iOS: Gelöschte Signal-Daten von FBI via Benachrichtigungsdatenbank extrahiert
Trotz der Tatsache, dass eine Verdächtige die gesamte App entfernt hatte, konnten FBI-Forensiker noch Signal-Nachrichten finden. Sie verwendeten einen Trick.
Jacke mit FBI-Schriftzug: Signal wieder gefunden.
(Bild: Dzelat / Shutterstock.com)
Im Zusammenhang mit Ermittlungen gegen Personen, die die US-Regierung „Antifa“-Gruppen zuordnet, hat die Bundespolizeibehörde FBI Daten von einem iPhone wiederherstellen können, die eigentlich als gelöscht galten. Das berichtet das Magazin 404 Media. Dabei gelang es den Forensikern, einlaufende Signal-Nachrichten aus der iOS-Benachrichtigungsdatenbank zu extrahieren, obwohl Signal selbst auf dem Gerät nicht mehr vorhanden war. Bei dem Fall ging es um Angriffe auf ein Gefängnis der US-Grenzschutzbehöre ICE in Texas im vergangenen Sommer, das laut FBI mit Feuerwerk beschossen und „mutwillig beschädigt“ worden war. Zudem wurde mindestens ein Polizist verletzt.
In Signal weg, in der iPhone-Datenbank nicht
Der Trick, den die FBI-Analysten verwendeten, wurde im Rahmen eines Prozesses gegen die Beteiligten bekannt. Eine Person, die aufseiten der Angeklagten den Prozess beobachtete, teilte 404 Media mit, man habe erfahren, dass bei aktiven Signal-Benachrichtigungen samt Vorschau diese Daten auch im internen Speicher des iPhones landeten. Dort wurden sie dann vom FBI forensisch extrahiert. Im Rahmen der Beweisaufnahme hieß es: „Die Nachrichten wurden über den internen Benachrichtigungsspeicher von Apple vom Handy wiederhergestellt – Signal war zwar deinstalliert worden, doch die eingehenden Benachrichtigungen waren im internen Speicher erhalten geblieben. Es wurden nur eingehende Nachrichten erfasst (keine ausgehenden).“
Videos by heise
Interessanterweise soll die betroffene Person Signal so eingestellt haben, dass die eingehenden Nachrichten automatisch verschwinden. In der Benachrichtigungsdatenbank geschieht dies allerdings offenbar nicht. 404 Media geht davon aus, dass nicht nur Signal von dieser Tatsache betroffen ist, sondern auch andere Anwendungen, die Benachrichtigungen nutzen.
Auch auf den Servern gibt es Push-Daten
In diesem Fall waren nur lokale Daten einsehbar, Apple und andere Betreiber von Smartphone-Diensten sollen in der Vergangenheit aber auch Informationen von ihren Push-Servern mit Behörden geteilt haben. Auf eine Anfrage von 404 Media reagierte Apple nicht. Das Verfahren endete mit einer Verurteilung, eine der Personen wurde wegen versuchten Mordes schuldig gesprochen.
Signal reagierte auf eine Nachfrage, antwortete später aber nicht mehr, so das Magazin. In der App ist es möglich, die Vorschau von Nachrichten zu unterbinden. Damit dürften diese auch nicht in der Benachrichtigungsdatenbank landen. Es ist aber auch möglich, alle Benachrichtigungen abzuschalten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
