FBI stellt gelöschte Signal-Nachrichten über iPhone-Benachrichtigungsdaten wieder her

 (9to5mac.com)
1 Punkte von GN⁺ 19 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Fall, in dem das FBI gelöschte Signal-Nachrichten mithilfe der internen Benachrichtigungsdatenbank des iPhone wiederhergestellt hat, wurde durch eine Aussage vor Gericht bekannt
  • Auf dem iPhone der Angeklagten blieben Inhalte empfangener Signal-Benachrichtigungen auch nach dem Löschen der Signal-App im internen Speicher erhalten, obwohl die Vorschau von Benachrichtigungen deaktiviert war
  • Aufgrund des Sicherheitszustands des iPhone (AFU, BFU) und der Struktur lokaler Caches können bestimmte Daten im System verbleiben
  • Es wurde die Möglichkeit aufgeworfen, dass Push-Benachrichtigungstoken nach dem Löschen einer App nicht sofort ungültig werden, sodass Server weiterhin Benachrichtigungen senden und das iPhone diese empfangen konnte
  • Der Fall zeigt, dass die Datenaufbewahrungsstruktur verschlüsselter Messaging-Apps und des iOS-Benachrichtigungssystems zu einem zentralen Thema beim Schutz der Privatsphäre wird

FBI-Fall zur Wiederherstellung gelöschter Signal-Nachrichten über iPhone-Benachrichtigungsdaten

  • Ein Fall, in dem das FBI gelöschte Signal-Nachrichten mithilfe der internen Benachrichtigungsdatenbank des iPhone wiederhergestellt hat, wurde bekannt
    • Laut einem Bericht von 404 Media kam dies durch Zeugenaussagen im Prozess gegen eine Angeklagte ans Licht, die in einen Vorfall mit Feuerwerkskörpern und Sachbeschädigung in der ICE-Prairieland-Hafteinrichtung in Alvarado, Texas, verwickelt gewesen sein soll
    • FBI-Agent Clark Wiethorn erläuterte vor Gericht den Ablauf der Beweissicherung

  • Aus Benachrichtigungsdaten wiederhergestellte Nachrichten

    • Auf dem iPhone der Angeklagten Lynette Sharp blieben Inhalte von nach dem Löschen der Signal-App empfangenen Nachrichten im internen Benachrichtigungsspeicher erhalten
    • Laut der Zusammenfassung des Gerichtsexponats (Exhibit 158) wurde „Signal gelöscht, aber empfangene Benachrichtigungen wurden über Apples internen Benachrichtigungsspeicher im internen Speicher bewahrt, und wiederhergestellt wurden nur eingehende Nachrichten“
    • Signal bietet eine Einstellung, mit der sich der Nachrichteninhalt in der Benachrichtigungsvorschau verbergen lässt, diese war bei der Angeklagten jedoch offenbar deaktiviert
    • Weder Signal noch Apple gaben eine offizielle Stellungnahme dazu ab, wie Benachrichtigungsdaten gespeichert oder verarbeitet werden

  • Interne Speicherstruktur und technischer Hintergrund

    • Da konkrete technische Informationen zum Zustand des iPhone der Angeklagten fehlen, ist nicht klar, auf welchem Weg das FBI die Daten wiederhergestellt hat
    • Beim iPhone gibt es mehrere Sicherheitszustände wie BFU(Before First Unlock) und AFU(After First Unlock), wobei sich die Zugriffsrechte auf Daten je nach Zustand unterscheiden
    • Ist das Gerät entsperrt, geht das System davon aus, dass der Nutzer es aktiv verwendet, wodurch der Zugriff auf geschützte Daten erweitert wird
    • iOS verwaltet verschiedene Sicherheitszustände vertrauensbasiert und speichert aus Gründen der Benutzerfreundlichkeit viele Daten lokal in Form von Caches

  • Push-Benachrichtigungstoken und die Möglichkeit verbleibender Daten

    • Auch nach dem Löschen einer App wird das für Push-Benachrichtigungen verwendete Token nicht sofort ungültig

