Σύνοψη
Το FBI ανέκτησε επιτυχώς διαγραμμένα εισερχόμενα μηνύματα από την εφαρμογή Signal σε iPhone, ακόμη και μετά την πλήρη απεγκατάσταση της εφαρμογής από τον χρήστη. Η υποκλοπή δεν προήλθε από σπάσιμο της κρυπτογράφησης του Signal, αλλά μέσω της τοπικής βάσης δεδομένων ειδοποιήσεων του iOS (Push Notification Database), η οποία αποθηκεύει προεπισκοπήσεις μηνυμάτων. Αφορά αποκλειστικά τα εισερχόμενα μηνύματα (καθώς τα εξερχόμενα δεν παράγουν ειδοποιήσεις) και περιλαμβάνει ακόμη και μηνύματα που είχαν ρυθμιστεί να εξαφανίζονται (disappearing messages). Το φαινόμενο επηρεάζει οποιαδήποτε εφαρμογή ανταλλαγής μηνυμάτων προβάλλει περιεχόμενο στην οθόνη κλειδώματος του iPhone. Οι χρήστες μπορούν να θωρακίσουν τις συσκευές τους αλλάζοντας τις ρυθμίσεις του Signal ώστε να μην εμφανίζεται ούτε το όνομα του αποστολέα ούτε το περιεχόμενο στην ειδοποίηση (No Name or Content).
Το FBI αξιοποίησε τις τοπικές δομές αποθήκευσης του λειτουργικού συστήματος της Apple, αντλώντας προεπισκοπήσεις μηνυμάτων απευθείας από την εσωτερική βάση ειδοποιήσεων του iOS (iOS Notification Center Database). Ακόμα και όταν ο χρήστης διαγράφει μια εφαρμογή ή ένα μήνυμα καταστρέφεται αυτόματα, το λειτουργικό σύστημα διατηρεί αρχεία καταγραφής των ειδοποιήσεων που εμφανίστηκαν στην οθόνη κλειδώματος, επιτρέποντας την εξαγωγή των δεδομένων αυτών μέσω εξειδικευμένου εξοπλισμού.
Η πρόσφατη ανακάλυψη, η οποία προήλθε από δικογραφία στις ΗΠΑ, αποδεικνύει ότι η διαγραφή μιας εφαρμογής δεν συνεπάγεται και την πλήρη εξάλειψη του ψηφιακού της αποτυπώματος στη συσκευή. Στη συγκεκριμένη περίπτωση, οι αρχές είχαν φυσική πρόσβαση στο iPhone ενός κατηγορούμενου. Χρησιμοποιώντας εξειδικευμένα εργαλεία ανάκτησης δεδομένων κατόρθωσαν να εξάγουν το περιεχόμενο των εισερχόμενων μηνυμάτων.
Είναι απολύτως κρίσιμο να κατανοηθεί η τεχνική διάσταση της υπόθεσης: Η κρυπτογράφηση από άκρο σε άκρο (End-to-End Encryption – E2EE) που χρησιμοποιεί το πρωτόκολλο του Signal παραμένει άθικτη. Τα μηνύματα μεταφέρθηκαν με ασφάλεια μέσω του διαδικτύου. Η διαρροή δεδομένων συνέβη στο τελικό σημείο (endpoint), δηλαδή μέσα στην ίδια τη συσκευή, αφού το μήνυμα αποκρυπτογραφήθηκε και το λειτουργικό σύστημα ζήτησε να δημιουργηθεί μια ειδοποίηση για τον χρήστη.
Ο μηχανισμός διαχείρισης ειδοποιήσεων της Apple βασίζεται στην υπηρεσία Apple Push Notification service (APNs). Όταν ένα μήνυμα φτάνει στη συσκευή, το iOS δημιουργεί μια ειδοποίηση και την αποθηκεύει σε μια τοπική βάση δεδομένων SQLite, ώστε να μπορεί να προβληθεί στο Κέντρο Ειδοποιήσεων (Notification Center) ή στην οθόνη κλειδώματος.
