Apple memperbaiki bug yang digunakan polisi untuk mengekstrak pesan chat yang dihapus dari iPhone

 (techcrunch.com)
1 poin oleh GN⁺ 8 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Pesan yang dihapus atau hilang otomatis di aplikasi perpesanan bisa tetap tersisa di cache notifikasi dan dibaca dengan alat forensik, dan Apple memperbaikinya melalui pembaruan perangkat lunak untuk iPhone dan iPad
  • Notifikasi yang menampilkan isi pesan dapat disimpan di perangkat hingga satu bulan, dan pengumuman keamanan Apple menyebut notifikasi yang ditandai untuk dihapus bisa tetap tersimpan secara tak terduga
  • Jalur ekstraksi ini terkait dengan cara pesan Signal yang telah dihapus tetap tertinggal di basis data ponsel, sehingga aparat penegak hukum dapat membaca pesan yang sudah lama dihapus
  • Setelah masalah ini terungkap, Signal meminta Apple memperbaikinya, dan fitur timer hapus otomatis dapat membantu pengguna yang ingin menjaga percakapan tetap rahasia bahkan saat perangkat disita
  • Penghapusan di dalam aplikasi saja belum tentu menghapus konten yang sama dari penyimpanan notifikasi di tingkat sistem operasi, dan perbaikan ini menunjukkan bahwa lapisan OS juga penting untuk perlindungan privasi pesan yang terhapus otomatis

Perbaikan bug dan dampaknya

  • Apple merilis pembaruan perangkat lunak untuk iPhone dan iPad yang memperbaiki bug yang memungkinkan aparat penegak hukum mengekstrak pesan dari aplikasi perpesanan yang telah dihapus atau hilang otomatis
    • Masalah ini terjadi karena notifikasi (notification) yang menampilkan isi pesan dapat di-cache di perangkat hingga satu bulan
  • Pengumuman keamanan Apple menyebut notifikasi yang ditandai untuk dihapus bisa tetap tersimpan secara tak terduga di perangkat
  • Mengapa isi notifikasi direkam sejak awal belum diketahui
    • Perbaikan kali ini mengungkap bahwa perilaku tersebut memang merupakan bug
  • Apple tidak segera menjawab pertanyaan tentang alasan notifikasi itu dipertahankan
  • Apple juga melakukan backport perbaikan ini ke iPhone dan iPad yang menjalankan iOS 18 versi lama

Jalur ekstraksi yang terungkap

  • Perbaikan ini terhubung langsung dengan masalah yang diungkap 404 Media awal bulan ini
    • FBI dapat menggunakan alat forensik untuk mengekstrak pesan Signal yang telah dihapus dari iPhone seseorang
  • Ekstraksi dimungkinkan karena isi pesan sempat tampil sebagai notifikasi lalu tetap tersimpan di basis data ponsel meski pesannya sudah dihapus di dalam Signal
  • Saat menggunakan alat forensik, aparat penegak hukum dapat membaca bahkan pesan yang sudah lama dihapus

Signal dan fitur pesan terhapus

  • Meredith Whittaker dari Signal mengatakan bahwa setelah masalah ini terungkap, Signal meminta Apple mengambil tindakan perbaikan
    • Ia menulis bahwa notifikasi untuk pesan yang telah dihapus seharusnya tidak tertinggal di basis data notifikasi sistem operasi mana pun
  • Seperti aplikasi perpesanan lain seperti WhatsApp, Signal menyediakan fitur timer yang menghapus pesan secara otomatis setelah jangka waktu tertentu
  • Fitur ini dapat membantu pengguna yang ingin menjaga percakapan tetap rahasia bahkan jika perangkat mereka disita oleh otoritas

Kekhawatiran privasi

  • Setelah diketahui FBI menemukan jalur untuk melewati fitur keamanan yang digunakan setiap hari, kewaspadaan aktivis privasi meningkat
  • Fitur pesan hapus otomatis adalah sarana keamanan yang digunakan sehari-hari terutama oleh pengguna yang berada dalam risiko
  • Bug ini menunjukkan bahwa menghapus pesan di dalam aplikasi tidak selalu menghilangkan konten yang sama dari penyimpanan notifikasi di tingkat sistem operasi