      • Da der Server nicht erkennen kann, ob die App gelöscht wurde, kann er auch nach der letzten Benachrichtigung weiter Pushs senden, und es besteht die Möglichkeit, dass das iPhone diese empfängt und intern verarbeitet
      • Apple hat kürzlich in iOS 26.4 die Verifizierung von Push-Benachrichtigungstoken geändert; ein direkter Zusammenhang mit diesem Fall ist zwar nicht bestätigt, fällt zeitlich aber auf

  • Möglichkeiten der Datenextraktion und Ermittlungswerkzeuge

    • Laut der Beschreibung in Exhibit 158 stellte das FBI Daten über Apples internen Benachrichtigungsspeicher wieder her, was aus einem Geräte-Backup extrahierte Informationen gewesen sein könnten
    • Strafverfolgungsbehörden verfügen über zahlreiche kommerzielle Forensik-Tools, die iOS-Schwachstellen zur Datenextraktion nutzen, und es ist möglich, dass das FBI solche Werkzeuge eingesetzt hat
    • 404 Media veröffentlichte den Originalbericht zu dem Fall separat

  • Bedeutung des Falls

    • Der Fall gilt als Beispiel dafür, dass weder das Löschen einer Messaging-App noch Verschlüsselung eine vollständige Datenlöschung garantieren
    • Die Datenaufbewahrungsstruktur des iOS-Benachrichtigungssystems und dessen Sicherheitsverwaltung könnten sich künftig zu einem zentralen Streitpunkt in der Diskussion um Privatsphäre entwickeln

Verwandte Beiträge

1 Kommentare

 
GN⁺ 19 일 전
Hacker-News-Kommentare

  • Aus Nutzersicht dachte ich, Signal habe forward secrecy, sodass Nachrichten nach dem Empfang verschwinden
    Wenn man aber disappearing messages nicht einschaltet, können forensische Tools wie Cellebrite sie wiederherstellen. Standardmäßig ist das deaktiviert
    Selbst wenn es aktiviert ist, kann die Nachricht in Benachrichtigungen enthalten sein und vom OS gespeichert werden. Apple hat das tatsächlich so gemacht, und es gibt eine Option, das zu verhindern, aber auch die ist standardmäßig deaktiviert
    Selbst wenn man die App löscht, bleiben Nachrichten im OS zurück. Wenn also das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zusammenbricht, ist das meiner Meinung nach nicht die Schuld der Nutzer, sondern ein Problem des Systemdesigns
    Verwandte Fälle habe ich in meinem Artikel zusammengefasst

    • Solange Backups nicht verschlüsselt sind, ist Ende-zu-Ende-Verschlüsselung (E2EE) meiner Meinung nach eine Illusion. Wenn die andere Seite ADP nicht verwendet, haben iMessage oder WhatsApp nur einfache Verschlüsselung der Speicherung
      Auch WhatsApp auf Android empfiehlt standardmäßig unverschlüsselte Backups auf Google Drive
      Ich vermute, Google, Apple und Meta haben nach PRISM so etwas wie ein Folgeabkommen geschaffen: „E2EE zulassen, aber standardmäßig zugänglich machen“
      Die meisten Nutzer belassen es bei den Standardeinstellungen, dadurch wird die Sicherheit letztlich ausgehebelt
    • So sicher Signal auch sein mag: Das Betriebssystem und Ökosystem, auf dem es läuft, sind viel zu komplex, um sicher zu sein, dass man tatsächlich sicher kommuniziert
      Auch Metadaten (wer wann mit wem kommuniziert hat) bleiben weiter sichtbar
    • Da die meisten Nutzer die Standardeinstellungen nicht ändern, ist das Sicherheitsniveau einer App gleichbedeutend mit ihren Standardeinstellungen
    • Dass Signal Nachrichten im Klartext in Benachrichtigungen packt, ist noch gravierender.
      Wie dieser Artikel zeigt, sollten sensible Daten nicht in Benachrichtigungen enthalten sein oder als verschlüsselte Payload übertragen werden
    • Wer wirklich einen sicheren Messenger will, sollte SimpleX verwenden. Whonix empfiehlt es, und Snowden unterstützt Whonix ebenfalls
      Whonix-Chat-Empfehlungsseite

