Apple behebt Bug, den die Polizei zum Auslesen gelöschter Chat-Nachrichten von iPhones nutzte

 (techcrunch.com)
1 Punkte von GN⁺ 7 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Gelöschte oder automatisch verschwindende Nachrichten aus Messaging-Apps konnten im Benachrichtigungs-Cache verbleiben und mit Forensik-Tools ausgelesen werden; Apple hat dies mit einem Software-Update für iPhone und iPad behoben
  • Benachrichtigungen mit angezeigtem Nachrichteninhalt konnten bis zu einen Monat auf dem Gerät gespeichert werden; in Apples Sicherheitshinweis steht, dass als löschbar markierte Benachrichtigungen unerwartet erhalten bleiben konnten
  • Dieser Extraktionspfad steht im Zusammenhang mit der Art, wie gelöschte Signal-Nachrichten in der Datenbank des Telefons verblieben, sodass Strafverfolgungsbehörden auch lange zuvor gelöschte Nachrichten lesen konnten
  • Signal erklärte, man habe Apple nach Bekanntwerden des Problems um eine Behebung gebeten; die Timer-Funktion zum automatischen Löschen kann Nutzern helfen, Gespräche auch bei einer Beschlagnahmung des Geräts vertraulich zu halten
  • Das Löschen innerhalb der App allein bedeutete nicht unbedingt, dass derselbe Inhalt auch aus dem Benachrichtigungsspeicher des Betriebssystems verschwand; die Korrektur zeigt, dass für den Schutz der Privatsphäre automatisch gelöschter Nachrichten auch die OS-Ebene wichtig ist

Bugfix und Auswirkungen

  • Apple hat ein Software-Update für iPhone und iPad veröffentlicht, das einen Bug behebt, durch den Strafverfolgungsbehörden aus Messaging-Apps gelöschte oder automatisch verschwindende Nachrichten extrahieren konnten
    • Das Problem entstand, weil Benachrichtigungen (notifications) mit Nachrichteninhalt bis zu einen Monat lang auf dem Gerät zwischengespeichert wurden
  • In Apples Sicherheitshinweis steht, dass als löschbar markierte Benachrichtigungen auf dem Gerät unerwartet erhalten bleiben konnten
  • Warum der Benachrichtigungsinhalt überhaupt aufgezeichnet wurde, ist nicht bestätigt
    • Durch den Fix wurde deutlich, dass dieses Verhalten ein Bug war
  • Apple antwortete nicht sofort auf eine Anfrage, warum die Benachrichtigungen aufbewahrt wurden
  • Apple hat die Korrektur auch auf iPhones und iPads mit einer älteren Version von iOS 18 zurückportiert

Der aufgedeckte Extraktionspfad

  • Der Fix steht in direktem Zusammenhang mit einem Problem, das 404 Media Anfang des Monats öffentlich gemacht hatte
    • Das FBI konnte mithilfe von Forensik-Tools gelöschte Signal-Nachrichten von einem iPhone extrahieren
  • Möglich war dies, weil Nachrichteninhalte zeitweise als Benachrichtigung angezeigt wurden und danach auch nach dem Löschen der Nachricht innerhalb von Signal in der Datenbank des Telefons gespeichert blieben
  • Beim Einsatz von Forensik-Tools konnten Strafverfolgungsbehörden auch lange zuvor gelöschte Nachrichten lesen

Signal und die Funktion für verschwindende Nachrichten

  • Meredith Whittaker von Signal erklärte, man habe Apple nach Bekanntwerden des Problems um Abhilfe gebeten
    • Sie schrieb, dass Benachrichtigungen zu gelöschten Nachrichten in keiner Benachrichtigungsdatenbank eines Betriebssystems verbleiben sollten
  • Signal bietet wie andere Messaging-Apps, darunter WhatsApp, eine Timer-Funktion an, mit der Nachrichten nach einer bestimmten Zeit automatisch gelöscht werden
  • Diese Funktion kann Nutzern helfen, Gespräche vertraulich zu halten, auch wenn Behörden ein Gerät beschlagnahmen