Bacaan terkait

1 komentar

 
GN⁺ 8 hari lalu
Komentar Hacker News
  • Menurut saya ini adalah bug yang menyebabkan cache tertinggal di perangkat. Namun, karena Apple dan Google berada di tengah hampir seluruh alur notifikasi, struktur dasarnya tetap mengkhawatirkan karena konten melewati server mereka. Jadi jika ingin pesan terenkripsi end-to-end lebih sedikit terekspos ke pihak lain, menurut saya pengaturan yang tepat adalah menampilkan hanya pesan baru datang pada notifikasi, sambil menyembunyikan isi dan pengirimnya
    • Menurut saya penjelasan ini keliru dalam dua hal. Pertama, isu kali ini adalah OS melacak dan menyimpan notifikasi secara lokal di perangkat, bukan masalah server notifikasi Google atau Apple. Kedua, meski notifikasi melewati server Apple atau Google, E2EE tetap bisa dipertahankan jika datanya dienkripsi atau isi pesan tidak disertakan. Signal juga bekerja seperti itu, jadi bukan berarti Apple atau Google melihat pesan dalam bentuk plaintext
    • Menurut saya Apple dan Google sama-sama menyediakan kemampuan agar aplikasi dapat mencegat dan memodifikasi pesan sebelum ditampilkan. Jadi notifikasi bisa dikirim dalam keadaan terenkripsi, lalu didekripsi oleh kode aplikasi di perangkat pengguna sebelum ditampilkan
    • Saya rasa itu benar. Server cukup mengirim notifikasi, lalu sebenarnya notifikasi itu bisa digabungkan dengan pesan yang dibaca setelah perangkat dibuka kuncinya secara lokal di perangkat untuk ditampilkan, jadi rasanya tidak perlu plaintext dikirim ke server Apple atau Google
    • Berdasarkan Matrix FAQ yang baru saya baca, saya rasa penjelasan itu tidak akurat. Di aplikasi Matrix, hanya sebagian metadata yang datang dari server chat ke perangkat saya melalui push server dan Google, sementara isi pesan tetap dalam keadaan E2EE. Aplikasi dibangunkan oleh notifikasi metadata lalu mengambil pesan sebenarnya lagi dan menampilkannya di notifikasi. Seperti poin terakhir tadi, sampai sisi Android juga diperbaiki, masalah penyimpanan lokal tampaknya tetap ada
    • Dalam kasus ini, memang benar kami menyerahkan pesan plaintext saat menggunakan API notifikasi OS milik Google dan Apple
  • Saya rasa bug yang disebut artikel itu hanya sebagian dari masalahnya. Intinya adalah teks notifikasi disimpan di database ponsel di luar Signal, dan untuk menghindarinya pengaturan harus diubah. Dalam kasus ini, terdakwa menghapus aplikasi Signal itu sendiri, dan seharusnya notifikasi aplikasi itu juga ditandai untuk dihapus secara internal, tetapi ternyata tidak terhapus; itulah yang tampaknya diperbaiki kali ini. Inti dari yang diungkap adalah bahwa notifikasi yang telah ditandai untuk dihapus bisa tetap tertinggal di perangkat secara tak terduga, dan dari penjelasannya, karena ini adalah logging issue, ada kemungkinan yang tersisa berada di sisi log ketimbang database utamanya
    • Dari yang saya lihat, nuansanya bukan hanya log, tetapi mencakup logs, json, plist, SQLite DB juga. Di /private/var/mobile/Library/Biome/streams/.../Notification/segments/ ada log mentah judul dan isi, di /var/mobile/Library/{BulletinBoard,UserNotificationsCore}/ milik BulletinBoard dan UserNotificationsCore ada json dan plist status terkirim dan ditutup, dan di /var/mobile/Library/CoreDuet/coreduetdClassD.db milik CoreDuet ada SQLite yang memasukkan ulang event Biome. Sumbernya adalah tweet ini
    • Saya rasa tafsiran itu masih spekulasi. Frasa ditandai untuk dihapus bisa berarti bukan hanya setelah seluruh aplikasi dihapus, tetapi juga setelah pengguna menutup notifikasinya
