FBI znalazło sposób na odzyskanie wiadomości z Signala – bez zabawy w łamanie szyfrowania. Wystarczyła analiza powiadomień zapisanych w pamięci telefonu.
Obecnie nasze Ministerstwo Cyfryzacji prężnie pracuje nad szyfrowanym komunikatorem, który ma zwiększyć bezpieczeństwo komunikacji w administracji publicznej. Gdybym miała dać resortowi cyfryzacji jedną radę na przyszłość, to byłoby to zdecydowanie przeczytanie o tym jak FBI przedarło się przez „gwarantujące prywatność” szyfrowanie w komunikatorze Signal.
Szyfrowanie E2EE jest potężne, ale zdaje się na nic w starciu z powiadomieniami
Jak informuje serwis 404 Media, amerykańskiemu FBI udało się uzyskać do treści wiadomości z komunikatora Signal, mimo iż same rozmowy były szyfrowane, a aplikacja została usunięta z urządzenia.
Sprawa dotyczy śledztwa związanego z wandalizmem w ośrodku detencyjnym ICE Prairieland w stanie Teksas. W trakcie procesu agent FBI zeznał, iż służbom udało się pozyskać część materiału dowodowego z iPhone’a jednej z oskarżonych osób. najważniejsze okazało się nie złamanie szyfrowania samej aplikacji, ale wykorzystanie danych zapisanych przez system operacyjny urządzenia.
Zgodnie ze słowami agenta, treść przychodzących wiadomości była zapisywana w wewnętrznej bazie powiadomień systemu iOS. Dotyczyło to sytuacji, w której użytkownik miał włączone podglądy wiadomości w powiadomieniach na ekranie blokady. W takim scenariuszu fragmenty lub całość wiadomości trafiały do pamięci urządzenia niezależnie od samej aplikacji. Oznacza to, iż choćby po usunięciu komunikatora z telefonu, dane związane z powiadomieniami mogły pozostać w systemie.
W analizowanym przypadku śledczy uzyskali dostęp do tych informacji poprzez „techniki informatyki śledczej”, które zakładają fizyczny dostęp do urządzenia i wykorzystanie specjalistycznego systemu do ekstrakcji danych.
Istotnym ograniczeniem tej metody było to, iż odzyskane zostały wyłącznie wiadomości przychodzące – nie udało się odtworzyć wiadomości wysyłanych przez użytkownika.
Redaktorzy serwisu 9to5Mac zwrócili uwagę, iż działania FBI były możliwe za sprawą architektury systemu powiadomień iOS. System operacyjny Apple’a zapisuje część danych lokalnie, aby użytkownik miał szybki dostęp do powiadomień oraz ich historii. Działa to niezależnie od samej aplikacji, która te powiadomienia wygenerowała. Mechanizm ten opiera się na założeniu, iż bezpieczeństwo danych zapewnia stan urządzenia – na przykład to, czy telefon jest zablokowany, czy został już odblokowany przez właściciela.
Znaczenie ma również sposób konfiguracji aplikacji. Signal oferuje ustawienia pozwalające ograniczyć zakres informacji wyświetlanych w powiadomieniach – od pełnej treści, przez samą nazwę nadawcy, po całkowite ukrycie danych. W opisywanym przypadku funkcja ograniczająca podgląd treści nie była aktywna.
Nie jest jasne, w jakim dokładnie stanie znajdowało się urządzenie w momencie ekstrakcji danych ani jakie narzędzia zostały użyte przez FBI. Agenci mogli przeanalizować kopię zapasową lub wykorzystać komercyjne narzędzia zdolne do pozyskiwania danych z systemów Apple.
Tak więc niezależnie jak dobre jest szyfrowanie metodą E2EE, należy pamiętać, iż zaczyna się ono i kończy w komunikatorze – wszystko poza nim pozostaje w rękach użytkownika.
Więcej na temat FBI:
- Użył miejskich kamer przeciwko służbom. Miał FBI na widelcu
- Apple pokazał mężczyźnie, gdzie się kończy prywatność. choćby mi go nie żal
- Kup iPhone’a jeżeli masz coś do ukrycia. choćby FBI wymiękło
Zdjęcie główne: DenPhotos / Shutterstock