  • Wenn man in den Signal-Einstellungen
    Settings > Notifications > Notification Content > Show auf „Name Only“ oder „No Name or Content“ stellt,
    werden beim Zeigen des Bildschirms keine sensiblen Nachrichten offengelegt. Wenn man diesen Vorfall betrachtet, hat diese Einstellung einen zusätzlichen Sicherheitsvorteil

    • Das ist keine OS-Einstellung, sondern eine Einstellung innerhalb der Signal-App. Wenn man nur die OS-Benachrichtigungseinstellungen ändert, wird nur die Anzeige auf dem Bildschirm blockiert, die interne Speicherung läuft weiter
    • Unter Android findet man das unter Settings > Notifications > Messages > Show
    • Die Voreinstellung sollte die sensibelste sein. Für eine Sicherheits-App sind sichere Standardeinstellungen essenziell
    • Auch die Zusammenfassungsfunktion von Apple Intelligence sollte man für sensible App-Benachrichtigungen deaktivieren
    • Wenn man den Lockdown-Modus aktiviert, kann man zusammen mit diesem Problem auch mehrere andere Schwachstellen abwehren

  • Wenn die Vorschau von Signal-Benachrichtigungen nicht deaktiviert ist, speichert das System den Nachrichteninhalt in einer Datenbank
    Diesen Benachrichtigungsverlauf kann man unter macOS in ~/Library/Group Containers/group.com.apple.usernoted/db2/db sehen
    Mit der Crank-App kann man ihn per SQL-Abfrage extrahieren

    • Unter Android kann man den Benachrichtigungsverlauf mit Apps wie NotiStar ansehen.
      Allerdings können zentralisierte Benachrichtigungsinfrastrukturen wie FCM (APNs) die Daten zwischenspeichern
    • Auf Pixel-Geräten kann man einen Teil des Verlaufs unter Settings > Notifications > Manage > Notification History sehen
    • Beim iPhone werden Benachrichtigungsinhalte im Klartext gespeichert, wenn die Vorschau auf dem Sperrbildschirm angezeigt werden darf
      Die Standardeinstellung ist „Vorschau beim Entsperren“, aber selbst dann ist unklar, ob die interne Speicherung verschlüsselt wird
      Letztlich ist das ein OPSEC-Problem durch einen Fehler in den Benutzereinstellungen, und ich halte die Signal-Standardeinstellung für angemessen
    • Unter Android gab es früher eine Protokolladressseite, die alle Benachrichtigungen zeigte. Sie war nützlich, wird heute aber kaum noch verwendet

  • Ich habe mich gefragt, warum Signal jeden Monat weiter fragt, ob man Benachrichtigungen einschalten will. Obwohl ich abgelehnt habe, wiederholt sich das

    • Laut Signal-Entwicklern soll das verhindern, dass Nutzer Benachrichtigungen versehentlich deaktiviert lassen, weil es viele Anfragen zur Zuverlässigkeit von Benachrichtigungen gibt. Die Häufigkeit ist aber etwas übertrieben
    • Die meiste Software stellt jedoch die Interessen der Entwickler oder Unternehmen über den Willen der Nutzer.
      Immer wieder dazu gedrängt zu werden, obwohl man es nicht will, ist inzwischen ein gängiges UX-Muster
    • Messaging-Plattformen sind erfolgreicher, wenn Nutzer sofort antworten, daher ist es eine naheliegende Strategie, sie zum Aktivieren von Benachrichtigungen zu bewegen
    • Auch iOS selbst ist so aufgebaut, dass es regelmäßig erneut fragt, wenn Benachrichtigungen deaktiviert sind
    • Ähnlich ist es mit dem 2FA-PIN von WhatsApp, bei dem periodisch erneut eine Eingabe verlangt wird

  • Ich denke, Aussagen vor Gericht sind der eigentliche Test, um den realen Sicherheitszustand zu überprüfen
    Wichtiger als theoretische Debatten ist, welche Daten in realen Fällen tatsächlich wiederhergestellt werden

