FBI, iPhone’dan silinmiş Signal mesajlarını geri getirdi
FBI’ın bir iPhone’da yer alan bildirim veritabanı üzerinden silinen Signal mesajlarına ulaşabildiği ortaya çıktı. Olay, iOS bildirim sisteminin veri saklama yapısını tartışmaya açtı.
Bünyamin Kara
ABD’de görülen bir dava sürecinde ortaya çıkan yeni bulgular göre FBI, bir iPhone üzerinden silinmiş Signal mesajlarına ulaşmayı başardı. Aktarılan bilgilere göre soruşturma ekipleri, cihazda yer alan Apple’ın dahili bildirim depolama alanını kullanarak uygulama silinmiş olsa bile gelen mesaj içeriklerini ele geçirebildi.
Sadece gelen mesajlar elde edildi
Olay, Teksas’ın Alvarado kentinde bulunan ICE Prairieland Gözaltı Tesisi’ne yönelik olduğu öne sürülen bir vakayla bağlantılı olarak yürütülen yargılamada gündeme geldi. Sanıklardan Lynette Sharp’ın daha önce terör örgütlerine maddi destek sağladığı gerekçesiyle suçunu kabul ettiği bilgisi paylaşılırken FBI Özel Ajanı Clark Wiethorn’un mahkemede sunduğu ifade dijital delillere ilişkin kritik ayrıntılar içerdi.
Dosya özetinde yer alan bilgilere göre Signal uygulaması cihazdan kaldırılmış olmasına rağmen iPhone’un sistem belleğinde tutulan bildirim kayıtları üzerinden mesaj içerikleri geri getirildi. Ancak yalnızca gelen mesajların elde edilebildiği, gönderilen mesajların ise bu yöntemle erişilebilir olmadığı vurgulandı.
Veri kurtarma nasıl mümkün oldu?
Aktarılanlara göre iOS platformunda gelen bildirimler sistem içinde geçici olarak saklanabiliyor. Esasında bu sayede anlık bildirimler kullanıcılara gösterilebiliyor. Özellikle uygulamaların kilit ekranında içerik önizlemesi göstermesine izin verildiğinde bu verilerin cihazda tutulduğu ifade ediliyor.
Signal tarafında ise kullanıcıların bildirimlerde içerik gösterimini kapatma seçeneği bulunduğu biliniyor. Ancak olayda bu ayarın etkin olmadığı, bu nedenle mesaj içeriklerinin bildirim önizlemesi olarak sisteme kaydedilmiş olabileceği değerlendiriliyor.
Teknik açıdan bakıldığında iPhone’larda veri erişimi, cihazın durumuna göre değişkenlik gösteriyor. BFU (Before First Unlock) ve AFU (After First Unlock) gibi sistem modları, cihazın şifre girilmeden önceki ve sonraki güvenlik seviyelerini belirliyor. Özellikle cihazın ilk kilidi açıldıktan sonra sistemin çok daha geniş veri alanlarına erişime izin verebildiği biliniyor.
Bunun yanında iOS’un yerel veri önbellekleme yaklaşımı da dikkat çekiyor. Sistem, kullanıcı deneyimini hızlandırmak amacıyla bazı verileri cihaz içinde saklayabiliyor ve bu durum, doğru koşullar altında adli analiz süreçlerinde geri kazanılabilir veri miktarını artırabiliyor.
Bir diğer kritik unsur ise push bildirim altyapısı. Uygulama kaldırılmış olsa bile, bildirim göndermeye yarayan token yapısının hemen geçersiz hale gelmemesi, sistemin belirli bir süre daha bildirim almasına imkan tanıyabiliyor. Sunucu tarafı, uygulamanın cihazda yüklü olup olmadığını kesin olarak doğrulayamıyor, bu nedenle bildirim gönderimi teknik olarak devam edebiliyor ve kontrol iOS tarafından yapılıyor. Bu yapı, alınan bildirimlerin cihazda görünür olmasını sağlarken aynı zamanda sistemin bunları geçici olarak saklamasına da zemin hazırlayabiliyor.
Dikkat çeken iOS 26.4 güncellemesi
Dikkat çeken bir başka ayrıntı ise Apple’ın iOS 26.4 güncellemesiyle push bildirim token doğrulama yönteminde değişikliğe gitmiş olması. Bu değişikliğin doğrudan söz konusu dava ile bağlantılı olup olmadığı bilinmiyor. Ancak zamanlamanın yakınlığı teknik çevrelerde dikkat çekici bir gelişme olarak değerlendiriliyor.
Dosyada yer alan ifadeler, bildirime dayalı veri kurtarma yönteminin yanı sıra farklı teknik ihtimalleri de gündeme getiriyor. Uzman değerlendirmelerine göre, yasal kolluk kuvvetleri tarafından kullanılan ticari dijital adli analiz araçları, iOS cihazlarda çeşitli açıkları veya sistem zafiyetlerini kullanarak veri çekebiliyor.
