Una vicenda piuttosto inquietante sta facendo discutere chi si occupa di privacy e sicurezza digitale. L’FBI è riuscita a recuperare messaggi Signal cancellati da un iPhone, sfruttando i dati conservati nel database interno delle notifiche del dispositivo Apple. Una scoperta che solleva domande importanti su quanto davvero siano protette le comunicazioni che molti considerano blindate.
Il caso ruota attorno a un processo negli Stati Uniti che coinvolge un gruppo di persone accusate di aver vandalizzato e lanciato fuochi d’artificio contro l’ICE Prairieland Detention Facility di Alvarado, in Texas. Una delle imputate, Lynette Sharp, che si era dichiarata colpevole di aver fornito supporto materiale a terroristi, aveva sul proprio iPhone l’app Signal installata. O meglio, l’aveva avuta: al momento dell’analisi forense, l’applicazione era già stata rimossa dal dispositivo. Eppure, questo non è bastato a impedire all’FBI di mettere le mani sui contenuti dei messaggi in arrivo.
Durante il processo, l’agente speciale dell’FBI Clark Wiethorn ha testimoniato spiegando come i messaggi fossero stati recuperati attraverso il sistema di archiviazione interna delle notifiche di Apple. Signal era stato rimosso, ma le notifiche in arrivo erano rimaste conservate nella memoria interna del telefono. Un dettaglio fondamentale: sono stati recuperati solo i messaggi ricevuti, non quelli inviati.
Perché le notifiche hanno tradito la crittografia di Signal
Signal offre nelle proprie impostazioni un’opzione che impedisce di mostrare il contenuto effettivo dei messaggi nell’anteprima delle notifiche. Tuttavia, sembra che l’imputata non avesse attivato questa funzione. Questo ha fatto sì che il sistema operativo di iPhone memorizzasse il testo dei messaggi nel proprio database delle notifiche, rendendoli potenzialmente accessibili anche dopo la disinstallazione dell’app.
Né Apple né Signal hanno rilasciato dichiarazioni ufficiali su come vengano gestite o archiviate le notifiche in questi casi specifici. Il silenzio di entrambe le aziende, va detto, non aiuta a fare chiarezza.
Dal punto di vista tecnico, è impossibile stabilire con certezza il metodo esatto usato dall’FBI senza conoscere lo stato preciso dell’iPhone al momento dell’estrazione. Esistono diversi stati di sicurezza in cui può trovarsi un dispositivo Apple: BFU (Before First Unlock), AFU (After First Unlock) e altri ancora. Ognuno di questi livelli comporta vincoli differenti per l’accesso ai dati. Quando il dispositivo è sbloccato, il sistema assume che il proprietario sia presente e consente l’accesso a una gamma molto più ampia di dati protetti.
Quello che si sa è che iOS memorizza e conserva in locale parecchi dati, confidando nei diversi livelli di protezione per tenerli al sicuro ma allo stesso tempo prontamente disponibili per il legittimo proprietario. C’è poi un altro aspetto interessante: il token utilizzato per inviare le notifiche push non viene invalidato immediatamente quando un’app viene cancellata. Il server, non avendo modo di sapere se l’app è ancora installata dopo l’ultima notifica inviata, può continuare a inviare notifiche, lasciando all’iPhone il compito di decidere se mostrarle o meno.
Una coincidenza di tempi con iOS 26.4
Un fatto che non è passato inosservato: Apple ha da poco modificato il modo in cui iOS 26.4 gestisce la validazione dei token delle notifiche push. È impossibile stabilire se questa modifica sia una conseguenza diretta di questo caso specifico, ma la tempistica è quantomeno degna di nota.
Tornando al processo, la descrizione dell’Exhibit 158 afferma che i messaggi “sono stati recuperati dal telefono di Sharp attraverso il sistema di archiviazione interna delle notifiche di Apple”. Questo lascia pensare che l’FBI possa aver estratto le informazioni da un backup del dispositivo. Sul mercato esistono diversi strumenti commerciali a disposizione delle forze dell’ordine che sfruttano vulnerabilità di iOS per estrarre dati, e che potrebbero aver giocato un ruolo chiave in questa operazione.
