A Apple corrigiu um bug de segurança que, ao que parece, estava basicamente deixando uma porta dos fundos aberta para as autoridades bisbilhotarem mensagens deletadas do Signal. Opa.
Para quem achava que usar aplicativos criptografados como o Signal significava que seus segredos estavam seguros, aqui vai a má notícia: a Apple estava armazenando notificações push contendo partes dessas mensagens por até um mês. Isso mesmo - mesmo depois de você configurar a mensagem para autodestruição ou deletar o aplicativo completamente, um fantasma digital permanecia no banco de dados de notificações, só esperando uma intimação.
O problema veio à tona graças ao 404 Media, que conversou com participantes de uma audiência onde o FBI testemunhou que "extraiu forensemente cópias de mensagens recebidas do Signal do iPhone de um réu, mesmo após o aplicativo ter sido deletado, porque cópias do conteúdo foram salvas no banco de dados de notificações push do dispositivo." O caso em questão? A primeira vez que autoridades acusaram pessoas por supostas atividades "Antifa" depois que o presidente Trump designou o termo como organização terrorista. Porque claro que é esse o caso.
Na quarta-feira, a Apple confirmou que corrigiu o bug. Usuários afetados podem atualizar seus dispositivos para parar o que a Apple descreveu como "notificações marcadas para exclusão" que "poderiam ser inesperadamente retidas no dispositivo." Segundo a Apple, as notificações push nunca deveriam ter sido armazenadas, mas um "problema de registro" falhou em redatar os dados. Então foi menos um complô malicioso e mais um fumble burocrático - pouco consolo se você fosse o réu.
No Bluesky, o Signal celebrou a correção, dizendo que estava "muito feliz" que a Apple não arrastou os pés. "Somos gratos à Apple pela ação rápida aqui, e por entender e agir sobre os riscos desse tipo de problema", dizia o post. "É preciso um ecossistema para preservar o direito humano fundamental à comunicação privada." O Signal confirmou que após os usuários atualizarem seus dispositivos, "nenhuma ação é necessária para que esta correção proteja os usuários do Signal no iOS. Depois de instalar o patch, todas as notificações inadvertidamente preservadas serão deletadas e nenhuma notificação futura será preservada para aplicativos deletados."
Mas nem todo mundo está pronto para comemorar. No tópico do Signal, usuários debateram se a atualização é suficiente. Alguns argumentaram que a verdadeira lição é desabilitar completamente as prévias de mensagens, um sentimento ecoado pela presidente do Signal, Meredith Whittaker, que anteriormente aconselhou os usuários a definir as notificações para "Mostrar 'Sem Nome ou Conteúdo'" para evitar preocupações com privacidade. Um usuário do Bluesky, LofiTurtle, resumiu: "Ao ter prévias de mensagens nas notificações, você está dando ao sistema operacional acesso a esse conteúdo sem ter certeza de como ele lidará com essas mensagens. Este patch remove um método conhecido, mas para garantia total você deve apenas desligar as prévias para que o sistema operacional nunca veja isso em primeiro lugar."
Outro usuário, Alexndr, se perguntou o que mais poderia estar escondido nos caches de notificações do iOS: "O conteúdo da notificação sobrevivendo à exclusão do aplicativo é a parte louca. Feliz que foi corrigido, mas faz você se perguntar o que mais está sentado nos caches de notificações do iOS."
Uma visão mais caridosa veio de Coyote, que notou que o blog da Apple esclareceu que era um problema de registro, não de cache: "O conteúdo da notificação não deveria chegar aos logs de diagnóstico, mas às vezes chegava. Especificamente acontecia quando você recebia uma notificação que o telefone não conseguia processar, como quando o aplicativo para o qual ela era foi deletado."
Ainda assim, perguntas persistem. A Apple fez manchetes no ano passado por remover a criptografia de ponta a ponta no Reino Unido para evitar uma lei que facilitava a espionagem de chats criptografados por oficiais. E o 404 Media notou que globalmente, as autoridades têm cada vez mais confiado em notificações push como estratégia investigativa. No ano passado, a Apple cedeu a demandas legais que "deram a governos dados sobre milhares de notificações push." Então talvez não fique muito confortável.