Apple finalmente corregge bug che permetteva alla polizia di leggere i tuoi messaggi Signal cancellati, perché ovviamente era una cosa

Apple ha corretto un bug di sicurezza che, a quanto pare, lasciava praticamente una porta aperta per le forze dell'ordine per curiosare sui messaggi Signal cancellati. Oops.

Per chi pensava che usare app crittografate come Signal significasse che i propri segreti fossero al sicuro, ecco la fregatura: Apple conservava le notifiche push contenenti parti di quei messaggi fino a un mese. Esatto - anche dopo aver impostato il messaggio per autodistruggersi o aver cancellato del tutto l'app, un fantasma digitale rimaneva nel database delle notifiche, in attesa di un mandato di comparizione.

Il problema è venuto alla luce grazie a 404 Media, che ha parlato con i partecipanti a un'udienza in cui l'FBI ha testimoniato di aver "estratto forensicamente copie dei messaggi Signal in arrivo dall'iPhone di un imputato, anche dopo che l'app era stata cancellata, perché copie del contenuto erano state salvate nel database delle notifiche push del dispositivo". Il caso in questione? La prima volta che le autorità hanno accusato persone per presunte attività "Antifa" dopo che il presidente Trump ha designato il termine come organizzazione terroristica. Perché ovviamente è quello il caso.

Mercoledì, Apple ha confermato di aver corretto il bug. Gli utenti interessati possono aggiornare i propri dispositivi per fermare ciò che Apple ha descritto come "notifiche contrassegnate per l'eliminazione" che "potevano essere inaspettatamente conservate sul dispositivo". Secondo Apple, le notifiche push non avrebbero mai dovuto essere memorizzate, ma un "problema di registrazione" non ha oscurato i dati. Quindi era più un pasticcio burocratico che un complotto malizioso - magra consolazione se eri l'imputato.

Su Bluesky, Signal ha celebrato la correzione, dicendo di essere "molto felice" che Apple non abbia perso tempo. "Siamo grati ad Apple per l'azione rapida qui, e per aver compreso e agito sulla posta in gioco di questo tipo di problema", si legge nel post. "Ci vuole un ecosistema per preservare il diritto umano fondamentale alla comunicazione privata". Signal ha confermato che dopo che gli utenti aggiornano i loro dispositivi, "non è necessaria alcuna azione per questa correzione per proteggere gli utenti di Signal su iOS. Una volta installata la patch, tutte le notifiche conservate involontariamente verranno cancellate e nessuna notifica futura verrà conservata per le applicazioni eliminate".

Ma non tutti sono pronti a darsi il cinque. Sul thread di Signal, gli utenti hanno discusso se l'aggiornamento sia sufficiente. Alcuni hanno sostenuto che la vera lezione è disabilitare completamente le anteprime dei messaggi, un sentimento condiviso dalla presidente di Signal Meredith Whittaker, che in precedenza aveva consigliato agli utenti di impostare le notifiche su "Mostra 'Nessun nome o contenuto'" per evitare problemi di privacy. Un utente di Bluesky, LofiTurtle, ha riassunto: "Avendo le anteprime dei messaggi nelle notifiche, stai dando al sistema operativo l'accesso a quel contenuto senza essere sicuro di come gestirà quei messaggi. Questa patch rimuove un metodo noto, ma per la massima sicurezza dovresti semplicemente disattivare le anteprime in modo che il sistema operativo non lo veda mai in primo luogo".

Un altro utente, Alexndr, si è chiesto cos'altro potrebbe nascondersi nelle cache delle notifiche di iOS: "Il contenuto delle notifiche che sopravvive alla cancellazione dell'app è la parte pazzesca. Contento che sia stato corretto, ma fa chiedere cos'altro ci sia nelle cache delle notifiche di iOS".

Un'opinione più indulgente è arrivata da Coyote, che ha notato che il blog di Apple ha chiarito che era un problema di registrazione, non di caching: "Il contenuto delle notifiche non doveva finire nei log diagnostici ma a volte lo faceva. Accadeva specificamente quando ricevi una notifica che il telefono non può gestire, come quando l'app a cui è destinata è stata cancellata".

Tuttavia, rimangono domande. Apple ha fatto notizia l'anno scorso per aver ritirato la crittografia end-to-end nel Regno Unito per evitare una legge che rendeva più facile per le autorità spiare le chat crittografate. E 404 Media ha notato che a livello globale, le forze dell'ordine hanno sempre più fatto affidamento sulle notifiche push come strategia investigativa. L'anno scorso, Apple ha ceduto a richieste legali che "hanno dato ai governi dati su migliaia di notifiche push". Quindi forse non mettetevi troppo comodi.