FBI Pulihkan Pesan Signal yang Dihapus lewat Data Notifikasi iPhone

 (9to5mac.com)
1 poin oleh GN⁺ 2026-04-11 | 1 komentar | Bagikan ke WhatsApp
  • Kasus FBI memulihkan pesan Signal yang telah dihapus dengan memanfaatkan basis data notifikasi internal iPhone terungkap melalui kesaksian di pengadilan
  • Pada iPhone milik terdakwa, isi notifikasi Signal yang diterima tetap tersisa di penyimpanan internal bahkan setelah aplikasi Signal dihapus, dan pengaturan pratinjau notifikasi berada dalam keadaan nonaktif
  • Karena status keamanan iPhone (AFU, BFU) dan struktur cache lokal, sebagian data dapat tetap tertinggal di dalam sistem
  • Muncul kemungkinan bahwa token push notification tidak langsung dinonaktifkan setelah aplikasi dihapus, sehingga server terus mengirim notifikasi dan iPhone tetap menerimanya
  • Kasus ini menunjukkan bahwa struktur retensi data pada aplikasi pesan terenkripsi dan sistem notifikasi iOS sedang menjadi isu kunci dalam keamanan privasi

Kasus FBI Memulihkan Pesan Signal yang Dihapus dari Data Notifikasi iPhone

  • Kasus FBI memulihkan pesan Signal yang telah dihapus dengan memanfaatkan basis data notifikasi internal iPhone telah terungkap
    • Menurut laporan 404 Media, hal ini muncul lewat kesaksian dalam persidangan terdakwa yang terlibat dalam insiden kembang api dan perusakan properti di fasilitas penahanan ICE Prairieland di Alvarado, Texas
    • Agen FBI Clark Wiethorn menjelaskan proses pengumpulan bukti di pengadilan

  • Pesan yang dipulihkan dari data notifikasi

    • Pada iPhone milik terdakwa Lynette Sharp, isi pesan yang diterima tetap tersisa di penyimpanan notifikasi internal bahkan setelah aplikasi Signal dihapus
    • Menurut ringkasan barang bukti di pengadilan (Exhibit 158), “Signal telah dihapus, tetapi notifikasi yang diterima tetap tersimpan di memori internal melalui penyimpanan notifikasi internal Apple, dan hanya pesan yang diterima yang berhasil dipulihkan”
    • Signal memiliki pengaturan untuk menyembunyikan isi pesan di pratinjau notifikasi, tetapi terdakwa diketahui menonaktifkan pengaturan tersebut
    • Baik Signal maupun Apple belum memberikan pernyataan resmi mengenai cara data notifikasi disimpan atau diproses

  • Struktur penyimpanan internal dan latar belakang teknis

    • Karena informasi teknis rinci tentang kondisi iPhone terdakwa terbatas, metode pasti yang digunakan FBI untuk memulihkan data belum jelas
    • iPhone memiliki beberapa status keamanan seperti BFU (Before First Unlock) dan AFU (After First Unlock), dan hak akses data berbeda tergantung pada status tersebut
    • Saat perangkat berada dalam keadaan telah dibuka, sistem mengasumsikan pengguna sedang mengoperasikannya secara langsung sehingga cakupan akses ke data yang dilindungi menjadi lebih luas
    • iOS mengelola berbagai status keamanan berdasarkan kepercayaan, dan menyimpan banyak data secara lokal dalam bentuk cache demi kenyamanan pengguna

  • Token push notification dan kemungkinan data tetap tersisa

    • Token yang digunakan untuk pengiriman push notification tidak langsung dinonaktifkan meskipun aplikasi telah dihapus

      • Karena server tidak dapat mengetahui apakah aplikasi telah dihapus, push dapat terus dikirim setelah notifikasi terakhir, dan ada kemungkinan iPhone menerimanya lalu memprosesnya secara internal
      • Apple baru-baru ini mengubah metode verifikasi token push notification di iOS 26.4; kaitan langsung dengan kasus ini belum terkonfirmasi, tetapi waktunya menarik perhatian
      Iklan

  • Kemungkinan ekstraksi data dan alat investigasi

    • Menurut penjelasan pada Exhibit 158, FBI memulihkan data melalui penyimpanan notifikasi internal Apple, dan ini mungkin merupakan informasi yang diekstrak dari cadangan perangkat
    • Lembaga penegak hukum memiliki banyak alat forensik komersial yang mengekstrak data dengan memanfaatkan kerentanan iOS, dan ada kemungkinan FBI menggunakannya
    • 404 Media juga menerbitkan laporan asli kasus ini secara terpisah

  • Makna dari kasus ini

    • Kasus ini mendapat perhatian sebagai contoh bahwa menghapus aplikasi pesan atau menggunakan enkripsi saja tidak menjamin penghapusan data secara menyeluruh
    • Struktur retensi data pada sistem notifikasi iOS dan cara pengelolaan keamanannya berpotensi menjadi isu utama dalam perdebatan privasi ke depan

