FBI, iPhone 알림 데이터에 저장된 용의자의 삭제된 Signal 메시지 추출

Source: Slashdot

Background

FBI는 피고인의 iPhone에서 Signal 앱이 삭제된 후에도 들어오는 Signal 메시지 복사본을 포렌식적으로 추출할 수 있었습니다. 해당 데이터는 텍사스 알바라도에 있는 ICE Prairieland 구금 시설에서 7월에 발생한 사건을 다룬 최근 재판에서 여러 증인의 증언에 따라 장치의 푸시‑알림 데이터베이스에서 복구되었습니다. 사건은 한 무리가 폭죽을 터뜨리고, 재산을 파손했으며, 한 명이 경찰관의 목을 총으로 쏜 사건이었습니다.

How the Extraction Worked

• Push‑notification storage: iPhone에서 Signal 앱이 메시지 알림 및 잠금 화면 미리보기를 허용하도록 설정된 경우, 시스템은 해당 미리보기를 내부 메모리에 저장합니다.
• Evidence presented: FBI 특수 요원 Clark Wiethorn은 메시지가 Apple의 내부 알림 저장소를 통해 전화기에서 복구되었다고 증언했습니다. 앱은 삭제되었지만, 들어오는 알림은 그대로 보존되었습니다. 복구된 것은 들어오는 메시지만이며, 발신 메시지는 포함되지 않았습니다.
• Exhibit 158: 지지자들이 게시한 요약에 따르면, 복구된 메시지는 협조 증인인 Lynette Sharp의 전화기에서 나온 것입니다. 표시된 메시지 중 일부는 Signal 내에서 사라지도록 설정되어 있었으며, 앱 자체에서는 더 이상 볼 수 없었습니다.

Implications for Signal Users

Signal은 메시지 내용이 푸시 알림에 표시되지 않도록 차단하는 설정을 포함하고 있습니다. 이 사례는 특히 장치가 법 집행 기관이나 물리적 접근 권한을 가진 다른 당사자의 손에 들어갈 수 있는 경우, 해당 기능을 활성화하는 것이 통신 비밀을 보호하는 데 얼마나 중요한지를 강조합니다.

Further Reading

• Apple Gave Governments Data On Thousands of Push Notifications
• Original report by 404 Media (quoted in the testimony)

This article was originally quoted from 404 Media and reported by an anonymous reader.