Apple ने वह bug ठीक किया जिसे पुलिस iPhone से deleted chat messages निकालने में इस्तेमाल कर रही थी

 (techcrunch.com)
1 पॉइंट द्वारा GN⁺ 2026-04-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Messaging apps में deleted या auto-expiring messages notification cache में बचे रह सकते थे और forensic tools से पढ़े जा सकते थे; Apple ने iPhone और iPad के लिए software update के ज़रिए इसे ठीक किया
  • जिन notifications में message content दिखा था, वे device पर अधिकतम एक महीने तक stored रह सकती थीं, और Apple की security advisory में कहा गया कि deletion के लिए marked notifications अनपेक्षित रूप से बनी रह सकती थीं
  • यह extraction path उस तरीके से जुड़ा है जिसमें deleted Signal messages phone database में रह जाते थे, और law enforcement बहुत पहले delete किए गए messages भी पढ़ सकती थी
  • Signal ने इस issue के public होने के बाद Apple से fix माँगा, और auto-delete timer feature उन users के लिए मददगार हो सकती है जो device seizure की स्थिति में भी conversations को गुप्त रखना चाहते हैं
  • सिर्फ app के अंदर deletion से यह ज़रूरी नहीं था कि वही content OS-स्तर के notification storage से भी हट जाए, और यह fix दिखाता है कि auto-delete messages की privacy protection में OS layer भी अहम है

bug fix और उसका असर

  • Apple ने iPhone और iPad के लिए software update जारी किया, जिससे वह bug ठीक हुआ जो law enforcement को messaging apps से deleted या auto-expiring messages निकालने में सक्षम बना रहा था
    • message content दिखाने वाली notifications device पर अधिकतम एक महीने तक cache हो रही थीं, और इसी से यह समस्या पैदा हुई
  • Apple की security advisory में कहा गया कि deletion के लिए marked notifications device पर अनपेक्षित रूप से बनी रह सकती थीं
  • notifications का content शुरू से record क्यों हो रहा था, यह पुष्ट नहीं है
    • इस fix से स्पष्ट हुआ कि वह व्यवहार एक bug था
  • Apple ने यह पूछे जाने पर कि notifications क्यों preserve हो रही थीं, तुरंत जवाब नहीं दिया
  • Apple ने पुराने iOS 18 पर चल रहे iPhone और iPad के लिए भी यह fix backport किया

सामने आया extraction path

  • यह fix सीधे उस issue से जुड़ा है जिसे इस महीने की शुरुआत में 404 Media ने सार्वजनिक किया था
    • FBI forensic tools का इस्तेमाल करके किसी के iPhone से deleted Signal messages निकाल सकती थी
  • extraction इसलिए संभव था क्योंकि message content पहले notification के रूप में दिखाया गया था, और Signal के भीतर message delete होने के बाद भी वह phone database में stored रहा
  • law enforcement forensic tools का इस्तेमाल करते समय बहुत पहले delete किए गए messages भी पढ़ सकती थी

Signal और deleted message feature

  • Signal की Meredith Whittaker ने कहा कि issue सामने आने के बाद उन्होंने Apple से corrective action की माँग की
    • उन्होंने लिखा कि deleted messages की notifications किसी भी operating system के notification database में नहीं रहनी चाहिए
  • Signal, WhatsApp जैसे दूसरे messaging apps की तरह, कुछ समय बाद messages को अपने-आप delete करने वाला timer feature देता है
  • यह feature उन users के लिए मददगार हो सकता है जो authorities द्वारा device confiscate किए जाने की स्थिति में भी conversations को गुप्त रखना चाहते हैं