Bacaan terkait

1 komentar

 
GN⁺ 2026-04-11
Komentar Hacker News

  • Jika dipikir dari sudut pandang pengguna, orang bisa mengira Signal punya forward secrecy sehingga pesan akan hilang setelah diterima
    Namun jika disappearing messages tidak diaktifkan, alat forensik seperti Cellebrite bisa memulihkannya. Default-nya dalam keadaan mati
    Bahkan jika diaktifkan, pesan bisa tetap masuk ke notifikasi sehingga disimpan oleh OS. Apple memang melakukannya, dan ada opsi untuk mencegahnya, tetapi lagi-lagi default-nya mati
    Bahkan jika aplikasinya dihapus, pesan tetap tersisa di OS. Pada akhirnya, ketika keseimbangan antara keamanan dan kegunaan runtuh, ini bukan salah pengguna melainkan masalah desain sistem
    Kasus terkait saya rangkum di tulisan saya

    • Saya pikir enkripsi end-to-end (E2EE) hanyalah ilusi selama backup tidak dienkripsi. Jika lawan bicara tidak memakai ADP, maka iMessage atau WhatsApp hanya mendapat enkripsi penyimpanan biasa
      WhatsApp di Android juga secara default mendorong backup tidak terenkripsi ke Google Drive
      Ada kecurigaan bahwa Google, Apple, dan Meta membuat semacam perjanjian penerus PRISM untuk “mengizinkan E2EE tetapi dengan pengaturan default yang tetap bisa diakses”
      Karena kebanyakan pengguna memakai pengaturan bawaan, keamanan akhirnya jadi tidak berarti
    • Seaman apa pun Signal, OS dan ekosistem tempat ia berjalan terlalu kompleks, sehingga sulit yakin apakah komunikasi kita benar-benar aman
      Metadata pun tetap terekspos, seperti siapa berbicara dengan siapa dan kapan
    • Karena sebagian besar pengguna tidak mengubah pengaturan bawaan, tingkat keamanan sebuah aplikasi pada akhirnya adalah tingkat keamanan default-nya
    • Fakta bahwa Signal menaruh pesan dalam bentuk plaintext di notifikasi lebih serius lagi.
      Seperti dijelaskan di tulisan ini, data sensitif seharusnya tidak dimasukkan ke notifikasi, atau dikirim sebagai payload terenkripsi
    • Jika benar-benar menginginkan messenger yang aman, ada yang menyarankan memakai SimpleX. Whonix merekomendasikannya, dan Snowden juga mendukung Whonix
      Halaman rekomendasi chat Whonix

  • Di pengaturan Signal,
    jika diubah ke Settings > Notifications > Notification Content > Show: “Name Only” atau “No Name or Content”,
    pesan sensitif tidak akan terekspos saat layar ditampilkan. Dari kasus ini terlihat bahwa pengaturan tersebut juga punya manfaat keamanan tambahan

    • Ini bukan pengaturan OS, melainkan pengaturan di dalam aplikasi Signal. Jika hanya mengubah pengaturan notifikasi OS, itu hanya mencegah tampilan di layar, sedangkan penyimpanan internal tetap berlangsung
    • Di Android, letaknya ada di Settings > Notifications > Messages > Show
    • Default seharusnya adalah pengaturan yang paling sensitif. Untuk aplikasi keamanan, default yang aman itu wajib
    • Fitur ringkasan Apple Intelligence juga sebaiknya dimatikan untuk notifikasi aplikasi sensitif
    • Jika mode Lockdown diaktifkan, berbagai kerentanan termasuk masalah seperti ini bisa ikut diblokir

  • Jika pengaturan pratinjau notifikasi Signal tidak dimatikan, sistem akan menyimpan isi pesan ke database
    Riwayat notifikasi ini di macOS bisa dilihat di ~/Library/Group Containers/group.com.apple.usernoted/db2/db
    Dengan aplikasi Crank, datanya bisa diekstrak lewat kueri SQL

    • Di Android, riwayat notifikasi bisa dilihat lewat aplikasi seperti NotiStar.
      Namun infrastruktur notifikasi terpusat seperti FCM(APNs) juga bisa menyimpan data di tengah jalur
    • Di Pixel, sebagian riwayat bisa dilihat di Settings > Notifications > Manage > Notification History
    • Pada iPhone, jika diatur agar pratinjau tampil di lock screen, isi notifikasi disimpan sebagai plaintext
      Pengaturan default-nya adalah “preview saat dibuka kunci”, tetapi bahkan dalam kasus itu pun tidak jelas apakah penyimpanan internalnya dienkripsi
      Pada akhirnya ini adalah masalah OPSEC akibat kesalahan pengaturan pengguna, dan default Signal dianggap sudah tepat
    • Di Android dulu ada halaman alamat protokol yang menampilkan semua notifikasi. Berguna, tetapi sekarang sudah jarang dipakai

  • Ada yang penasaran kenapa Signal terus meminta agar notifikasi diaktifkan setiap bulan. Meski sudah ditolak, pertanyaannya terus muncul

