De FBI heeft forensisch gewiste Signal-berichten uit de pushmeldingendatabase van een iPhone gehaald tijdens een terrorisme-proces, wat een kwetsbaarheid blootlegt waar iOS-gebruikers geen weet van hadden.
De FBI heeft iets voor elkaar gekregen wat de meeste Signal-gebruikers voor onmogelijk hielden. Agenten hebben forensisch gewiste Signal-berichten van de iPhone van een verdachte teruggehaald – niet vanuit de app zelf, maar vanuit een verborgen hoekje van iOS waar pushmeldingengegevens stilletjes worden opgeslagen, volgens een rapport van 404 Media dat verwijst naar meerdere getuigen die aanwezig waren tijdens FBI-getuigenis.
De zaak betrof een groep die ervan wordt beschuldigd het ICE Prairieland Detention Facility in Alvarado, Texas, te hebben vernield in juli, waarbij één persoon een politieagent in de nek schoot. Het markeerde ook de eerste vervolging onder president Trumps aanwijzing van “Antifa” als een terroristische organisatie. Signal was al van het apparaat verwijderd. Dat maakte niet uit.
Wat de FBI in Volle Zicht Aantrof
De pushmeldingendatabase op iPhones slaat inkomende berichtinhoud op voor maximaal een maand. Elke berichtenapp die meldingen verstuurt, is hierdoor geraakt. Zoals IntCyberDigest op X opmerkte, “slaat de notificatieopslag gegevens op van alle berichtenapps – het is een grote kwetsbaarheid in iOS.”
Die kwetsbaarheid is wat de agenten uitbuitten. Gespecialiseerde forensische software, uitgevoerd met fysieke toegang tot het apparaat, haalde de berichtinhoud rechtstreeks uit die database. Signal heeft wel een instelling die voorkomt dat inhoud in pushmeldingen verschijnt. De verdachte had die blijkbaar niet ingeschakeld.
IntCyberDigest bevestigde ook op X dat er een manier is om deze opslag uit te schakelen. De meeste gebruikers hebben geen idee dat het bestaat.
Durov Wijst Terug naar 2013
Pavel Durov bleef niet stil. De CEO van Telegram reageerde direct op het FBI-verhaal op X via @durov, waarbij hij schreef dat Telegram Secret Chats nooit berichtinhoud in pushmeldingen hebben getoond – en dat deze ontwerpkeuze dateert uit 2013. Hij noemde Secret Chats “de meest veilige bruikbare manier om te communiceren” en ging verder door de infrastructuur van Signal in twijfel te trekken.
Durov zei dat de door de Amerikaanse overheid gefinancierde Signal “te veel twijfelachtige afhankelijkheden van andere Amerikaanse bedrijven” met zich meedraagt – waarbij hij specifiek AWS, Microsoft en Intel SGX noemde. Zijn bericht schetste Telegram’s aanpak als een weloverwogen architecturale beslissing, geen nadenkertje.
Durov is eerder uitgesproken geweest over surveillance en overheidstoezicht. Hij verliet Frankrijk eerder dit jaar onder aangepast gerechtelijk toezicht na zijn arrestatie in augustus 2024 in verband met beschuldigingen rond Telegram’s contentmoderatiepraktijken.
Wat Dit Betekent voor Signal-gebruikers
De end-to-end-encryptie van Signal zelf was niet gekraakt. De berichten werden niet onderweg onderschept. Ze lagen in een apart iOS-systeem dat meldingen afhandelt – een database buiten de controle van Signal, tenzij gebruikers meldingsvoorbeelden handmatig uitschakelen.
De functie om berichtinhoud in pushmeldingen te blokkeren bestaat in de instellingen van Signal. Hij staat alleen niet standaard aan. En de bredere context van Durovs recente acties tegen druk van overheidssurveillance suggereert dat dit gat tussen ontwerp en standaardinstellingen precies het soort ding is waardoor mensen worden betrapt.
De zaak in Texas is een primeur. Maar de forensische methode die ze blootlegde, is al enige tijd beschikbaar voor wetshandhavers. Gebruikers die aannamen dat verwijderen ook wissen betekende, komen er nu achter dat dit niet zo is.
Geef een reactie