FBI, iPhone bildirim verileriyle silinmiş Signal mesajlarını geri getirdi

 (9to5mac.com)
1 puan yazan GN⁺ 19 일 전 | 1 yorum | WhatsApp'ta paylaş
  • FBI'ın iPhone'un dahili bildirim veritabanını kullanarak silinmiş Signal mesajlarını geri getirdiği bir vaka mahkeme ifadesiyle ortaya çıktı
  • Sanığın iPhone'unda Signal uygulaması silindikten sonra bile alınan bildirim içeriklerinin dahili depolamada kaldığı, bildirim önizleme ayarının ise devre dışı olduğu belirtildi
  • iPhone'un güvenlik durumları (AFU, BFU) ve yerel önbellek yapısı nedeniyle bazı verilerin sistem içinde kalıcı olabileceği görülüyor
  • Uygulama silindikten sonra bile push bildirim token'ının hemen geçersiz kılınmaması, sunucunun bildirim göndermeye devam etmiş ve iPhone'un bunları almış olabileceği ihtimalini gündeme getiriyor
  • Bu olay, şifreli mesajlaşma uygulamaları ile iOS bildirim sisteminin veri saklama yapısının gizlilik ve güvenlikte temel bir tartışma konusu haline geldiğini gösteriyor

FBI'ın iPhone bildirim verileriyle silinmiş Signal mesajlarını geri getirdiği vaka

  • FBI'ın iPhone'un dahili bildirim veritabanını kullanarak silinmiş Signal mesajlarını geri getirdiği bir vaka ortaya çıktı
    • 404 Media haberine göre bu durum, Teksas'ın Alvarado kentindeki ICE Prairieland gözaltı tesisinde havai fişek ve mala zarar verme olayına karışan sanıkların davasında verilen ifadelerle ortaya çıktı
    • FBI ajanı Clark Wiethorn, mahkemede delil toplama sürecini anlattı

  • Bildirim verilerinden geri getirilen mesajlar

    • Sanık Lynette Sharp'ın iPhone'unda Signal uygulaması silindikten sonra bile alınan mesaj içerikleri dahili bildirim deposunda kalmıştı
    • Mahkeme delil özeti (Exhibit 158) şu ifadeyi içeriyor: “Signal silinmişti ancak Apple'ın dahili bildirim deposu üzerinden alınan bildirimler dahili bellekte korunmuştu ve yalnızca gelen mesajlar geri getirildi”
    • Signal'da bildirim önizlemelerinde mesaj içeriğini gizleme ayarı bulunuyor, ancak sanığın bu ayarı devre dışı bırakmış olduğu anlaşıldı
    • Ne Signal ne de Apple, bildirim verilerinin nasıl saklandığı veya işlendiğine dair resmi bir açıklama yapmadı

  • Dahili saklama yapısı ve teknik arka plan

    • Sanığın iPhone durumuna ilişkin ayrıntılı teknik bilgi eksik olduğu için FBI'ın verileri tam olarak nasıl geri getirdiği net değil
    • iPhone'da BFU (Before First Unlock) ve AFU (After First Unlock) gibi farklı güvenlik durumları bulunuyor ve bu durumlara göre veri erişim izinleri değişiyor
    • Cihaz kilidi açılmış durumdayken sistem, kullanıcının cihazı doğrudan kullandığını varsaydığı için korunan verilere erişim kapsamı genişliyor
    • iOS, çeşitli güvenlik durumlarını güven temelli olarak yönetiyor ve kullanıcı kolaylığı için çok sayıda veriyi yerelde önbellek olarak saklıyor

  • Push bildirim token'ı ve verinin sistemde kalma ihtimali

    • Uygulama silinse bile push bildirim gönderiminde kullanılan token hemen geçersiz kılınmıyor

