FBI가 iPhone 알림 데이터를 사용해 삭제된 Signal 메시지를 복구

Source: 9to5Mac

새로운 보고서가 404 Media에 따르면, FBI는 iPhone의 알림 데이터베이스에 저장된 데이터를 추출함으로써 삭제된 Signal 메시지를 복구할 수 있었다. 자세한 내용은 다음과 같다.

Signal이 삭제된 후에도 알림 기록에 접근됨

404 Media에 따르면, “텍사스 알바라도에 있는 ICE Prairieland 구금 시설에서 폭죽을 터뜨리고 재산을 파손한 일단의 사람들”에 관한 최근 재판에서 증언이 있었는데, 이 증언에 따르면 FBI는 피고인의 iPhone에서 Signal이 기기에서 제거된 상태에서도 수신된 Signal 메시지의 내용을 복구했다.

피고인 중 한 명인 Lynette Sharp는 이전에 테러리스트에 대한 물질적 지원을 제공한 혐의로 이미 유죄를 인정했다. 재판 중 FBI 특수 요원 Clark Wiethorn이 수집된 증거에 대해 증언했으며, 지지자 웹사이트에 게시된 전시물 158의 요약은 다음과 같다:

“Sharp의 전화기에서 Apple 내부 알림 저장소를 통해 메시지가 복구되었다—Signal은 삭제되었지만, 수신 알림은 내부 메모리에 보존되었다. 오직 수신 메시지만 캡처되었으며(발신은 없음).”

Signal 설정에는 알림에서 메시지 내용을 미리 보기 하지 않도록 하는 옵션이 있다. 피고인은 이 설정을 활성화하지 않은 것으로 보이며, 그 결과 시스템이 알림 데이터베이스에 내용을 저장하게 되었다.

404 Media는 Signal과 Apple에 연락했지만, 두 회사 모두 알림이 어떻게 처리·저장되는지에 대한 진술을 제공하지 않았다.

하지만 이 내부 저장소는 어떻게 작동할까?

FBI가 사용한 정확한 기술적 방법은 아직 명확하지 않지만, 몇 가지 관련 요소가 있다:

• iOS에는 데이터 접근성을 좌우하는 여러 보안 상태(예: BFU – 첫 번째 잠금 해제 전, AFU – 첫 번째 잠금 해제 후)가 있다. 기기가 잠금 해제되면 시스템은 사용자가 존재한다고 가정하고 보호된 데이터에 대한 보다 넓은 접근을 허용한다.
• iOS는 상당량의 데이터를 로컬에 캐시하며, 이러한 상태를 활용해 정보를 안전하게 보관하면서도 필요 시 쉽게 접근할 수 있게 한다.
• 푸시 알림에 사용되는 토큰은 앱이 삭제되더라도 즉시 무효화되지 않는다. 서버는 마지막 알림 이후 앱이 여전히 설치되어 있는지 알 수 없기 때문에 푸시 전송을 계속할 수 있으며, iPhone이 해당 알림을 표시할지 여부를 결정한다.
• Apple은 최근 iOS 26.4에서 푸시‑알림 토큰 검증 방식을 변경했다. 이 사건과 직접적인 연관성을 확인하기는 어렵지만, 시점이 눈에 띈다.

전시물 158의 설명에 “메시지가 Apple 내부 알림 저장소를 통해 Sharp의 전화기에서 복구되었다”는 내용이 포함된 만큼, FBI가 기기 백업에서 데이터를 추출했을 가능성이 있다. iOS 취약점을 이용하는 상업용 도구가 법 집행 기관에 제공되고 있으며, 이러한 도구가 이번 추출을 가능하게 했을 것으로 추정된다.

404 Media의 원본 보고서를 읽으려면, 이 링크를 따라가세요.

Post by _inside@mastodon.social – View on Mastodon.