iOS odhalil jinak nedostupná data ze smazané aplikace Signal
Případ se týká ženy, která byla obviněna z vandalismu a podpory terorismu v souvislosti s útokem na detenční zařízení v Texasu. Během soudního líčení agent FBI vypověděl, že vyšetřovatelé dokázali obnovit obsah příchozích zpráv díky internímu úložišti oznámení společnosti Apple.
Zásadním zjištěním je, že se podařilo zachytit pouze příchozí zprávy. Odchozí zprávy totiž systém iOS v notifikacích logicky neukládá. Pro vyšetřovatele to byl ale dostatečný materiál k tomu, aby zrekonstruovali historii komunikace. Ukázalo se, že smazání aplikace Signal z telefonu sice odstraní samotnou databázi zpráv v rámci aplikace, ale nepromaže systémovou mezipaměť iPhonu, kde se ukládají texty notifikací, které se zobrazují na uzamčené obrazovce.
Chyba byla i v nastavení soukromí
Signal je známý svou bezpečností, ale i ten nejlepší nástroj narazí, pokud ho uživatel nesprávně nastaví. V tomto případě obžalovaná pravděpodobně neměla aktivovanou funkci, která v notifikacích skrývá obsah zprávy.
Zdroj: Mastodon
Kdyby měla nastaveno pouze zobrazení jména odesílatele bez náhledu textu, FBI by pravděpodobně našla jen prázdné záznamy o tom, že „někdo“ v „nějaký čas“ napsal. Protože však byl povolen plný náhled, iOS si text zprávy uložil do své vnitřní historie, aby ho mohl uživateli zobrazit na ploše. Apple ani Signal se k technickým detailům zatím nevyjádřily, ale je zřejmé, že systém iOS si tyto texty kešuje pro případ, že je uživatel bude chtít vidět znovu.
Apple reaguje aktualizací
Zajímavým detailem je načasování nejnovější aktualizace systému. Apple v aktuální verzi iOS 26.4 změnil způsob, jakým systém ověřuje takzvané push tokeny – tedy klíče, které serverům říkají, kam mají oznámení posílat. Dosud totiž platilo, že server mohl posílat notifikace do telefonu i chvíli poté, co byla aplikace smazána, protože systém smazání neoznámil serveru okamžitě.
Zda je tato úprava přímou reakcí na odhalení metody ze strany FBI, není potvrzené, ale jistá souvislost se rozhodně nabízí. Vyšetřovatelé pravděpodobně využili komerční nástroje pro forenzní analýzu, které dokážou z iPhonu vytáhnout data i v režimu po prvním odemknutí, kdy je šifrování zařízení částečně přístupné.
Zdroj: 9to5mac.com