Das FBI hat in einem Terrorismusprozess forensisch gelöschte Signal-Nachrichten aus der Push-Benachrichtigungsdatenbank eines iPhones extrahiert und damit eine Schwachstelle aufgedeckt, von der iOS-Nutzer nichts wussten.
Dem FBI ist etwas gelungen, das die meisten Signal-Nutzer für unmöglich hielten. Agenten haben forensisch gelöschte Signal-Nachrichten vom iPhone eines Angeklagten wiederhergestellt – nicht aus der App selbst, sondern aus einem versteckten Winkel von iOS, der leise Push-Benachrichtigungsdaten speichert, wie ein Bericht von 404 Media unter Berufung auf mehrere Zeugen während der FBI-Aussage darlegt.
Der Fall betraf eine Gruppe, die beschuldigt wird, im Juli die ICE Prairieland Detention Facility in Alvarado, Texas, vandalisiert zu haben, wobei eine Person einen Polizeibeamten in den Hals schoss. Es handelte sich auch um die erste Strafverfolgung unter der von Präsident Trump veranlassten Einstufung von „Antifa“ als Terrororganisation. Signal war bereits vom Gerät gelöscht worden. Das spielte keine Rolle.
Was das FBI in aller Öffentlichkeit vorfand
Die Push-Benachrichtigungsdatenbank auf iPhones speichert eingehende Nachrichteninhalte bis zu einem Monat lang. Jede Messaging-App, die Benachrichtigungen sendet, ist betroffen. Wie IntCyberDigest auf X bemerkte, speichert „die Benachrichtigungsablage Daten von allen Messaging-Apps – es ist eine große Schwachstelle in iOS“.
Genau diese Schwachstelle nutzten die Agenten aus. Spezielle Forensik-Software, die mit physischem Zugang zum Gerät ausgeführt wurde, zog die Nachrichteninhalte direkt aus dieser Datenbank. Signal hat zwar eine Einstellung, die verhindert, dass Inhalte in Push-Benachrichtigungen erscheinen. Der Angeklagte hatte sie offenbar nicht aktiviert.
IntCyberDigest bestätigte auf X auch, dass es eine Möglichkeit gibt, diese Speicherung zu deaktivieren. Die meisten Nutzer haben keine Ahnung, dass sie existiert.
Durov verweist auf das Jahr 2013
Pavel Durov blieb nicht still. Der Telegram-CEO reagierte direkt auf die FBI-Geschichte auf X unter @durov und schrieb, dass Telegram Secret Chats noch nie Nachrichteninhalte in Push-Benachrichtigungen angezeigt hätten – und dass diese Designentscheidung auf das Jahr 2013 zurückgeht. Er bezeichnete Secret Chats als „die sicherste nutzbare Art zu kommunizieren“ und ging noch weiter, indem er Signals Infrastruktur in Frage stellte.
Durov sagte, die von der US-Regierung finanzierte Signal habe „zu viele fragwürdige Abhängigkeiten von anderen US-Unternehmen“ – nannte dabei konkret AWS, Microsoft und Intel SGX. Sein Beitrag stellte Telegramms Ansatz als bewusste Architekturentscheidung dar, nicht als nachträglichen Einfall.
Durov hat sich zuvor bereits lautstark zu Überwachung und staatlichen Zugriffen geäußert. Er verließ Frankreich Anfang dieses Jahres unter angepasster gerichtlicher Aufsicht nach seiner Verhaftung im August 2024 wegen Vorwürfen im Zusammenhang mit Telegrams Inhaltsmoderationspraktiken.
Was das für Signal-Nutzer bedeutet
Die Ende-zu-Ende-Verschlüsselung von Signal selbst wurde nicht gebrochen. Die Nachrichten wurden nicht während der Übertragung abgefangen. Sie befanden sich in einem separaten iOS-System, das Benachrichtigungen verwaltet – einer Datenbank außerhalb der Kontrolle von Signal, es sei denn, Nutzer deaktivieren Vorschauen für Benachrichtigungen manuell.
Die Funktion, um Nachrichteninhalte in Push-Benachrichtigungen zu blockieren, existiert in den Einstellungen von Signal. Sie ist nur nicht standardmäßig aktiviert. Und der größere Kontext von Durovs jüngsten Schritten gegen staatlichen Überwachungsdruck legt nahe, dass genau diese Lücke zwischen Design und Standardeinstellungen der Grund ist, warum Menschen auffliegen.
Der Fall in Texas ist ein erstes Beispiel. Aber die forensische Methode, die er aufdeckte, steht Strafverfolgungsbehörden schon seit einiger Zeit zur Verfügung. Nutzer, die annahmen, Löschen bedeute Tilgung, mussten das Gegenteil erfahren.
Schreibe einen Kommentar