El FBI recuperó mensajes eliminados de Signal usando datos de notificaciones del iPhone

 (9to5mac.com)
1 puntos por GN⁺ 19 일 전 | 1 comentarios | Compartir por WhatsApp
  • Se reveló en un testimonio judicial un caso en el que el FBI recuperó mensajes eliminados de Signal usando la base de datos interna de notificaciones del iPhone
  • En el iPhone de la acusada, el contenido de las notificaciones recibidas seguía almacenado internamente incluso después de borrar la app Signal, y la configuración de vista previa de notificaciones estaba desactivada
  • Debido al estado de seguridad del iPhone (AFU, BFU) y a la estructura de caché local, algunos datos pueden permanecer dentro del sistema
  • Se plantea la posibilidad de que el token de notificaciones push no se invalide de inmediato incluso después de borrar la app, por lo que el servidor habría seguido enviando notificaciones y el iPhone podría haberlas recibido
  • Este caso muestra que la estructura de retención de datos de las apps de mensajería cifrada y del sistema de notificaciones de iOS está emergiendo como un punto clave en la seguridad de la privacidad

Caso del FBI que recuperó mensajes eliminados de Signal con datos de notificaciones del iPhone

  • Se dio a conocer un caso en el que el FBI recuperó mensajes eliminados de Signal usando la base de datos interna de notificaciones del iPhone
    • Según un reporte de 404 Media, salió a la luz durante el testimonio en el juicio de una acusada implicada en un caso de fuegos artificiales y daños materiales en el centro de detención ICE Prairieland de Alvarado, Texas
    • El agente del FBI Clark Wiethorn explicó ante el tribunal el proceso de recolección de evidencias

  • Mensajes recuperados desde los datos de notificaciones

    • En el iPhone de la acusada Lynette Sharp, el contenido de los mensajes recibidos siguió en el almacenamiento interno de notificaciones incluso después de que la app Signal fuera eliminada
    • Según el resumen de evidencia judicial (Exhibit 158), “Signal fue eliminada, pero las notificaciones recibidas se conservaron en la memoria interna a través del almacenamiento interno de notificaciones de Apple, y solo se recuperaron los mensajes recibidos”
    • Signal tiene una opción para ocultar el contenido de los mensajes en la vista previa de notificaciones, pero al parecer la acusada la tenía desactivada
    • Ni Signal ni Apple han dado una postura oficial sobre cómo se almacenan o procesan los datos de notificaciones

  • Estructura interna de almacenamiento y contexto técnico

    • Como faltan detalles técnicos específicos sobre el estado del iPhone de la acusada, no está claro exactamente cómo recuperó el FBI los datos
    • En el iPhone existen varios estados de seguridad, como BFU (Before First Unlock) y AFU (After First Unlock), y según cada estado cambian los permisos de acceso a los datos
    • Cuando el dispositivo está desbloqueado, el sistema asume que el usuario lo está usando directamente, por lo que se amplía el rango de acceso a datos protegidos
    • iOS administra distintos estados de seguridad con base en la confianza y, por conveniencia del usuario, guarda muchos datos localmente en forma de caché

  • Token de notificaciones push y posibilidad de persistencia de datos

    • Aunque se elimine una app, el token usado para enviar notificaciones push no se invalida de inmediato

      • Como el servidor no puede saber si la app fue eliminada, puede seguir enviando notificaciones después de la última entrega y existe la posibilidad de que el iPhone las reciba y las procese internamente
      • Apple cambió recientemente el método de validación de tokens de notificaciones push en iOS 26.4; no se ha confirmado una relación directa con este caso, pero llama la atención por el momento en que ocurrió

  • Posibilidad de extracción de datos y herramientas de investigación

    • Según la descripción de Exhibit 158, el FBI recuperó los datos a través del almacenamiento interno de notificaciones de Apple, y es posible que la información se haya extraído desde un respaldo del dispositivo
    • Las agencias de seguridad cuentan con múltiples herramientas forenses comerciales que extraen datos aprovechando vulnerabilidades de iOS, y también es posible que el FBI haya usado una de ellas
    • 404 Media publicó por separado el informe original de este caso

  • Significado del caso

    • Este caso está llamando la atención porque muestra que ni borrar una app de mensajería ni usar cifrado garantiza una eliminación completa de los datos
    • La estructura de retención de datos del sistema de notificaciones de iOS y su modelo de gestión de seguridad podrían convertirse en un punto central de futuras discusiones sobre privacidad

