圈小蛙
Signal一直被视为最安全的端到端加密聊天工具,Signal上的所有通信都是加密的,它的信息在传输过程中不会被人窃取,这意味着只有聊天的人才能看到文本——即使是 Signal 的员工也不知道用户在说什么。去年美政府群聊泄密丑闻后,Signal在美国的下载量激增。
然而,近日披露的一份法庭证词显示,FBI 技术人员成功从一名犯罪嫌疑人的 iPhone 中恢复了早已被删除的 Signal 加密消息。令人惊讶的是,即便嫌疑人已经卸载了 Signal 应用,FBI 依然通过 iOS 系统底层的“通知数据库”提取到了消息内容。这一发现暴露了即时通讯软件在操作系统层面的隐私盲区,也为所有依赖端到端加密的用户敲响了警钟。
端到端加密(E2EE)技术一直被视为保护个人隐私的最后堡垒,但现实证明,堡垒往往是从内部被瓦解的。根据 404 Media 最早披露的一份庭审记录,美国联邦调查局(FBI)在针对一起袭击事件的调查中,利用 iPhone 系统的一个“冷门”数据库,还原了关键的证据。
法庭证词揭开的技术秘密
这起案件的背景可以追溯到此前发生在德克萨斯州阿尔瓦拉多(Alvarado)的 ICE 普雷里兰拘留中心(ICE Prairieland Detention Facility)的一起破坏活动。在该案件于 2026 年 3 月的庭审中,FBI 特工克拉克·威索恩(Clark Wiethorn)在证词中提到,他们从被告 Lynette Sharp 的 iPhone 中提取到了本应被物理清除的 Signal 消息。
根据现场支持者网站记录的“第 158 号证物”描述,尽管 Lynette Sharp 在被捕前已经从手机中删除了 Signal 应用程序,但 FBI 通过提取 Apple 内部的“通知存储区”(internal notification storage)成功找回了这些消息。据 9to5mac 报道,这些被恢复的消息仅包含“接收”的消息,而不包含嫌疑人发出的消息。
为什么删除应用无法抹除痕迹?
从技术角度来看,这一漏洞源于 iOS 处理推送通知的机制。当 iPhone 收到一条来自 Signal 的加密消息时,系统会生成一条通知弹窗。如果用户没有在 Signal 设置中关闭“消息预览”,那么这些消息的明文内容就会在通知中心显示。为了维持这一功能,iOS 系统会在内部的数据库(通常是 com.apple.notificationcenter 相关的 SQLite 文件)中缓存这些通知内容。
致命的问题在于,当用户删除应用程序时,iOS 并不一定会立即清理关联的通知历史数据库。据 Heise Online 分析,即使 Signal 本身具有“阅后即焚”功能,一旦消息内容进入了操作系统的通知流,它的生命周期就不再受 Signal 应用控制,而是受控于 iOS 的存储策略。FBI 的电子取证专家通过物理接触设备,利用专用的取证软件(如 Cellebrite 或 MSAB)进入手机的 AFU(解锁后)状态,便能轻松读取这些未被覆盖的数据库记录。
苹果的“迟到”更新与防范建议
有趣的是,就在该案件引发关注的同时,苹果在最新发布的 iOS 26.4 版本中,对推送通知令牌的验证机制进行了调整。虽然苹果官方并未明确表示此举是为了修补上述漏洞,但 9to5mac 指出,新系统在应用卸载后对通知数据的处理变得更加严谨。
对于极度关注隐私的用户来说,这起案例提供了一个极其重要的第一性原理教训:加密应用的安全边界止步于操作系统。如果你在 iPhone 上使用 Signal、Telegram 或 WhatsApp,请务必执行以下操作以降低风险:
- 关闭消息预览:在 Signal 的“设置 -> 通知 -> 显示”中,将选项改为“无名称或消息”,这样通知数据库中只会记录“收到一条消息”,而不会存储实际内容。
- 定期清理通知中心:手动清除通知中心的历史记录,虽不能保证物理抹除,但能增加取证难度。
- 使用强开机密码:由于 FBI 的提取手段通常依赖于获取设备后的取证分析,更复杂的密码(非生物识别)能有效防止设备进入 AFU 状态。
这一事件再次证明,即便拥有顶级的端到端加密算法,如果操作系统层面的“旁路”存在数据残留,隐私安全依然是一句空话。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️