Αυτή η τοπική αποθήκευση λειτουργεί ανεξάρτητα από την ίδια την εφαρμογή. Συνεπώς:
Μόνο τα εισερχόμενα εκτίθενται: Οι αρχές βρήκαν αποκλειστικά εισερχόμενα μηνύματα, διότι τα εξερχόμενα μηνύματα δεν δημιουργούν ειδοποιήσεις στο κινητό του αποστολέα. Τα μηνύματα που εξαφανίζονται (Disappearing Messages) παραμένουν στη μνήμη του συστήματος: Ακόμα και αν ο χρήστης έχει ρυθμίσει το Signal να διαγράφει τα μηνύματα μετά από 5 λεπτά, το περιεχόμενο της ειδοποίησης που εμφανίστηκε αρχικά στην οθόνη του iOS παραμένει εγγεγραμμένο στο αρχείο καταγραφής του λειτουργικού. Η διαγραφή του app δεν αρκεί: Η απεγκατάσταση του Signal διέγραψε τη βάση δεδομένων της ίδιας της εφαρμογής, αλλά άφησε ανέπαφα τα logs των ειδοποιήσεων του iOS.
Το ζήτημα αφορά εξίσου το WhatsApp, το Telegram, το Viber, το ProtonMail και οποιαδήποτε άλλη εφαρμογή έχει άδεια να προβάλλει κείμενο στην οθόνη κλειδώματος ενός iPhone ή ενός iPad.
Οι εφαρμογές κρυπτογραφημένης επικοινωνίας αποκτούν ολοένα και μεγαλύτερη βάση χρηστών (τόσο στον εταιρικό όσο και στον ιδιωτικό τομέα), επομένως, η γνώση αυτών των μηχανισμών είναι απαραίτητη. Η λύση στο συγκεκριμένο πρόβλημα είναι τεχνικά απλή και ενσωματωμένη ήδη στις ρυθμίσεις του Signal.
Για να αποτρέψετε το λειτουργικό σύστημα (είτε είναι iOS είτε Android) από το να καταγράφει το περιεχόμενο των μηνυμάτων σας:
Ανοίξτε την εφαρμογή Signal. Μεταβείτε στις Ρυθμίσεις (Settings). Επιλέξτε Ειδοποιήσεις (Notifications). Στην ενότητα Εμφάνιση (Show), αλλάξτε τη ρύθμιση σε “Χωρίς όνομα ή περιεχόμενο” (No Name or Content).
Με αυτή την αλλαγή, όταν λαμβάνετε ένα μήνυμα, το iPhone θα ειδοποιεί απλώς με τον ήχο ή τη δόνηση και η οθόνη θα γράφει μόνο “Νέο μήνυμα”. Το iOS δεν θα λάβει ποτέ το πραγματικό κείμενο, και επομένως η βάση δεδομένων του Notification Center δεν θα έχει κανένα απολύτως χρήσιμο στοιχείο προς ανάκτηση.
Η συγκεκριμένη υπόθεση αποτελεί το απόλυτο μάθημα για την ασφάλεια των τερματικών συσκευών. Η βιομηχανία της τεχνολογίας τείνει να επικεντρώνεται στην κρυπτογράφηση της μετάδοσης, αγνοώντας συχνά τον τρόπο με τον οποίο τα λειτουργικά συστήματα χειρίζονται τα δεδομένα όταν αυτά βρίσκονται σε κατάσταση ηρεμίας. Η συμπεριφορά του iOS δεν συνιστά τεχνικό σφάλμα, αλλά επιλογή σχεδιασμού της Apple για τη διευκόλυνση της εμπειρίας χρήστη. Όμως, η ευκολία και η απόλυτη ιδιωτικότητα ακολουθούν πάντα αντίστροφα ανάλογη πορεία.
Είναι εντυπωσιακό το γεγονός ότι οι σύγχρονες μέθοδοι δεν απαιτούν πλέον την αποκρυπτογράφηση των ίδιων των βάσεων δεδομένων μιας εφαρμογής. Αντ’ αυτού, στοχεύουν απευθείας στο λειτουργικό σύστημα, αναζητώντας τα «ψίχουλα» δεδομένων που αφήνουν πίσω τους οι ειδοποιήσεις, το πληκτρολόγιο ή το πρόχειρο. Ο χρήστης που απαιτεί πραγματική ανωνυμία και ασφάλεια οφείλει να περιορίσει δραστικά την ευκολία χρήσης της συσκευής του. Η απενεργοποίηση των προεπισκοπήσεων στην οθόνη κλειδώματος είναι το ελάχιστο πρώτο βήμα προς την πλήρη ψηφιακή αυτοδιάθεση, αποδεικνύοντας ότι το πραγματικό αδύναμο σημείο στις κρυπτογραφημένες επικοινωνίες είναι η ίδια η ευκολία της καθημερινότητάς μας.