Агенти Федерального бюро розслідувань досягли значного прориву у сфері цифрової криміналістики, зумівши відновити видалені повідомлення з месенджера Signal, що зберігалися на iPhone, шляхом вилучення даних із системної бази сповіщень пристрою. Цей інцидент, детально описаний у звіті видання 404 Media, підкреслює нові виклики та можливості у розслідуванні кіберзлочинів, особливо враховуючи зростаючу популярність зашифрованих комунікаційних платформ. Розслідування, в рамках якого було здійснено це вилучення, стосувалося серії підпалів та актів вандалізму на об’єктах імміграційного центру ICE Prairieland у місті Альварадо, штат Техас, де видалення Signal з iPhone однією з підозрюваних, Лінеттою Шарп, не стало на заваді слідству.
Технічні аспекти відновлення даних
Фахівці ФБР змогли відновити видалені повідомлення з Signal на iPhone, витягнувши дані, що зберігаються в базі сповіщень пристрою.
Ключовим фактором, що дозволив відновити інформацію, стало те, що повідомлення зберігалися в системному сховищі сповіщень iOS, навіть після видалення самого додатку Signal. У звіті 404 Media зазначається, що на iPhone згаданої підозрюваної функція приховування тексту повідомлень у сповіщеннях не була активована, що, відповідно, дозволило операційній системі зберігати вміст у своїй базі даних. Хоча Signal на iOS пропонує опцію для приховування вмісту повідомлень у сповіщеннях, її неактивність у цьому конкретному випадку відіграла вирішальну роль.
404 Media здійснили спроби отримати коментарі від Signal та Apple щодо цього інциденту, проте жодна з компаній не надала відповіді на запити.
Хоча конкретний метод, використаний ФБР для вилучення даних, залишається нерозкритим, експерти вказують на кілька технічних нюансів, пов’язаних із системними станами iPhone. iPhone може перебувати у різних станах, кожен з яких має свої обмеження щодо безпеки та доступу до даних, зокрема:
- BFU (Before First Unlock) – стан пристрою одразу після увімкнення, до першого розблокування.
- AFU (After First Unlock) – стан після першого розблокування.
В останньому випадку, стані AFU, доступ до даних є значно ширшим, що, ймовірно, і зіграло вирішальну роль у діях ФБР. Операційна система iOS зберігає та кешує значний обсяг даних локально, використовуючи ці стани для забезпечення безпеки інформації, водночас забезпечуючи її доступність для законного власника пристрою.
Ще одним важливим фактором є те, що токен для push-сповіщень не анулюється миттєво після видалення програми; оскільки сервер не має змоги відстежити встановлення програми після надсилання останнього сповіщення, він може продовжувати надсилати їх, залишаючи за iPhone рішення щодо відображення. Варто зазначити, що Apple нещодавно, у версії iOS 26.4, внесла зміни до механізму перевірки токенів push-сповіщень, проте чи пов’язані ці оновлення з розслідуванням ФБР, наразі невідомо.
Можливі шляхи відновлення даних та рекомендації
Аналізуючи деталі справи та наданий опис доказів, можна припустити, що слідчі могли витягнути дані з резервної копії пристрою, оскільки на ринку існує низка комерційних рішень, призначених для правоохоронних органів, які дозволяють отримати доступ до даних iOS, іноді використовуючи системні вразливості.
Для користувачів, які бажають посилити захист своїх даних та уникнути подібних ситуацій, експерти з кібербезпеки надають наступні рекомендації:
- Вимкнення попереднього перегляду сповіщень: Це можна зробити в налаштуваннях iOS, перейшовши до “Параметри” → “Сповіщення” → “Назва програми” (наприклад, Signal) → “Показувати сповіщення” та вибравши опцію “Ніколи”.
- Увімкнення посиленого захисту даних iCloud: Ця функція забезпечує додатковий рівень безпеки для даних, що зберігаються в iCloud.
Ці кроки допоможуть зменшити ризик несанкціонованого доступу до конфіденційної інформації, навіть у випадках, коли додаток видалено з пристрою.