Lecturas relacionadas

1 comentarios

 
GN⁺ 19 일 전
Opiniones en Hacker News

  • Viéndolo desde la perspectiva del usuario, uno pensaría que Signal, con forward secrecy, hace que los mensajes desaparezcan una vez recibidos.
    Pero si no activas disappearing messages, herramientas forenses como Cellebrite pueden recuperarlos. Está desactivado por defecto.
    Incluso si lo activas, si el mensaje aparece en una notificación, el SO puede guardarlo. Apple efectivamente lo hacía, y existe una opción para evitarlo, pero también está desactivada por defecto.
    Aunque borres la app, los mensajes siguen quedando en el SO. Al final, cuando se rompe el equilibrio entre seguridad y usabilidad, no creo que sea culpa del usuario sino un problema de diseño del sistema.
    Reuní casos relacionados en mi artículo.

    • Creo que el cifrado de extremo a extremo (E2EE) es una ilusión si los respaldos no están cifrados. Si la otra persona no usa ADP, iMessage o WhatsApp solo tienen cifrado de almacenamiento.
      WhatsApp en Android también recomienda por defecto respaldos sin cifrar en Google Drive.
      Sospecho que Google, Apple y Meta hicieron algo parecido a un acuerdo posterior a PRISM de “permitir E2EE, pero dejar el acceso disponible en la configuración predeterminada”.
      Como la mayoría de los usuarios dejan la configuración por defecto, la seguridad termina neutralizada.
    • Por muy seguro que sea Signal, el sistema operativo y el ecosistema sobre el que corre son demasiado complejos como para tener certeza de que la comunicación realmente es segura.
      Los metadatos (quién habló con quién y cuándo) siguen expuestos.
    • Como la mayoría de los usuarios no cambia la configuración predeterminada, el nivel de seguridad de una app es, en la práctica, el nivel de seguridad de sus valores por defecto.
    • Que Signal ponga el mensaje en texto plano dentro de la notificación es todavía más grave.
      Como explica este artículo, los datos sensibles no deberían incluirse en notificaciones o deberían enviarse como payload cifrado.
    • Si de verdad quieres un mensajero seguro, recomiendan usar SimpleX. Lo recomendó Whonix, y Snowden también apoya a Whonix.
      Página de recomendación de Whonix Chat

  • En la configuración de Signal, si cambias
    Settings > Notifications > Notification Content > Show a “Name Only” o “No Name or Content”,
    los mensajes sensibles no se exponen al mostrar la pantalla. Viendo este caso, esa configuración también tiene una ventaja adicional de seguridad.

    • Esto no es una configuración del SO, sino una configuración interna de Signal. Si solo cambias la configuración de notificaciones del SO, solo evitas que se muestren en pantalla, pero el almacenamiento interno sigue ocurriendo.
    • En Android está en Settings > Notifications > Messages > Show.
    • La configuración predeterminada debería ser la menos sensible. En una app de seguridad, los valores predeterminados seguros son indispensables.
    • También conviene desactivar los resúmenes de Apple Intelligence para notificaciones de apps sensibles.
    • Si activas el modo Lockdown, puedes bloquear junto con esto varias otras vulnerabilidades.

  • Si la configuración de vista previa de notificaciones de Signal no está desactivada, el sistema guarda el contenido del mensaje en una base de datos.
    En macOS, este historial de notificaciones puede verse en ~/Library/Group Containers/group.com.apple.usernoted/db2/db.
    Con la app Crank se puede extraer con consultas SQL.

    • En Android se puede ver el historial de notificaciones con apps como NotiStar.
      Pero infraestructuras centralizadas de notificaciones como FCM (APNs) también pueden almacenar datos en el camino.
    • En Pixel, se puede ver parte del historial en Settings > Notifications > Manage > Notification History.
    • En iPhone, si está configurado para mostrar vistas previas en la pantalla de bloqueo, el contenido de la notificación se guarda en texto plano.
      La configuración predeterminada es “previews when unlocked”, pero incluso en ese caso no está claro si el almacenamiento interno se cifra.
      Al final, esto es un problema de OPSEC causado por un error de configuración del usuario, y considero que los valores por defecto de Signal eran adecuados.
    • En Android antes había una página de dirección de protocolo que mostraba todas las notificaciones. Era útil, pero ya casi no se usa.