    • Di kepala saya, kemungkinan SQLite WAL juga langsung terlintas
    • Menurut saya keduanya pada dasarnya bisa jadi masalah yang sama. Saya penasaran kenapa dianggap terpisah
  • Menurut saya model notifikasi umum yang disediakan Signal, seperti “Anda menerima pesan”, adalah kebiasaan keamanan yang baik secara umum
    • Sebenarnya ini bisa dilakukan di hampir semua aplikasi. Tinggal ubah notifications shows previews di pengaturan iOS menjadi never
  • Saya cukup frustrasi karena Signal tidak secara aktif memberi tahu pengguna tentang masalah ini. Saya sudah mematikan notifikasi, tetapi Signal malah hanya terus mengingatkan untuk menyalakannya lagi
  • Melihat ini, saya jadi bertanya lagi apakah kekhawatiran terbesar terkait Mythos adalah penemuan celah, atau justru perbaikan celah
  • Awalnya saya juga agak bingung. Saya mengira notifikasi push itu terenkripsi end-to-end, jadi layanan push tidak bisa menyimpannya dalam bentuk yang bisa dibaca dan aplikasi akan menerimanya lalu mendekripsinya di perangkat. Tetapi kenyataannya, setelah aplikasi mendekripsi dan menampilkannya ke pengguna lewat API OS, teks notifikasi itu tampaknya disimpan lagi di suatu database riwayat notifikasi lokal pada perangkat
    • Saya juga memahaminya sebagai kira-kira perilaku seperti itu
    • Menurut saya dalam arsitektur push Apple dan Google, cukup banyak metadata yang tetap berupa plaintext
  • Dari sisi privasi, saya rasa masalah ini sebenarnya sudah cukup lama dikenal. Google dan Apple kadang mengirim isi notifikasi ke server mereka sendiri, sehingga batas aplikasi bisa terlewati. Sebagai penjelasan dalam kategori serupa, tulisan ini juga layak dibaca
    • Saya menduga Signal akan mengenkripsi terlebih dahulu data notifikasi sebelum mengirimkannya ke Apple, lalu mendekripsinya di perangkat dengan Notification Service Extension. Ini pola umum untuk tidak perlu memercayai Apple, jadi pada akhirnya yang tersimpan dalam plaintext bukan di Apple, melainkan di perangkat setelah didekripsi
    • Dalam kasus yang dilaporkan kali ini, saya memahaminya bukan sebagai data yang keluar dari server, melainkan lembaga penyidik federal yang mengambilnya langsung dari ponsel
    • Saya juga jadi teringat messenger seperti Snapchat atau WhatsApp. WhatsApp berbicara tentang end-to-end, tetapi ada juga klaim bahwa sebagian salinan pesan diserahkan ke pihak berwenang berdasarkan kata kunci, jadi secara kategori terasa serupa kekhawatirannya
  • Aplikasi tidak bisa memberi tahu iOS agar jangan menyimpan notifikasi ini setelah ditampilkan, jadi payload-nya tampaknya hanya di-cache. Pada akhirnya ini adalah masalah klasik “dihapus bukan berarti benar-benar hilang”, dan data tertinggal di lebih banyak tempat daripada yang dibayangkan. Dalam hal itu, rasanya Signal memberi contoh yang bagus
  • Syukurlah Apple melakukan backport perbaikan ini ke iOS 18 juga
    • Bukan cuma itu, menarik juga bahwa iOS 18.7.8 tampaknya didistribusikan tanpa hambatan berarti bahkan ke perangkat yang bisa menjalankan iOS 26. Sementara 18.7.3 sampai .6 tampaknya tidak begitu, jadi saya jadi penasaran apakah rilis perantara itu sebenarnya memang seharusnya keluar tetapi ada masalah distribusi dan tidak ada yang memperbaikinya
  • Saya termasuk pihak yang tidak akan pernah bergantung pada sistem tertutup untuk secure messaging. Terutama saat berkomunikasi dengan banyak lawan bicara yang tidak spesifik, menurut saya itu makin penting
    • Meski begitu, iOS mungkin tetap merupakan platform mobile yang paling aman untuk secure messaging. Terutama dalam lock down mode, saya rasa itu semakin benar