2024年,一位Signal用户删掉了应用,以为对话就此消失。FBI从他的iPhone里完整恢复了接收端的消息记录——不是通过云端备份,不是通过运营商,而是通过一个大多数人从未听说过的系统角落。
404 Media披露的这起案件,暴露了一个被忽视的隐私漏洞:iOS的推送通知数据库。即便应用已卸载,这个数据库仍在后台接收并存储部分消息内容。端到端加密在传输途中保护了数据,却在终端设备的"门廊"处留下了副本。
Signal的安全团队其实早就埋了开关。设置路径藏得不算深:Settings > Notifications > Notification Content,三个选项梯度排列。"No Name or Content"是最高防护档,连发件人标识一并抹除;"No Content"折中,保留名字但隐藏正文;默认档则全开。
这个设计逻辑很像快递柜——加密是运输途中的封条,但推送通知是贴在柜门上的取件码。FBI没拆封条,只是抄走了取件码上的信息。
漏洞的成因要追溯到苹果推送通知服务(Apple Push Notification Service,APNS)的工作机制。应用卸载后,系统不会立即清除该应用在APNS的注册令牌,这个窗口期可能持续数小时甚至数天。在此期间,服务器仍会向设备推送消息,而iOS会将这些通知暂存于本地数据库,供用户下拉通知中心时调用。
Signal的默认设置将消息内容嵌入推送 payload,本意是方便用户锁屏预览。这在便利性与安全性之间做了大众向的取舍——多数用户更希望看到"张三:晚上吃什么"而非仅显示"一条新消息"。但取证工具可以提取这个数据库,且无需破解设备密码或越狱。
被告的律师团队确认,FBI获取的是接收端消息,发送端记录因未经过同一渠道而幸免。这揭示了不对称风险:你在对话中被动接收的信息,反而比主动发出的更易泄露。
Telegram创始人突然开炮,时机微妙
同一周内,Telegram创始人Pavel Durov在X平台发布声明,措辞激烈:「WhatsApp的"加密"可能是史上最大的消费者欺诈——欺骗数十亿用户。尽管声称加密,它却读取用户消息并与第三方共享。Telegram从未这样做——也永远不会。」
这条推文配了握手表情符号,发布于2026年4月9日。Durov没有提供具体证据,但时间点值得玩味——恰好卡在Signal漏洞曝光与欧盟《数字市场法》合规审查的交叉期。
WhatsApp的回应机制值得拆解。其端到端加密协议基于Signal Protocol开源实现,技术层面与Signal同源。但Meta的商业模式决定了数据流向的复杂性:消息内容或许不可读,但元数据——谁、何时、与谁、聊多久——构成另一座金矿。
Durov的指控指向一个灰色地带:加密协议的实现纯度与商业实体的数据饥渴之间的张力。Telegram的差异化策略在于默认关闭端到端加密,仅在"秘密聊天"模式启用,但声称服务器端不存储明文。这种架构选择牺牲了部分便利性,换取了服务器层面的抗取证能力。
苹果生态的"默认陷阱"
回到iPhone用户的实际处境。Signal的隐私开关存在,但 buried in settings—— buried 得恰到好处,让绝大多数用户永远不会触及。应用首次启动时,系统会请求通知权限,但不会在此时提示内容显示级别的选择。
这种设计符合苹果的一贯哲学:替用户做决定,且倾向于功能性而非安全性。macOS的Gatekeeper、iOS的相册权限粒度,都遵循同一套优先级排序。
问题是,当FBI级别的对手入场时,"大多数用户不需要"的假设就失效了。推送通知数据库的取证价值,在2016年圣贝纳迪诺枪击案后已被执法机构充分认知。那次事件中,苹果拒绝为iPhone 5c创建后门,但并未否认iCloud备份等渠道的合规数据调取。
此次Signal案例的新意在于:目标用户主动采取了"删除应用"这一极端隐私措施,却仍被历史数据捕获。这类似于撕碎信件却发现邮局的登记簿上留着副本。
安卓阵营的镜像问题
Google的Firebase Cloud Messaging(FCM)机制与APNS逻辑相近,但实现细节差异显著。安卓的通知数据库同样可被提取,不过厂商定制层(如三星Knox、小米MIUI)增加了变量。Signal在安卓端的默认设置同样嵌入消息内容,关闭路径与iOS一致。
一个关键区分点是权限模型。iOS的通知权限是二元的:允许或拒绝。安卓则允许"静默通知"——不显示内容、不亮屏、仅更新角标。这种粒度在Signal的语境下反而更安全,因为FCM payload可以被系统级拦截,不进入用户可见的通知数据库。
但安卓的碎片化带来另一重风险:厂商的电池优化策略可能强制杀死Signal后台进程,导致消息延迟或丢失。用户为求稳定,往往主动将Signal加入白名单,这又恢复了完整的通知内容暴露。
实操清单:现在该做什么
对于已经在使用Signal的用户,调整设置耗时约30秒。进入路径如前所述,建议根据威胁模型选择档位:若担心设备被物理扣押,选"No Name or Content";若仅防范日常窥探,"No Content"足以应对。
更激进的方案是关闭Signal的通知权限 entirely,依赖应用内红点提示。这会显著降低即时通讯的实用性,但将攻击面压缩至零——没有推送,就没有推送数据库残留。
跨应用审视是必要的。WhatsApp、Telegram、微信、钉钉,都依赖相似的推送机制。检查路径各异,但核心逻辑一致:寻找"通知显示内容""预览消息"等开关,将其降级。
一个常被忽略的细节是Apple Watch或Wear OS的联动。手表通知往往继承手机设置,但部分应用允许独立配置。若手机端已关闭内容预览,手表端仍需单独确认。
加密通信的"最后一公里"悖论
Signal Protocol的设计者Moxie Marlinspike曾将端到端加密比作"密封信封"。信封在运输途中无法开启,但收件人拆封后的处理——是立即焚毁、存档于保险箱、还是随手放在桌上——超出了协议的控制范围。
推送通知数据库就是这个"桌上"的延伸。它不属于Signal的加密边界,却属于用户设备的物理边界。当执法机构获得设备访问权时,这个灰色地带成为事实上的突破口。
技术社区对此的回应呈现分化。部分开发者主张推送 payload 应默认仅含唤醒指令,应用启动后再拉取消息内容——这会增加电量消耗和网络延迟,但消除数据库残留。Signal尚未采纳这一方案,可能出于用户体验考量。
苹果层面的修复更为根本:缩短应用卸载后的令牌有效期,或加密通知数据库的静态存储。但这两项改动都触及系统底层,苹果的历史节奏表明,除非监管压力或公众事件驱动,否则不会主动调整。
404 Media的报道未披露案件的具体司法管辖区和最终证据采纳情况。这留下了关键悬念:通过推送通知数据库获取的消息,在法庭上是否面临可采性挑战?辩护方能否主张"合理隐私期待"涵盖这一系统角落?
你的Signal设置,现在是什么档位?
热门跟贴