| 9 апреля 2026 г. — 16:42 PT
Новый отчет 404 Media сообщает, что ФБР смогло восстановить удаленные сообщения Signal с iPhone, извлекши данные, хранящиеся в базе данных уведомлений устройства. Вот подробности.
История уведомлений была доступна даже после удаления Signal
Согласно отчету 404 Media, показания в недавнем судебном процессе, связанном с «группой людей, запускавших фейерверки и вандализировавших собственность в следственном изоляторе ICE Prairieland в Алавардо, Техас», показали, что ФБР смогло восстановить содержание входящих сообщений Signal с iPhone обвиняемого, хотя Signal был удален с устройства:
Одной из обвиняемых была Линнетт Шарп, которая ранее признала себя виновной в оказании материальной поддержки террористам. В один из дней связанного с этим судебного процесса специальный агент ФБР Кларк Уиторн давал показания о некоторых собранных доказательствах. В резюме выставки 158, опубликованном на веб-сайте группы сторонников, говорится: «Сообщения были восстановлены с телефона Шарп через внутреннее хранилище уведомлений Apple — Signal был удален, но входящие уведомления сохранились во внутренней памяти. Были захвачены только входящие сообщения (без исходящих)».
Как отмечает 404 Media, настройки Signal включают опцию, которая предотвращает предварительный просмотр содержимого сообщений в уведомлениях. Однако, похоже, у обвиняемой эта настройка не была включена, что, в свою очередь, позволило системе сохранить содержимое в базе данных.
404 Media обратилась к Signal и Apple, но ни одна из компаний не предоставила никаких комментариев о том, как обрабатываются или хранятся уведомления.
Но как работает это внутреннее хранилище?
При наличии минимального количества технических деталей о точном состоянии iPhone обвиняемого, очевидно, невозможно точно определить метод, который ФБР использовало для восстановления информации.
Например, iPhone может находиться в различных системных состояниях, каждое со своими ограничениями безопасности и доступа к данным, такими как BFU (Before First Unlock — до первого разблокирования), AFU (After First Unlock — после первого разблокирования) и так далее.
Безопасность и доступ к данным также меняются еще более драматично, когда устройство разблокировано, поскольку система предполагает, что пользователь присутствует, и разрешает доступ к более широкому спектру защищенных данных.
Тем не менее, iOS действительно хранит и кэширует много данных локально, полагаясь на эти различные состояния для обеспечения безопасности информации, но ее доступности на случай, если она понадобится законному владельцу устройства.
Еще один важный фактор, который следует учитывать: токен, используемый для отправки push-уведомлений, не аннулируется немедленно при удалении приложения. И поскольку сервер не может узнать, установлено ли приложение после отправки последнего уведомления, он может продолжать отправлять уведомления, оставляя на iPhone решение о том, отображать ли их.
Интересно, что Apple только что изменила способ проверки токенов push-уведомлений в iOS 26.4. Хотя невозможно сказать, является ли это результатом этого дела, время совпадения все же примечательно.
Возвращаясь к делу, учитывая описание в Приложении 158, что сообщения «были восстановлены с телефона Шарп через внутреннее хранилище уведомлений Apple», возможно, ФБР извлекло информацию из резервной копии устройства.
В этом случае существует множество коммерчески доступных инструментов для правоохранительных органов, которые используют уязвимости iOS для извлечения данных, что могло помочь ФБР получить доступ к этой информации.
Чтобы прочитать оригинальный отчет 404 Media об этом деле, перейдите по этой ссылке.
Стоит проверить на Amazon