    • Menurut pengembang Signal, tujuannya untuk mencegah pengguna tidak sengaja mematikannya, karena banyak pertanyaan terkait keandalan notifikasi. Namun frekuensinya memang terasa berlebihan
    • Tapi sebagian besar software memang lebih mengutamakan kepentingan pengembang atau perusahaan daripada kehendak pengguna.
      Terus-menerus mendorong sesuatu yang tidak diinginkan pengguna kini sudah menjadi pola UX yang umum
    • Platform pesan dianggap lebih sukses jika pengguna merespons dengan cepat, jadi mendorong notifikasi untuk aktif adalah strategi yang wajar
    • iOS sendiri juga memang dirancang untuk sesekali meminta pengguna mengecek ulang saat notifikasi dimatikan
    • Mirip dengan PIN 2FA di WhatsApp, yang juga diminta dimasukkan secara berkala

  • Ada yang berpendapat bahwa kesaksian di pengadilan adalah cara terbaik untuk memverifikasi kondisi keamanan yang sebenarnya
    Yang penting bukan debat teoretis, melainkan data apa yang benar-benar bisa dipulihkan dalam kasus nyata

    • Namun kadang pemerintah membatalkan penuntutan demi menghindari terbongkarnya metode siber, jadi tidak semua informasi pasti terungkap
    • Pengadilan adalah salah satu tempat langka di mana detail teknis nyata kadang dipublikasikan
    • Kasus Trivy / LiteLLM terbaru juga isu keamanan, tetapi sifatnya berbeda
    • Namun di negara yang korup, hasil pengadilan bisa saja tidak mencerminkan kenyataan. Ada parallel construction

  • Kalimat “terdakwa tidak mengaktifkan pengaturan sehingga sistem menyimpan pesan” pada dasarnya berarti default Apple yang bermasalah
    Sebagian besar pengguna tidak mengubah pengaturan, dan Apple tahu itu

    • Yang lebih buruk, pengaturan keamanan yang susah payah diubah pengguna bisa di-reset setiap kali ada update. Pengaturan privasi Firefox juga sering kembali seperti ini
      Walaupun mungkin tidak disengaja, kita tetap harus bertindak seolah itu disengaja
    • Jika peduli pada keamanan, pratinjau lock screen harus dimatikan. Lock screen bisa dilihat siapa pun, jadi secara default bukan ruang privat
    • Jika media menulis “sistem Apple secara default menyimpan data” alih-alih “terdakwa tidak mengubah pengaturan”, persepsinya mungkin akan berbeda
      Tanggung jawab akhirnya dilempar ke pengguna, sementara perusahaan pembuat sistem bersembunyi di balik anonimitas “sistem”
    • Ada yang sempat mencari data statistik soal kemampuan pengguna mengubah pengaturan, dan hasilnya menunjukkan tingkat pendidikan komputer sangat rendah. Yang dibutuhkan bukan sekadar pelatihan mengetik, melainkan literasi digital

  • Artikel asli: FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database

    • Namun artikel itu khusus pelanggan berbayar, jadi detailnya terbatas

  • Ada yang mempertanyakan mengapa Apple tidak menghapus catatan yang tersisa di database notifikasi bahkan setelah aplikasi dihapus.
    Menyimpan isi notifikasi lama terus-menerus adalah bibit insiden keamanan

    • Saat masalah seperti ini terungkap, rasanya begitu jelas sampai muncul pertanyaan “kenapa baru sekarang?”. Ke depan, strukturnya diperkirakan akan berubah
    • Di Android, jika aplikasi dihapus maka riwayat notifikasi ikut hilang, dan jika fitur riwayat notifikasi dimatikan lalu dinyalakan lagi, data sebelumnya akan di-reset
      Menurut dokumentasi resmi Android, data hanya disimpan untuk periode tertentu
    • Namun jika datanya benar-benar pernah ditulis ke flash memory, bloknya mungkin masih tersisa bahkan setelah penghapusan
      Karena wear leveling, data bisa bertahan selama bertahun-tahun
    • Sebagian besar database seperti sqlite tidak langsung menghapus data fisik di disk walaupun barisnya dihapus.
      Hal serupa juga terjadi pada level filesystem dan SSD

  • Pada akhirnya, ini menunjukkan bahwa salah satu ujung E2E bukan aplikasi, melainkan ponsel itu sendiri
    Di WhatsApp, misalnya, pesan bisa dibaca dari notifikasi tanpa memicu tanda telah dibaca, yang berarti OS berperan sebagai man-in-the-middle (MITM)

    • Namun karena Signal sendiri yang membuat notifikasinya, tindakan sekadar menampilkan notifikasi seperti echo "my_private_data" | notify-send belum tentu layak dianggap berbahaya dengan sendirinya

  • Sebenarnya, masalah penyimpanan data notifikasi seperti ini sudah lama diketahui.
    RealityNet iOS Forensics References maupun
    tulisan The Forensics Scooter juga sudah pernah membahasnya