    • Allerdings gibt es auch Fälle, in denen Regierungen auf eine Anklage verzichten, um die Offenlegung cyberbezogener Mittel zu vermeiden, sodass nicht alle Informationen ans Licht kommen
    • Vor Gericht werden zumindest gelegentlich echte technische Details offengelegt
    • Der jüngste Fall Trivy / LiteLLM war ebenfalls ein Sicherheitsproblem, hatte aber einen anderen Charakter
    • In korrupten Staaten spiegeln Gerichtsergebnisse die Realität jedoch möglicherweise nicht wider. Es gibt parallel construction

  • Der Satz „Der Angeklagte hat die Einstellung nicht aktiviert, daher hat das System die Nachrichten gespeichert“ bedeutet in Wirklichkeit, dass Apples Standardeinstellungen das Problem sind
    Die meisten Nutzer ändern Einstellungen nicht, und Apple weiß das auch

    • Noch schlimmer ist, dass mühsam geänderte Sicherheitseinstellungen bei Updates oft zurückgesetzt werden. Auch die Datenschutzeinstellungen von Firefox werden oft auf diese Weise zurückgedreht
      Selbst wenn es nicht absichtlich geschieht, müssen wir so handeln, als wäre es Absicht
    • Wenn einem Sicherheit wichtig ist, sollte man die Vorschau auf dem Sperrbildschirm unbedingt deaktivieren. Ein Sperrbildschirm ist sichtbar für jeden und standardmäßig nicht privat
    • Wenn die Medien statt „Der Angeklagte hat die Einstellung nicht geändert“ geschrieben hätten „Das Apple-System hat standardmäßig Daten gespeichert“, wäre die Wahrnehmung anders gewesen
      Letztlich wird die Verantwortung auf die Nutzer abgewälzt, während sich die Unternehmen, die das System gebaut haben, hinter dem anonymen „System“ verstecken
    • Ich habe tatsächlich nach statistischen Daten zur Fähigkeit von Nutzern gesucht, Einstellungen zu ändern, und das Niveau der Computerausbildung ist sehr niedrig. Es braucht nicht nur simples Tippenlernen, sondern digitale Kompetenz

  • Originalartikel: FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database

    • Allerdings ist er nur für Abonnenten, daher sind Details nur eingeschränkt zugänglich

  • Ich frage mich, warum Apple Einträge, die nach dem Löschen einer App in der Benachrichtigungsdatenbank verbleiben, nicht entfernt.
    Alte Benachrichtigungsinhalte weiter aufzubewahren ist eine Keimzelle für Sicherheitsvorfälle

    • Wenn solche Probleme sichtbar werden, wirken sie so offensichtlich, dass man sich fragt: „Warum erst jetzt?“ Ich erwarte, dass sich die Struktur künftig ändern wird
    • Unter Android verschwindet der Benachrichtigungsverlauf beim Löschen der App, und wenn man die Verlauf-Funktion aus- und wieder einschaltet, werden alte Daten zurückgesetzt
      Laut der offiziellen Android-Dokumentation wird er nur für einen bestimmten Zeitraum aufbewahrt
    • Wenn die Daten jedoch tatsächlich in den Flash-Speicher geschrieben wurden, könnten Blöcke auch nach dem Löschen erhalten bleiben
      Durch Wear Leveling können Daten jahrelang erhalten bleiben
    • In den meisten Datenbanken (sqlite usw.) werden beim Löschen von Zeilen die eigentlichen Daten auf dem Datenträger nicht sofort entfernt.
      Ähnliches passiert auch auf Dateisystem- und SSD-Ebene

  • Letztlich zeigt dieser Fall, dass ein Ende von E2E nicht die App, sondern das Telefon selbst ist
    Wenn man wie bei WhatsApp eine Nachricht in der Benachrichtigung lesen kann, ohne dass sie als gelesen markiert wird, übernimmt das OS gewissermaßen die Rolle eines Man-in-the-Middle (MITM)

    • Allerdings erzeugt Signal die Benachrichtigung selbst, daher ist es schwer zu sagen, dass allein das Anzeigen einer Benachrichtigung wie bei echo "my_private_data" | notify-send grundsätzlich gefährlich ist

  • Tatsächlich ist dieses Problem der Speicherung von Benachrichtigungsdaten schon seit Langem bekannt.
    In den RealityNet iOS Forensics References oder
    im Artikel von The Forensics Scooter wurde es bereits behandelt