      • Sunucu uygulamanın silindiğini bilemeyeceği için son bildirimden sonra da push göndermeyi sürdürebilir ve iPhone'un bunları alıp dahili olarak işlemiş olma ihtimali bulunuyor
      • Apple kısa süre önce iOS 26.4'te push bildirim token doğrulama yöntemini değiştirdi; bu olayla doğrudan bağlantısı doğrulanmamış olsa da zamanlama açısından dikkat çekiyor

  • Veri çıkarma ihtimali ve soruşturma araçları

    • Exhibit 158'in açıklamasına göre FBI, Apple'ın dahili bildirim deposu üzerinden verileri geri getirdi; bu da bilgilerin cihaz yedeğinden çıkarılmış olabileceği ihtimalini doğuruyor
    • Kolluk kuvvetleri, iOS açıklarından yararlanarak veri çıkarabilen ticari adli bilişim araçlarına geniş ölçüde sahip ve FBI'ın bunları kullanmış olması da mümkün
    • 404 Media, bu olayın özgün raporunu ayrıca yayımladı

  • Olayın anlamı

    • Bu vaka, mesajlaşma uygulamasını silmenin veya şifrelemenin tek başına verinin tamamen silineceğini garanti etmediğini gösteren bir örnek olarak öne çıkıyor
    • iOS bildirim sisteminin veri saklama yapısı ve güvenlik yönetim biçimi, ileride gizlilik tartışmalarının temel başlıklarından biri haline gelebilir

İlgili okumalar

1 yorum

 
GN⁺ 19 일 전
Hacker News görüşleri

  • Kullanıcı açısından bakınca, Signal'in forward secrecy sunduğu için mesajların alındıktan sonra ortadan kaybolduğunu sanıyordum
    Ancak disappearing messages açılmazsa Cellebrite gibi adli bilişim araçları bunları geri getirebiliyor. Varsayılan olarak kapalı
    Açılsa bile mesaj bildirimde yer alıyorsa OS bunu saklayabiliyor. Apple gerçekten bunu yaptı ve bunu engelleyen bir seçenek var ama o da varsayılan olarak kapalı
    Uygulamayı silseniz bile mesajlar OS'te kalıyor. Sonuçta güvenlik ve kullanılabilirlik dengesi bozulduğunda bunun kullanıcı suçu değil, sistem tasarımı sorunu olduğunu düşünüyorum
    İlgili örnekleri yazımda derledim

    • Yedekler şifrelenmediği sürece uçtan uca şifreleme (E2EE) bir yanılsama diye düşünüyorum. Karşı taraf ADP kullanmıyorsa iMessage ya da WhatsApp'ta sadece depolama şifrelemesi uygulanıyor
      Android'deki WhatsApp da varsayılan olarak Google Drive'a şifrelenmemiş yedek önermeye devam ediyor
      Google, Apple ve Meta'nın PRISM sonrası bir tür mutabakatla “E2EE'ye izin verelim ama varsayılan ayarlarda erişilebilir kalsın” yaklaşımını benimsediğinden şüpheleniyorum
      Kullanıcıların çoğu varsayılan ayarları değiştirmediği için güvenlik fiilen etkisizleşiyor
    • Signal ne kadar güvenli olursa olsun, üstünde çalışan işletim sistemi ve ekosistem fazla karmaşık olduğu için gerçekten güvenli iletişim kurduğumuzdan emin olmak zor
      Meta veriler de (kimin ne zaman kiminle iletişim kurduğu) hâlâ açığa çıkıyor
    • Kullanıcıların çoğu varsayılan ayarları değiştirmediği için, bir uygulamanın güvenlik seviyesi aslında varsayılan ayarlarının güvenlik seviyesidir
    • Signal'in bildirimlere mesajı düz metin olarak koyması daha da ciddi.
      Şu yazıda anlatıldığı gibi, hassas veriler bildirime hiç konmamalı ya da şifrelenmiş payload olarak gönderilmeli
    • Gerçekten güvenli bir mesajlaşma uygulaması istiyorsanız SimpleX kullanmanızı öneririm. Whonix bunu tavsiye etti, Snowden da Whonix'i destekliyor
      Whonix Chat öneri sayfası

