你的加密消息删了,但iPhone替你存了一份。404 Media报道,FBI在一起得州案件中,从被告已删除的Signal应用里提取了完整消息内容——来源不是云端,不是服务器,是iPhone的推送通知数据库。
这事发生在2024年7月,一群人用烟花袭击移民拘留设施,还有人枪击警察颈部。调查人员拿到手机后,用取证软件扫描,发现Signal消息像便签纸一样贴在系统角落里。
推送通知怎么成了"泄密通道"
Signal默认会在锁屏弹窗显示消息预览。为了方便你扫一眼就知道谁发了什么,iOS会把这些内容暂存在通知数据库里。Signal以为删了应用就清干净了,但苹果的系统机制留了副本。
FBI取证专家在庭上作证时解释了这个路径:物理拿到设备→运行专用软件→从通知日志里打捞内容。整个过程不需要破解Signal的端到端加密,因为数据在到达应用之前,已经被苹果的系统"存档"了。
这有点像你撕掉了便利贴,但桌面的玻璃板下还压着复印件。加密通信的链条在最后一公里断了——不是Signal的问题,是手机操作系统和应用之间的缝隙。
Signal其实给过"防漏开关"
Signal设置里有个选项叫"通知内容",关掉后锁屏只显示"你有一条新消息",不显示发件人和内容。但默认是开的,大部分用户不会动这个开关。
这次案件暴露了一个设计悖论:方便性和安全性在推送通知这件事上直接冲突。你想快速扫一眼消息,就得让系统暂存可读内容;你想彻底保密,就得接受每次解锁才能看的麻烦。
安全研究员多次警告过这个攻击面。2023年就有演示显示,iOS通知数据库能提取已删应用的历史消息。但普通用户的感知度很低——谁会想到删了的App还在系统里说话?
物理取证的时代还没过去
这个案例有个关键前提:FBI拿到了实体手机。远程黑客做不到这件事,云端服务商也拿不到这些数据。它属于"物理接触+专业工具"的传统取证范畴,但瞄准的是现代人最依赖的加密通信工具。
对Signal用户来说,教训很具体。如果你担心设备被没收检查,去设置→通知→关掉"显示消息内容"。这会让日常体验变糙,但会堵住这个特定漏洞。
对行业来说,问题更麻烦。操作系统和第三方应用之间的数据边界,从来就不是为"对抗国家级取证"设计的。每次系统为了方便用户而做的缓存,都可能成为调查人员的入口。
404 Media的报道提到,庭审中FBI专家详细演示了提取过程。被告的Signal消息从通知库里被一条一条还原,包括已经删除的对话。这些消息后来成了证据链的一部分。
Signal发言人尚未回应此事。但应用商店的评论区里,已经有用户在问:那个通知开关到底藏在哪里?
热门跟贴