La sicurezza inviolabile dei nostri dati personali è un tema costantemente al centro del dibattito tecnologico mondiale, e un nuovo e affascinante caso giudiziario solleva interrogativi importantissimi su quanto le nostre conversazioni siano realmente inaccessibili a occhi indiscreti. Secondo un recente e dettagliato rapporto investigativo pubblicato dal portale 404 Media, l’FBI è riuscita in un’impresa apparentemente impossibile: recuperare con successo svariati messaggi di Signal (l’app di messaggistica universalmente nota per i suoi standard di crittografia militare) precedentemente cancellati da un iPhone finito sotto indagine. Il segreto di questa delicata operazione informatica? L’estrazione mirata e profonda dei dati conservati silenziosamente all’interno del database delle notifiche del sistema operativo di Apple.
Come l’FBI ha aggirato l’eliminazione dell’app
Il caso in questione riguarda un’indagine federale su atti di vandalismo avvenuti in Texas. Durante il processo, l’agente speciale dell’FBI Clark Wiethorn ha testimoniato illustrando tecnicamente come gli investigatori siano riusciti a mettere le mani su prove digitali che l’imputato credeva di aver distrutto per sempre. Dai documenti processuali è emerso un dettaglio sconvolgente, riassunto così dalla corte: i messaggi sono stati recuperati dalla memoria interna del telefono sfruttando unicamente lo storage interno delle notifiche di Apple.
Nonostante l’applicazione Signal fosse stata completamente disinstallata e rimossa da iPhone dell’indagato, il sistema operativo aveva continuato a conservare una traccia scritta all’interno della memoria cache. Poiché l’estrazione si basava esclusivamente sulle notifiche push ricevute a schermo, l’FBI è riuscita a ricostruire fedelmente i messaggi in entrata (le risposte ricevute dai complici), mentre i messaggi in uscita (quelli inviati dall’imputato stesso) non sono stati catturati, in quanto non generano notifiche locali.
L’importanza vitale delle impostazioni di privacy
Il successo di questa estrazione forense evidenzia un potenziale e grave punto debole nelle abitudini di utilizzo degli smartphone da parte degli utenti. Ecco i fattori tecnici che hanno reso possibile il recupero dei dati:
• Anteprime attive: L’app di Signal offre un’opzione di privacy specifica che impedisce di mostrare il testo dei messaggi nelle notifiche push (sostituendolo con un generico “Nuovo messaggio”). Purtroppo per l’imputato, questa barriera non era stata abilitata. Di conseguenza, il testo in chiaro veniva elaborato liberamente da iOS per essere mostrato sulla schermata di blocco.
• Database interno di iOS: Per garantire fluidità e permettere all’utente di consultare il Centro Notifiche, iOS archivia i log e i testi delle notifiche in un database locale nascosto nei meandri del sistema file.
• Token persistenti: Quando eliminiamo un’app dall’iPhone, il “token” univoco utilizzato dai server per inviare le notifiche push non viene invalidato o distrutto in modo istantaneo. Il server mittente, ignorando che l’app sia stata rimossa, potrebbe continuare a spingere pacchetti dati verso il dispositivo, lasciando al telefono il compito di gestirli o immagazzinarli in background.
La contromossa di Apple con iOS 26.4
Per poter estrarre questo database, che in condizioni normali risulta inaccessibile, è altamente probabile che le forze dell’ordine abbiano utilizzato sofisticati e costosissimi software forensi (come quelli forniti da aziende come Cellebrite o Grayshift), in grado di sfruttare vulnerabilità di sistema per forzare l’accesso ai backup interni del dispositivo anche in presenza di un blocco schermo attivato. Al momento, né i vertici di Apple né i portavoce di Signal hanno rilasciato dichiarazioni ufficiali per commentare la vicenda.
Tuttavia, c’è un dettaglio tecnico che non è passato inosservato agli occhi degli sviluppatori e degli esperti di sicurezza informatica. Con il recentissimo rilascio dell’aggiornamento iOS 26.4, Apple ha modificato in modo profondo e silenzioso il modo in cui il sistema convalida e gestisce i token delle notifiche push. Che si tratti di una pura coincidenza temporale o di una reazione diretta volta a chiudere questa specifica vulnerabilità sfruttata dall’FBI, è evidente che la battaglia tra la tutela della privacy assoluta e gli strumenti di indagine governativa sia destinata a continuare.
[fonte]