Datenschutzbedenken

  • Die Tatsache, dass das FBI einen Weg gefunden hatte, eine im Alltag genutzte Sicherheitsfunktion zu umgehen, hat Datenschutzaktivisten alarmiert
  • Die Funktion für automatisch verschwindende Nachrichten ist insbesondere für gefährdete Nutzergruppen ein Sicherheitsmittel, das routinemäßig verwendet wird
  • Der Bug zeigte, dass das Löschen einer Nachricht innerhalb einer App nicht verhindert, dass derselbe Inhalt im Benachrichtigungsspeicher des Betriebssystems erhalten bleibt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 7 일 전
Hacker-News-Kommentare
  • Ich würde sagen, das war ein Bug, bei dem Cache-Daten auf dem Gerät zurückblieben. Trotzdem bleibt es bedenklich, dass Apple und Google bei den meisten Benachrichtigungsabläufen mittendrin sitzen und die Struktur als solche Inhalte weiterhin über Server laufen lässt. Wer Inhalte von Ende-zu-Ende-verschlüsselten Nachrichten weniger offenlegen will, sollte Benachrichtigungen daher wohl so einstellen, dass nur neue Nachricht eingegangen angezeigt wird und Inhalt oder Absender verborgen bleiben
    • Ich halte diese Erklärung in zwei Punkten für falsch. Erstens ging es hier darum, dass das OS Benachrichtigungen lokal auf dem Gerät nachverfolgt und speichert, nicht um die Benachrichtigungsserver von Google oder Apple. Zweitens kann man E2EE beibehalten, selbst wenn Benachrichtigungen über Apple- oder Google-Server laufen, indem man die Daten selbst verschlüsselt oder den Nachrichtentext ganz weglässt. Signal macht es tatsächlich so, daher sehen Apple oder Google die Nachricht nicht im Klartext
    • Meines Wissens bieten sowohl Apple als auch Google Funktionen, mit denen Apps Nachrichten vor der Anzeige abfangen und verändern können. Man könnte also verschlüsselte Benachrichtigungen senden und sie auf dem Gerät des Nutzers per App-Code entschlüsseln und anzeigen
    • Sehe ich auch so. Der Server könnte nur die Benachrichtigung senden, und tatsächlich würde die Anzeige dann lokal auf dem entsperrten Gerät mit den dort gelesenen Nachrichten zusammengesetzt. Es wirkt also unnötig, Klartext an Apple- oder Google-Server zu schicken
    • Nach der Matrix-FAQ, die ich kürzlich gelesen habe, ist die Erklärung so nicht korrekt. Bei Matrix-Apps kommen nur einige Metadaten vom Chat-Server über den Push-Server und Google auf mein Gerät, während der Nachrichtentext E2EE-verschlüsselt bleibt. Die App wird durch die Metadaten-Benachrichtigung aufgeweckt, holt dann die eigentliche Nachricht erneut ab und zeigt sie in der Benachrichtigung an. Wie im letzten Punkt erwähnt, bleibt auf Android das Problem der lokalen Speicherung wohl bestehen, bis es dort ebenfalls behoben wird
    • In diesem Fall haben wir aber tatsächlich die OS-Benachrichtigungs-API von Google und Apple genutzt und ihnen dabei Klartextnachrichten übergeben
  • Ich würde sagen, der im Artikel genannte Bug ist nur ein Teil des Problems. Der Kern ist, dass Benachrichtigungstext außerhalb von Signal in einer Handy-Datenbank gespeichert wird, und um das zu vermeiden, muss man die Einstellungen ändern. In diesem Fall hat der Angeklagte die Signal-App selbst gelöscht, und eigentlich hätten die Benachrichtigungen dieser App dann intern ebenfalls als gelöscht markiert werden müssen; dass das nicht passiert ist, scheint der jetzt behobene Punkt zu sein. Der Kern der veröffentlichten Informationen ist, dass als gelöscht markierte Benachrichtigungen unerwartet auf dem Gerät verbleiben konnten, und der Beschreibung nach war es ein logging issue, sodass die Daten eher in Logs als in der eigentlichen Datenbank gelandet sein könnten
    • So wie ich es gelesen habe, klang es nicht nur nach Logs, sondern nach logs, json, plist, SQLite DB insgesamt. In Biome unter /private/var/mobile/Library/Biome/streams/.../Notification/segments/ gebe es rohe Logs von Titel und Text, in BulletinBoard und UserNotificationsCore unter /var/mobile/Library/{BulletinBoard,UserNotificationsCore}/ json- und plist-Dateien zum zugestellt- und geschlossen-Status, und in CoreDuet unter /var/mobile/Library/CoreDuet/coreduetdClassD.db eine SQLite-Datenbank, die Biome-Ereignisse erneut aufnimmt. Quelle ist dieser Tweet