  • Siempre me pregunté por qué Signal sigue pidiendo cada mes que actives las notificaciones. Aunque lo rechaces, vuelve a insistir.

    • Según desarrolladores de Signal, el objetivo es evitar que los usuarios las hayan desactivado por error, ya que reciben muchas consultas relacionadas con la confiabilidad de las notificaciones. Aun así, la frecuencia parece excesiva.
    • Pero la mayoría del software prioriza el beneficio del desarrollador o de la empresa por encima de la voluntad del usuario.
      Seguir insistiendo aunque el usuario no quiera ya es un patrón común de UX.
    • Como una plataforma de mensajería es más exitosa cuanto más rápido responden los usuarios, impulsar que activen las notificaciones es una estrategia natural.
    • El propio iOS también tiene una estructura donde, si las desactivas, periódicamente vuelve a pedirte que las revises.
    • Es un contexto similar al PIN de 2FA de WhatsApp, que te pide volver a ingresarlo periódicamente.

  • Creo que los testimonios judiciales reales son la mejor forma de verificar el verdadero estado de la seguridad.
    Más que los debates teóricos, importa qué datos pueden recuperarse en casos reales.

    • Aun así, a veces el gobierno abandona una acusación para evitar exponer sus medios cibernéticos, así que no toda la información sale a la luz.
    • Los tribunales son uno de los pocos lugares donde a veces se revelan detalles técnicos reales.
    • El caso reciente de Trivy / LiteLLM también fue un tema de seguridad, pero de otra naturaleza.
    • Sin embargo, en países corruptos el resultado judicial puede no reflejar la realidad. Existe la construcción paralela (parallel construction).

  • La frase “el acusado no activó la configuración y el sistema guardó los mensajes” en realidad significa que el problema es la configuración predeterminada de Apple.
    La mayoría de los usuarios no cambia la configuración, y Apple lo sabe.

    • Peor aún: las configuraciones de seguridad que al usuario le costó cambiar a veces se reinician con las actualizaciones. La configuración de privacidad de Firefox también suele revertirse así.
      Aunque no sea intencional, debemos actuar como si lo fuera.
    • Si te importa la seguridad, debes desactivar sí o sí las vistas previas en la pantalla de bloqueo. Como cualquiera puede verla, no es privada por defecto.
    • Si la prensa hubiera escrito “el sistema de Apple guardó los datos por defecto” en vez de “el acusado no cambió la configuración”, la percepción habría sido distinta.
      Al final, la responsabilidad se traslada al usuario y la empresa que diseñó el sistema se esconde detrás del anonimato de “el sistema”.
    • Busqué datos estadísticos sobre la capacidad real de los usuarios para cambiar configuraciones, y el nivel de educación informática es muy bajo. No se trata solo de mecanografía, sino de alfabetización digital.

  • Artículo original: FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database

    • Pero es solo para suscriptores, así que los detalles son limitados.

  • Me pregunto por qué Apple no borra el historial que queda en la base de datos de notificaciones incluso después de eliminar una app.
    Seguir guardando contenido viejo de notificaciones es la semilla de un incidente de seguridad.

    • Cuando se destapan problemas así, parecen tan obvios que uno piensa “¿por qué hasta ahora?”. Es probable que la estructura cambie en adelante.
    • En Android, al borrar una app desaparece el historial de notificaciones, y si desactivas y vuelves a activar la función de historial, los datos previos se reinician.
      Según la documentación oficial de Android, solo se conservan por un período determinado.
    • Pero si realmente se escribió en memoria flash, es posible que queden bloques incluso después de borrarlo.
      Debido al wear leveling, los datos podrían permanecer durante años.
    • En la mayoría de las bases de datos (como sqlite), aunque elimines filas, los datos reales en disco no se borran de inmediato.
      Algo parecido también ocurre a nivel de sistema de archivos y SSD.

  • Al final, este caso muestra que uno de los extremos del E2E no es la app, sino el propio teléfono.
    Como en WhatsApp se puede leer un mensaje desde la notificación sin que aparezca como leído, el SO termina actuando como hombre en el medio (MITM).

    • Pero como Signal genera directamente la notificación, tampoco parece correcto decir que mostrar una notificación en sí, como echo "my_private_data" | notify-send, sea inherentemente peligroso.

  • En realidad, este problema de almacenamiento de datos de notificaciones ya se conocía desde hace tiempo.
    Ya se había tratado en RealityNet iOS Forensics References y en
    un artículo de The Forensics Scooter.