  • Signal ayarlarında
    Settings > Notifications > Notification Content > Show: “Name Only” ya da “No Name or Content” olarak değiştirirseniz
    ekranı gösterirken hassas mesajlar açığa çıkmaz. Bu olay da gösteriyor ki bu ayarın güvenlik açısından ek faydası var

    • Bu bir OS ayarı değil, Signal uygulamasının içindeki ayar. Sadece OS bildirim ayarını değiştirirseniz ekranda görünmeyi engellersiniz ama iç kayıt devam eder
    • Android'de Settings > Notifications > Messages > Show menüsünde bulunuyor
    • Varsayılan ayar en hassas seçeneği sunmalı. Güvenlik uygulamasında güvenli varsayılanlar şart
    • Apple Intelligence özetleme özelliğini de hassas uygulama bildirimleri için kapatmak iyi olur
    • Lockdown modu açılırsa buna benzer sorunlar dahil birçok açık aynı anda azaltılabilir

  • Signal'in bildirim önizleme ayarı kapalı değilse sistem mesaj içeriğini veritabanına kaydediyor
    Bu bildirim kayıtlarını macOS'ta ~/Library/Group Containers/group.com.apple.usernoted/db2/db yolunda görebilirsiniz
    Crank uygulaması ile SQL sorguları kullanarak çıkarmak mümkün

    • Android'de NotiStar gibi uygulamalarla bildirim geçmişi görülebilir.
      Ancak FCM(APNs) gibi merkezi bildirim altyapıları da arada veriyi saklıyor olabilir
    • Pixel'de bazı kayıtlar Settings > Notifications > Manage > Notification History altında görülebiliyor
    • iPhone'da kilit ekranında önizlemeler görünecek şekilde ayarlıysa bildirim içeriği düz metin olarak saklanıyor
      Varsayılan ayar “kilit açıldığında önizleme” ama bu durumda bile iç depolamanın şifrelenip şifrelenmediği belirsiz
      Sonuçta bu kullanıcı ayar hatasından kaynaklanan bir OPSEC sorunu ve bu açıdan Signal'in varsayılanı uygundu diye düşünüyorum
    • Android'de eskiden tüm bildirimleri gösteren bir protokol adres sayfası vardı. Kullanışlıydı ama artık pek kullanılmıyor

  • Signal'in neden her ay bildirimleri açmamı istemeye devam ettiğini merak ediyordum. Reddetmeme rağmen tekrar soruyordu

    • Signal geliştiricilerine göre bunun nedeni bildirim güvenilirliğiyle ilgili çok sayıda destek talebi gelmesi; yani kullanıcıların yanlışlıkla kapattığı durumu önlemeye çalışıyorlar. Yine de sıklığı fazla
    • Ama çoğu yazılım, kullanıcının tercihinden çok geliştiricinin ya da şirketin çıkarını öncelemeye başladı.
      Kullanıcı istemese de sürekli teşvik etmek artık yaygın bir UX kalıbı
    • Mesajlaşma platformları için kullanıcı ne kadar hızlı yanıt verirse o kadar başarılı sayıldığından, bildirimleri açtırmaya çalışmaları doğal bir strateji
    • iOS'un kendisi de bildirimler kapalıysa belli aralıklarla tekrar kontrol etmenizi isteyen bir yapıya sahip
    • WhatsApp'ın 2FA PIN'i gibi, belirli aralıklarla yeniden giriş istemesi de benzer bir mantık taşıyor

  • Gerçek mahkeme ifadeleri güvenlik durumunu doğrulamanın en gerçek yolu bence
    Teorik tartışmalardan çok, gerçek olaylarda hangi verilerin geri getirilebildiği önemli

