ФБР извлекло копии входящих Signal-сообщений с iPhone Линетт Шарп (Lynette Sharp) через системную базу push-уведомлений iOS. Приложение Signal на устройстве было удалено, а сами сообщения настроены как исчезающие и уже пропали из чатов. Шарп — сотрудничающий свидетель по федеральному делу о нападении на ICE-изолятор в Алварадо, штат Техас. Подробности стали публичными благодаря показаниям спецагента ФБР Кларка Уитхорна (Clark Wiethorn) и материалу Exhibit 158, представленному в суде.
10 марта 2026 года, в один из последних дней показаний обвинения по делу Prairieland, Уитхорн представил Exhibit 158 в федеральном суде Форт-Уорта. Документ описывает извлечение Signal-сообщений с iPhone Шарп. К моменту, когда телефон попал к криминалистам, Signal с него уже был удалён, а исчезающие сообщения в приложении успели сработать по таймеру.
Читайте также: У Solana новый крупный взлом: из Drift Protocol вывели $286 млн, след ведёт к северокорейским хакерам
Шарп не защищалась в суде. Она пошла на сделку и согласилась давать показания против остальных. Ещё в 2025 году она признала вину в материальной поддержке терроризма как одна из семи человек, заключивших сделку до основного процесса. Извлечённые с её iPhone сообщения использовались как доказательство против девяти участников группы, не пошедших на сделку. Сам способ извлечения работает на любом iPhone, независимо от того, защищается человек в суде или сотрудничает со следствием.
Сообщения извлекли из системного хранилища push-уведомлений iOS. Когда iPhone получает push-уведомление с текстом сообщения, операционная система сохраняет содержимое во внутренней базе данных, чтобы показать его на экране блокировки и в Центре уведомлений. Эти записи хранятся независимо от приложения, которое их создало. Это не первый случай, когда iOS молча сохраняет на устройстве данные, о которых пользователь не знает. Удаление Signal базу уведомлений не очищает. Срабатывание исчезающего таймера внутри Signal на неё тоже не влияет.
Извлечены только входящие сообщения. Исходящие в базу уведомлений не попадают: устройство-отправитель не получает push-уведомление о собственном сообщении.
Угроза существует только тогда, когда устройство физически попадает к следствию или к опытному злоумышленнику. Досмотр на границе, обыск, арест, кража. Массовая слежка или удалённая компрометация этим способом невозможны.
Чаты удалось перехватить из-за того, как у неё были настроены уведомления. Каждый раз, когда уведомление появляется на экране блокировки, Apple сохраняет его во внутренней памяти устройства.
— Хармони Шуэрман (Harmony Schuerman), защитник одной из обвиняемых, по записям к Exhibit 158
Извлечение требует физического владения устройством и специализированного программного обеспечения. Криминалистические инструменты опираются на те же возможности, что и коммерческие цепочки эксплойтов для iOS. Инструменты Cellebrite, GrayKey и Belkasoft Evidence Center снимают полную копию файловой системы iPhone. На моделях iPhone 5S–X с iOS 12.3–13.4 для этого используется эксплойт checkm8. На более новых моделях, установка специального агента после разблокировки устройства. Резервные копии iTunes и iCloud для извлечения Signal-данных не подходят. Signal не записывает туда историю переписок.
Это не новый эксплойт и не уязвимость в Signal, в Signal уже несколько лет встроена защита от того, что произошло с iPhone Шарп. В настройках Signal есть три варианта для push-уведомлений. «Имя, содержимое и действия» по умолчанию небезопасен. «Только имя» показывает только имя отправителя. «Без имени и содержимого» вообще не передаёт содержимое сообщения операционной системе. В третьем варианте iOS просто нечего сохранять во внутреннюю базу уведомлений.
У Шарп эта настройка не была включена. Тот же след остаётся не только от Signal. Любое приложение, которое показывает текст сообщения в push-уведомлении, оставляет копию в базе уведомлений iOS. Telegram, iMessage и десятки других мессенджеров работают по той же схеме.
Похожий прецедент уже был в феврале 2021 года. По делу о торговле оружием в Нью-Йорке ФБР представило в суде скриншоты Signal-сообщений, извлечённых с iPhone в состоянии после первой разблокировки. Тогда тоже использовали физический доступ к устройству и коммерческие криминалистические инструменты. Signal в комментарии того времени отмечал, что при физическом владении устройством с активной сессией после первой разблокировки сквозное шифрование защитить уже не может.
4 июня 2025 года стало известно о другой стороне той же экосистемы. Apple передавала правительствам данные о тысячах push-уведомлений по легальным запросам, в ряде случаев включая не зашифрованный текст уведомлений. Практика впервые публично раскрыта в декабре 2023 года в письме сенатора Рона Уайдена (Ron Wyden) в Минюст США. Это другая история, не такая, как в деле Prairieland. Там речь шла о данных, которые Apple передавала властям со своей стороны, а не о локальной базе на физически изъятом устройстве. Но оба сюжета упираются в одну экосистему. О push-уведомлениях как канале утечки данных думают редко.
Apple на момент публикации не комментировала, как долго данные хранятся в системной базе уведомлений и при каких условиях очищаются. Signal комментариев по конкретному делу не давал. Минюст США и ФБР комментариев не предоставляли. Все доступные сведения исходят из публичных судебных заседаний и Exhibit 158.
Сквозное шифрование защищает сообщения в транзите и внутри приложения, но не контролирует, что произойдёт с ними после отображения пользователю. Push-уведомления, это операционная система, а не Signal. Настройки уведомлений в Signal по умолчанию выставлены на удобство, а не на максимальную защиту. Исчезающие сообщения дают ложное чувство безопасности, если у получателя включены превью с контентом.
Самое надёжное действие занимает 15 секунд. В Signal нужно открыть Settings → Notifications → Notification Content и выбрать «No Name or Content».
В русской версии приложения путь такой: Настройки → Уведомления → Содержимое уведомлений → «Без имени и содержимого».
После этого Signal перестаёт класть текст сообщения внутрь push-уведомления, и операционной системе нечего сохранять. Эта настройка надёжнее системной настройки iOS.
Читайте также: OpenSSL закрыла уязвимость с утечкой данных из буфера и пакет январских багов: что из этого реально опасно
На уровне самой iOS можно дополнительно зайти в Settings → Notifications → Show Previews и выбрать «Never» или «When Unlocked».
В русской версии: Настройки → Уведомления → Показ миниатюр → «Никогда» или «Если разблокировано».
Это снижает риск, что текст сообщения окажется на экране блокировки. Для повышенной модели угроз есть дополнительные меры. Lockdown Mode (iOS 16 и новее) сокращает число способов, которыми устройство можно атаковать. Регулярная полная перезагрузка переводит iPhone в состояние до первой разблокировки и сильно усложняет работу криминалистам. Длинный буквенно-цифровой пароль надёжнее 6-значного PIN. Advanced Data Protection в iCloud защищает резервные копии.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