privacy concerns

  • यह सामने आने पर कि FBI रोज़मर्रा में इस्तेमाल होने वाले security feature को bypass करने का रास्ता ढूंढ चुकी थी, privacy activists की चिंता बढ़ गई
  • auto-delete message feature खास तौर पर जोखिम का सामना कर रहे users द्वारा रोज़ इस्तेमाल किए जाने वाले security measures में शामिल है
  • इस bug ने दिखाया कि app के भीतर message delete कर देने पर भी वही content OS-स्तर के notification storage में बचा रह सकता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-23
Hacker News की राय
  • मुझे लगता है कि यह डिवाइस पर cache रह जाने वाला bug था। लेकिन Apple और Google ज़्यादातर notification flow के बीच में मौजूद हैं, इसलिए content का server से होकर गुजरने वाला ढांचा अपने आप में अब भी चिंताजनक है। इसलिए अगर end-to-end encrypted messages को दूसरों के सामने कम उजागर करना है, तो notifications में सिर्फ नया संदेश आया जैसा संकेत दिखे और content या sender छिपा रहे, ऐसी setting सही लगती है
    • मुझे लगता है कि यह व्याख्या दो बातों में गलत है। पहला, इस बार का issue यह था कि OS ने notifications को device local पर track करके store किया, यह Google या Apple के notification servers की समस्या नहीं थी। दूसरा, भले notifications Apple या Google servers से गुजरें, data को encrypt करके या message body को हटाकर E2EE बनाए रखा जा सकता है। Signal भी वास्तव में ऐसा ही करता है, इसलिए Apple या Google plain text message देखने वाली संरचना में नहीं हैं
    • मेरे हिसाब से Apple और Google दोनों apps को display से पहले message intercept करके modify करने की सुविधा देते हैं। इसलिए encrypted notification भेजकर, user device पर app code से decrypt करके display किया जा सकता है
    • मुझे भी यह सही बात लगती है। Server सिर्फ notification भेजे, और असल में device local पर unlock के बाद पढ़े गए message के साथ जोड़कर display किया जाए, तो Apple या Google server तक plain text जाने की ज़रूरत नहीं है
    • मैंने हाल में पढ़े Matrix FAQ के आधार पर वह व्याख्या सही नहीं लगती। Matrix apps में केवल कुछ metadata chat server से push server के जरिए Google के माध्यम से मेरे device तक आता है, और message body E2EE में ही रहती है। App metadata notification से wake up होने के बाद असली message फिर से fetch करके notification में दिखाता है। आखिरी point की तरह, Android side में भी fix होने तक local storage की समस्या बनी रहती है
    • इस मामले में सही बात यह है कि हमने Google और Apple के OS notification API का इस्तेमाल करते हुए plain text message ही उन्हें सौंप दिया
  • article में कहा गया bug सिर्फ समस्या का एक हिस्सा है। असली बात यह है कि notification text Signal के बाहर phone DB में store होता है, और इससे बचने के लिए settings बदलनी होंगी। इस मामले में defendant ने Signal app itself को delete कर दिया था, और सामान्यतः उस app की notifications को भी internally deleted mark होना चाहिए था, लेकिन वे हटे नहीं; यही इस fix का हिस्सा लगता है। सार्वजनिक जानकारी का सार यह है कि deletion target के रूप में mark की गई notifications उम्मीद के विपरीत device पर रह सकती थीं, और विवरण के अनुसार यह logging issue था, इसलिए DB main body से ज़्यादा logs में रहने की संभावना भी लगती है
    • मैंने जो देखा, उससे लगा कि यह सिर्फ logs नहीं बल्कि logs, json, plist, SQLite DB तक फैला हुआ था। Biome के /private/var/mobile/Library/Biome/streams/.../Notification/segments/ में title और body के raw logs हैं, BulletinBoard और UserNotificationsCore के /var/mobile/Library/{BulletinBoard,UserNotificationsCore}/ में delivered और dismissed status के json, plist हैं, और CoreDuet के /var/mobile/Library/CoreDuet/coreduetdClassD.db में Biome events को फिर डालने वाला SQLite है। स्रोत यह tweet है
