FBI khôi phục tin nhắn Signal đã xóa từ cơ sở dữ liệu thông báo trên iPhone

Báo cáo mới đây từ 404 Media đã hé lộ một phương pháp điều tra đáng chú ý của FBI, cho phép cơ quan này khôi phục các tin nhắn đã bị xóa trên ứng dụng Signal thông qua dữ liệu được lưu trữ trong cơ sở dữ liệu thông báo của iPhone.

Chi tiết vụ việc

Theo thông tin từ 404 Media, lời khai trong một phiên tòa gần đây liên quan đến một nhóm người bị cáo buộc phóng pháo hoa và phá hoại tài sản tại Trung tâm giam giữ ICE Prairieland ở Texas đã tiết lộ kỹ thuật này. Một trong những bị cáo là Lynette Sharp, người đã nhận tội hỗ trợ vật chất cho khủng bố.

Trong quá trình xét xử, Đặc vụ FBI Clark Wiethorn đã làm chứng về bằng chứng thu thập được. Tóm tắt của bằng chứng Lưu vật 158 cho biết: "Các tin nhắn đã được khôi phục từ điện thoại của Sharp thông qua kho lưu trữ thông báo nội bộ của Apple — Signal đã bị gỡ bỏ, nhưng các thông báo đến vẫn được bảo toàn trong bộ nhớ trong. Chỉ có tin nhắn đến được ghi nhận (không có tin nhắn đi)."

Tại sao dữ liệu vẫn còn?

Signal nổi tiếng là một ứng dụng nhắn tin tập trung mạnh vào quyền riêng tư và bảo mật, cung cấp tính năng mã hóa đầu cuối. Tuy nhiên, ứng dụng này cũng có một tùy chọn trong cài đặt cho phép ngăn việc hiển thị nội dung thực tế của tin nhắn trong bản xem trước thông báo trên màn hình khóa.

404 Media nhận định rằng, dường như bị cáo trong vụ việc này đã không bật tính năng đó. Kết quả là hệ điều hành iOS đã lưu trữ nội dung của tin nhắn vào cơ sở dữ liệu thông báo nội bộ của thiết bị. Mặc dù ứng dụng Signal đã bị xóa khỏi điện thoại, nhưng dữ liệu thông báo cũ vẫn nằm lại trong bộ nhớ máy.

Cơ chế lưu trữ của iOS

Mặc dù không có nhiều chi tiết kỹ thuật về tình trạng cụ thể của chiếc iPhone trong vụ án, nhưng chúng ta biết rằng iOS lưu trữ và lưu cache một lượng lớn dữ liệu cục bộ để đảm bảo hiệu suất và khả năng truy cập nhanh cho người dùng.

Một yếu tố quan trọng khác là token (mã thông báo) được sử dụng để gửi thông báo đẩy (push notifications) không bị vô hiệu hóa ngay lập tức khi ứng dụng bị xóa. Máy chủ không có cách nào biết chắc chắn ứng dụng có còn được cài đặt sau lần thông báo cuối cùng hay không, do đó nó có thể tiếp tục đẩy thông báo, để lại cho iPhone quyết định xem có hiển thị chúng hay không.

Đáng chú ý, Apple vừa thay đổi cách iOS xác thực các token thông báo đẩy trong phiên bản iOS 26.4. Mặc dù không thể khẳng định đây là kết quả trực tiếp từ vụ việc này, nhưng thời điểm thay đổi này rất đáng quan tâm.

Bài học bảo mật cho người dùng

Vụ việc này đóng vai trò như một lời nhắc nhở quan trọng về quyền riêng tư kỹ thuật số. Ngay cả khi sử dụng các ứng dụng bảo mật cao cấp như Signal và xóa sạch ứng dụng, dữ liệu vẫn có thể còn sót lại ở những nơi không ngờ tới, cụ thể là trong nhật ký thông báo của hệ điều hành.

Để đảm bảo an toàn tối đa, người dùng nên kiểm tra cài đặt của Signal và các ứng dụng nhắn tin tương tự, đảm bảo tắt tùy chọn "Hiển thị nội dung trong thông báo" (Show content in notifications). Điều này giúp ngăn nội dung tin nhắn nhạy cảm bị lưu trữ dưới dạng văn bản thuần trên thiết bị, nơi các công cụ trích xuất dữ liệu pháp lý có thể tiếp cận được.

Cả Signal và Apple hiện tại đều chưa đưa ra bình luận chính thức về cách họ xử lý hoặc lưu trữ các thông báo trong trường hợp cụ thể này.