    • Yine de hükümetler bazen siber yöntemlerini açığa çıkarmamak için davadan vazgeçebiliyor, bu yüzden her şey ortaya saçılmıyor
    • Mahkeme, nadiren de olsa gerçek teknik ayrıntıların açığa çıktığı yerlerden biri
    • Yakın zamandaki Trivy / LiteLLM olayı da güvenlikle ilgiliydi ama niteliği farklıydı
    • Ancak yolsuz devletlerde mahkeme sonuçları gerçeği yansıtmayabilir. Parallel construction diye bir şey var

  • “Sanık ayarı açmadığı için sistem mesajları sakladı” ifadesi aslında Apple'ın varsayılan ayarlarının sorunlu olduğunu gösteriyor
    Kullanıcıların çoğu ayarları değiştirmez ve Apple da bunu biliyor

    • Daha kötüsü, kullanıcıların zahmetle değiştirdiği güvenlik ayarlarının güncellemelerde sıfırlanması. Firefox'un gizlilik ayarları da sık sık böyle geri alınabiliyor
      Kasıtlı olmasa bile, biz kasıtlıymış gibi davranmak zorundayız
    • Güvenliği önemsiyorsanız kilit ekranı önizlemelerini mutlaka kapatmalısınız. Kilit ekranı herkesin görebileceği bir yer olduğu için varsayılan olarak özel değildir
    • Basın “sanık ayarları değiştirmedi” diye yazmak yerine “Apple sistemi verileri varsayılan olarak sakladı” diye yazsaydı algı farklı olurdu
      Sonuçta sorumluluk kullanıcıya yıkılıyor ve sistemi kuran şirketler “sistem” adlı anonim yapının arkasına saklanıyor
    • Kullanıcıların ayar değiştirme becerisine dair istatistik aradım; bilgisayar eğitimi seviyesi çok düşük. Sadece klavye eğitimi değil, dijital okuryazarlık gerekiyor

  • Orijinal makale: FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database

    • Ancak yalnızca abonelere açık olduğu için ayrıntılar sınırlı

  • Apple'ın uygulama silinse bile bildirim veritabanında kalan kayıtları neden temizlemediğini merak ediyorum.
    Eski bildirim içeriklerini saklamaya devam etmek güvenlik olaylarının tohumunu ekmek gibi

    • Böyle bir sorun ortaya çıkınca insan “bu neden daha önce fark edilmedi?” diye düşünüyor; o kadar bariz. Bundan sonra yapının değişeceğini tahmin ediyorum
    • Android'de uygulama silinince bildirim geçmişi kayboluyor ve bildirim geçmişi özelliğini kapatıp açarsanız eski veriler sıfırlanıyor
      Android resmi dokümanına göre kayıtlar yalnızca belirli bir süre tutuluyor
    • Ancak veri gerçekten flash belleğe yazıldıysa, silinse bile blokların kalmış olma ihtimali var
      wear leveling nedeniyle veriler yıllarca kalabilir
    • Çoğu veritabanında (sqlite vb.) satırı silmek, gerçek disk verisini hemen silmez.
      Dosya sistemi ve SSD seviyesinde de benzer durumlar yaşanır

  • Bu olay sonuçta uçtan uca şifrelemenin bir ucunun uygulama değil telefonun kendisi olduğunu gösteriyor
    WhatsApp'ta olduğu gibi mesajı bildirimden okuyunca okundu bilgisi gitmemesi, OS'in bir tür ortadaki adam (MITM) rolü oynadığını düşündürüyor

    • Ama bildirimi doğrudan Signal oluşturduğu için, echo "my_private_data" | notify-send gibi sadece bildirim göstermek başlı başına tehlikeli demek de doğru olmayabilir

  • Aslında bu bildirim verisi saklama sorunu uzun zamandır biliniyordu.
    RealityNet iOS Forensics References ve
    The Forensics Scooter yazısında bundan daha önce de söz edilmişti