    • मुझे लगता है कि वह interpretation अभी भी अटकलबाज़ी है। deleted target के रूप में mark होने का मतलब सिर्फ पूरे app को हटाने के after ही नहीं, बल्कि user द्वारा notification dismiss करने के बाद भी हो सकता है
    • मेरे दिमाग में पहले SQLite WAL की संभावना भी आई थी
    • मुझे लगता है कि दोनों असल में एक ही समस्या हो सकती हैं। इन्हें अलग क्यों माना जा रहा है, यह जानने की जिज्ञासा है
  • मेरे हिसाब से Signal का generic notification जैसे “message received” वाला तरीका कुल मिलाकर अच्छी security hygiene है
    • दरअसल यह लगभग सभी apps में संभव है। iOS settings में notifications shows previews को never पर बदल दें
  • मुझे यह काफी निराशाजनक लगता है कि Signal इस समस्या के बारे में users को सक्रिय रूप से नहीं बताता। मैंने notifications बंद कर रखी थीं, फिर भी Signal सिर्फ उन्हें फिर से चालू करने की reminder देता रहा
  • इसे देखकर Mythos के बारे में सबसे बड़ी चिंता vulnerability का मिलना है या vulnerability का fix होना, यह फिर से सोचने का मन होता है
  • शुरुआत में मैं भी थोड़ा उलझा था। मुझे लगा था कि push notifications end-to-end encrypted होती हैं, इसलिए push service उन्हें पढ़ने योग्य रूप में cache नहीं कर सकती, और app device पर प्राप्त करने के बाद decrypt करती होगी। लेकिन असल में लगता है कि app ने decrypt करके OS API से user को दिखाया, और फिर वह notification text device local के किसी notification history DB जैसी जगह में फिर से store हो गया
    • मैं भी लगभग ऐसे ही behavior के रूप में इसे समझता हूँ
    • मेरी नज़र में Apple और Google की push architecture में काफी metadata plain text में होता है
  • privacy के लिहाज़ से मुझे लगता है कि यह समस्या पहले से काफ़ी जानी-पहचानी थी। Google और Apple कभी-कभी notification content अपने servers तक भेजते हैं, इसलिए app boundaries को bypass करने वाली स्थिति बनती है। मिलती-जुलती category की explanation के लिए यह लेख भी देखा जा सकता है
    • मेरा अनुमान है कि Signal Apple को भेजने से पहले notification data को pre-encrypt करता होगा, और device पर Notification Service Extension से decrypt करता होगा। Apple पर भरोसा न करने के लिए यह आम pattern है, इसलिए अंततः Apple नहीं बल्कि device side पर decrypt होने के बाद plain text store हुआ होगा
    • इस reported case में मेरी समझ यह है कि content server से नहीं निकला, बल्कि federal investigators ने उसे सीधे phone से निकाला
    • मुझे Snapchat या WhatsApp जैसे messengers भी याद आते हैं। WhatsApp end-to-end की बात करता है, लेकिन keyword-based कुछ message copies authorities को देने के दावे भी हैं, इसलिए category के हिसाब से वैसी ही चिंता महसूस होती है
  • app iOS को यह निर्देश नहीं दे सकता कि display के बाद इस notification को store न किया जाए, इसलिए payload वैसे ही cache हो जाता है। आख़िरकार यह वही पारंपरिक समस्या है कि “deleted का मतलब सचमुच deleted नहीं” और data उम्मीद से ज़्यादा जगहों पर रह जाता है। इस नज़र से देखें तो Signal ने अच्छा example सामने रखा है
  • यह अच्छा है कि Apple ने इस fix को iOS 18 में भी backport किया
    • इतना ही नहीं, iOS 18.7.8 शायद उन devices पर भी बिना किसी खास workaround के deploy होता दिख रहा है जो iOS 26 चला सकते हैं। जबकि 18.7.3 से .6 तक ऐसा नहीं था, तो यह सोचने का मन होता है कि बीच वाले releases मूल रूप से आने चाहिए थे लेकिन कोई deployment issue था और किसी ने उसे ठीक नहीं किया
  • मेरा रुख यह है कि secure messaging के लिए मैं कभी भी closed system पर निर्भर नहीं रहूँगा। खासकर जब बहुत से अनिर्दिष्ट लोगों से communication करना हो, तब तो और भी नहीं
    • फिर भी, iOS शायद secure messaging के लिए सबसे सुरक्षित mobile platform हो सकता है। खासकर lock down mode में तो और भी