FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database – Oder auch nicht…
The FBI was able to forensically extract copies of incoming Signal messages from a defendant’s iPhone, even after the app was deleted, because copies of the content were saved in the device’s push notification database, multiple people present for FBI testimony in a recent trial told 404 Media.
Interessanter Angriffsvektor.
Signal bietet die Option den Mitteilungsinhalt zu steuern:
In the Notifications menu under Settings in the Signal app, users can change what Notification Content appears. This includes Name, Content, and Actions; Name Only; and No Name or Content.
Hier ist der Author zu ungenau: appears oder an anderer Stelle blocks messsage content from displaying stellt sprachlich zu stark auf die Präsentation in der UI ab, und nicht auf die Frage, was vom Server an den Notifications-Dienst übermittelt wird.
Beim Versuch die Frage für mich zu klären, bin ich auf die folgenden Aussagen von Meredith Whittaker aus dem Jahr 2023 gestoßen:
PSA: We’ve received questions about push notifications. First: push notifications for Signal NEVER contain sensitive unencrypted data & do not reveal the contents of any Signal messages or calls–not to Apple, not to Google, not to anyone but you & the people you’re talking to. 1/
In Signal, push notifications simply act as a ping that tells the app to wake up. They don’t reveal who sent the message or who is calling (not to Apple, Google, or anyone). Notifications are processed entirely on your device. This is different from many other apps. 2/
What’s the background here? Currently, in order to enable push notifications on the dominant mobile operating systems (iOS and Android) those building and maintaining apps like Signal need to use services offered by Apple and Google. 3/
vApple simply doesn’t let you do it another way. And Google, well you could (and we’ve tried), but the cost to battery life is devastating for performance, rendering this a false option if you want to build a usable, practical, dependable app for people all over the world.* 4/
So, while we do not love Big Tech choke points and the control that a handful of companies wield over the tech ecosystem, we do everything we can to ensure that in spite of this dynamic, if you use Signal your privacy is preserved. 5/
Demnach sendet die Signal App über die jeweilige Notification-Infrastruktur nur einen “Ping” an das Gerät, wobei keinerlei Inhalte an Apple oder Google übertragen werden. Wie sollen dann entschlüsselte Inhalte in die jeweiligen Datenbanken gelangen?
Hat sich an dem Vorgehen etwas grundlegend verändert? Verstehe ich hier was falsch? Wer hat Recht?
Die sicherste Lösung dürfte das Deaktivieren der Push-Notifications sein. Das ist mit einem großen Funktionsverlust verbunden, macht aber die gesamte Diskussion gegenstandslos.