Um novo relatório da 404 Media revelou que o FBI conseguiu recuperar mensagens deletadas do Signal em um iPhone ao extrair dados armazenados no banco de dados de notificações do dispositivo. Os detalhes são intrigantes.

A história de notificações foi acessada mesmo após a exclusão do Signal. Durante um julgamento recente que envolveu um grupo de pessoas que soltaram fogos de artifício e vandalizaram propriedades no ICE Prairieland Detention Facility em Alvarado, Texas, ficou claro que o FBI conseguiu recuperar o conteúdo de mensagens recebidas do Signal a partir do iPhone de uma das réus, mesmo com o aplicativo removido.

Lynette Sharp, uma das acusadas que já havia se declarado culpada de fornecer apoio material a terroristas, foi citada no depoimento do agente especial do FBI, Clark Wiethorn, durante o julgamento. Um resumo da Exibição 158 publicado em um site de apoiadores menciona: "Mensagens foram recuperadas do telefone de Sharp através do armazenamento interno de notificações da Apple—o Signal havia sido removido, mas as notificações recebidas foram preservadas na memória interna. Apenas mensagens recebidas foram capturadas (sem mensagens enviadas)."

A 404 Media observou que as configurações do Signal incluem uma opção que impede que o conteúdo real das mensagens seja visualizado nas notificações. No entanto, aparentemente, a ré não tinha essa configuração ativada, permitindo que o sistema armazenasse o conteúdo no banco de dados.

O funcionamento desse armazenamento interno é complexo. Sem detalhes técnicos sobre a condição exata do iPhone da ré, é desafiador determinar o método preciso usado pelo FBI para recuperar as informações. Os estados do sistema de um iPhone podem variar, cada um com suas próprias restrições de segurança e acesso a dados, como BFU (Before First Unlock) e AFU (After First Unlock).

Além disso, a segurança e o acesso a dados mudam drasticamente quando o dispositivo é desbloqueado, permitindo que uma gama mais ampla de dados protegidos seja acessada. O iOS armazena e faz cache de muitos dados localmente, confiando que pode contar com esses diferentes estados para manter as informações seguras e disponíveis.

Outro fator importante a considerar é que o token utilizado para enviar notificações push não é imediatamente invalidado quando um aplicativo é deletado. Como o servidor não tem como saber se o aplicativo ainda está instalado, pode continuar enviando notificações, deixando ao iPhone decidir se exibirá ou não.

Curiosamente, a Apple recentemente alterou a forma como o iOS valida tokens de notificações push na versão 26.4. Embora não seja possível afirmar se isso está relacionado a esse caso, a coincidência de tempos é notável.

Voltando ao caso, dado que a descrição da Exibição 158 indica que as mensagens "foram recuperadas do telefone de Sharp através do armazenamento interno de notificações da Apple", é possível que o FBI tenha extraído as informações de um backup do dispositivo. Existem diversas ferramentas disponíveis comercialmente para as forças de segurança que exploram vulnerabilidades do iOS para extrair dados que poderiam ter ajudado o FBI a acessar essas informações.