导语:你以为删掉App、清除聊天记录,数据就彻底消失了?安全研究员 @RedHatPentester 近日复现了一个让很多人脊背发凉的取证技术——即使用户早就卸载了Signal(信号),FBI仍能从iPhone的通知缓存数据库里恢复出消息明文。这不是Signal端到端加密的失败,而是iOS系统层面的取证缺陷。
一、FBI早就玩过这招:App删了,证据还在
据报道,FBI曾成功从一名嫌疑人的iPhone中恢复出已进入的Signal消息——而彼时,Signal应用早已被卸载好几个月了。
FBI靠的不是什么0day漏洞,也不是破解Signal的端到端加密(E2E Encryption)——他们用的是一项历史悠久的移动取证技术:对设备推送通知数据库进行痕迹分析。
安全研究员 @RedHatPentester 抱着试试看的心态,用同样的方法在自己设备上跑了一遍——结果成功了。
这意味着什么?
意味着在iOS系统层面,“已删除”和”彻底抹除”之间,隔着一个巨大的取证漏洞。
二、不是加密失效,是系统层面的缓存缺陷
@RedHatPentester 特别强调了一点:这不是Signal的锅。
Signal的端到端加密在实际通信层面是完整有效的——服务端看不到明文,中间的网络窃听者截不到内容。但问题出在iOS系统本身:
当一条消息通过苹果推送通知服务(APNs,即 Apple Push Notification service)送达iPhone时,iOS会根据用户的通知预览设置,在锁屏界面和通知中心生成一条消息预览。
这些预览文本,会被临时存储在系统级别的数据库和通知日志里。
问题就出在这里:写入速度快、清理速度慢。
iOS采用写优化的存储机制(write-optimized storage),被”删除”的数据块并不会立刻被覆写,而是标记为空闲区域,等待新数据覆盖。在这个窗口期内,取证工具完全可以把残留数据捞出来。
即使你卸载了App、删除了聊天记录,系统数据库里的通知碎片可能还完好无损地躺在那里。
三、取证工具眼里,”删除”只是掩耳盗铃
移动取证领域有个常识:只要存储介质没有物理损坏或被全盘覆写,被删除的数据就有可能被恢复。
这次的问题更进一步——即使你”规范操作”卸载了应用,数据依然留存在系统级缓存中,对取证工具完全透明。
部分数字取证软件甚至能自动识别并重组这些通知碎片,拼接出完整的消息内容。这对于调查人员来说简直是天上掉下来的证据宝库,但对于重视隐私的用户来说,无异于一场噩梦。

四、安卓也无法幸免
值得注意的是,这并非iOS独有的问题。
多位用户在评论区指出:安卓系统同样存在类似的通知缓存机制。在安卓设备上,你仍然可以在通知历史记录里看到已经”删除”的消息——路径通常是设置 > 通知 > 高级设置 > 通知历史记录。
换句话说,如果你在使用敏感应用,无论是iOS还是安卓,默认的通知预览都是一颗定时炸弹。
五、怎么自救?安全研究员支招
@RedHatPentester 给出了最直接的建议:
关闭或者禁用一切敏感应用的通知预览功能。
具体操作(以iPhone为例):
- 设置 > 通知 > 选择目标应用 > 关闭”显示预览”
- 或者直接进入「设置 > 通知」,将预览显示改为”解锁时”或”从不”
此外,他也向苹果喊话:希望苹果能够限制通知消息在系统内的缓存时间,从根本上减少用户面临的风险。
但在他看来,在苹果真正行动之前,最靠谱的方案只有一个——
把通知预览关掉。
六、红队视角的思考
站在攻击者的角度,这个取证路径给我们什么启示?
首先,移动设备的取证分析永远是蓝队绕不开的盲区。很多人以为用了端到端加密就高枕无忧,但忘了加密保护的是传输层,而操作系统本身的行为是不可配置的——你没法阻止iOS在本地生成通知预览,你能做的只是让这条预览不要显示明文。
其次,对于真正需要保护通信隐私的用户,光靠一款”安全”App是不够的——设备的安全配置同样关键。通知预览、锁屏预览、Siri建议……这些看似无害的系统功能,在取证场景下都可能成为数据泄露的入口。
最后,如果你是一名红队成员或者渗透测试工程师,记住:取证分析不只是执法部门的专利,了解这些机制才能更好地帮助客户做防御。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。














暂无评论内容