    • Ich würde sagen, diese Deutung ist noch spekulativ. Dass etwas als zum Löschen markiert war, könnte nicht nur das Löschen der gesamten App bedeuten, sondern auch den Fall, dass der Nutzer die Benachrichtigung geschlossen hat
    • Mir kommt als Erstes auch die Möglichkeit von SQLite WAL in den Sinn
    • Für mich könnten das faktisch dieselben Probleme sein. Ich frage mich, warum du sie unbedingt getrennt sehen willst
  • Ich finde, die von Signal angebotenen generischen Benachrichtigungen wie „Nachricht empfangen“ sind insgesamt eine gute Sicherheitsgewohnheit
    • Eigentlich geht das bei fast allen Apps. Man muss in den iOS-Einstellungen bei notifications shows previews einfach auf never stellen
  • Ich finde es ziemlich frustrierend, dass Signal die Nutzer nicht aktiver auf dieses Problem hinweist. Ich hatte Benachrichtigungen ausgeschaltet, und Signal hat mich trotzdem nur daran erinnert, sie wieder einzuschalten
  • Wenn ich das sehe, frage ich mich bei Mythos erneut, ob die größere Sorge das Auffinden einer Schwachstelle ist oder deren Behebung
  • Anfangs war ich auch etwas verwirrt. Ich dachte, Push-Benachrichtigungen seien Ende-zu-Ende-verschlüsselt, also könne der Push-Dienst sie nicht in lesbarer Form cachen, und die App würde sie erst auf dem Gerät empfangen und entschlüsseln. Tatsächlich scheint es aber so zu sein, dass die App sie entschlüsselt, dann über eine OS-API dem Nutzer anzeigt und dieser Benachrichtigungstext anschließend erneut lokal auf dem Gerät in irgendeiner Benachrichtigungsverlaufs-DB oder etwas Ähnlichem gespeichert wird
    • Ja, ich verstehe das ungefähr als eine Art solcher Ablauf
    • Soweit ich das sehe, ist in der Push-Architektur von Apple und Google ein beträchtlicher Teil der Metadaten Klartext
  • Im Datenschutzbereich war dieses Problem wohl schon länger recht bekannt. Google und Apple schicken Benachrichtigungsinhalte mitunter an ihre Server, wodurch App-Grenzen umgangen werden. Für eine ähnliche Einordnung ist auch dieser Artikel lesenswert
    • Ich vermute, dass Signal die Benachrichtigungsdaten vorab verschlüsselt, bevor sie an Apple gehen, und sie auf dem Gerät dann mit einer Notification Service Extension entschlüsselt. Das ist ein gängiges Muster, wenn man Apple nicht vertrauen will; am Ende wurde der Klartext also nicht bei Apple, sondern erst auf dem Gerät nach der Entschlüsselung gespeichert
    • In dem hier berichteten Fall wurden die Inhalte meinem Verständnis nach nicht vom Server geholt, sondern von Bundesermittlern direkt vom Handy ausgelesen
    • Ich denke dabei auch an Messenger wie Snapchat oder WhatsApp. WhatsApp spricht von end-to-end, aber es gibt auch Behauptungen, dass auf Basis von Schlüsselwörtern einige Nachrichtkopien an Behörden weitergegeben werden; kategorisch fühlt sich die Sorge ähnlich an
  • Apps können iOS offenbar nicht anweisen, diese Benachrichtigungen nach der Anzeige nicht zu speichern, daher wird die Nutzlast wohl einfach gecacht. Am Ende ist es das typische Problem, dass „gelöscht“ nicht wirklich gelöscht bedeutet, und Daten an mehr Stellen zurückbleiben, als man denkt. Insofern wirkt das wie ein von Signal gut aufgezeigtes Beispiel
  • Erfreulich ist, dass Apple diese Korrektur auch auf iOS 18 zurückportiert hat
    • Und nicht nur das: iOS 18.7.8 scheint sogar ohne besondere Umwege auch an Geräte verteilt zu werden, die iOS 26 ausführen können, was interessant ist. Dagegen war das bei 18.7.3 bis .6 offenbar nicht so; deshalb frage ich mich, ob diese Zwischenversionen eigentlich hätten erscheinen sollen, es aber Verteilungsprobleme gab und niemand es behoben hat
  • Ich gehöre zu denen, die sich für sichere Kommunikation niemals auf geschlossene Systeme verlassen würden. Vor allem nicht, wenn man mit vielen unbestimmten Gegenstellen kommuniziert
    • Trotzdem ist iOS wahrscheinlich die sicherste mobile Plattform für sichere Kommunikation, besonders im lock down mode, würde ich sagen