Articolo Aggiornato il 22/05/2026 da Francesco Polimeni
L’FBI ha recuperato messaggi Signal già cancellati dall’iPhone di un’imputata nel processo federale Prairieland (Texas, aprile 2026), estraendoli non dall’app — già disinstallata — ma dal database interno delle notifiche push di iOS. Apple ha corretto la vulnerabilità CVE-2026-28950 il 22 aprile 2026 con iOS 26.4.2.
Signal non è stato violato. La crittografia end-to-end ha funzionato perfettamente. Eppure i messaggi erano lì, leggibili, su un iPhone dal quale l’app era stata cancellata da tempo. È questa la notizia tecnica più rilevante di maggio sul fronte della privacy digitale — e vale la pena capirla nel dettaglio, perché riguarda chiunque utilizzi app di messaggistica cifrata ritenendosi al sicuro per il solo fatto di averla eliminata.
Contenuto
Il caso Prairieland: cosa è successo esattamente
Nel processo federale legato a un attacco alla struttura di detenzione ICE Prairieland ad Alvarado, Texas, l’agente speciale dell’FBI Clark Wiethorn ha testimoniato in aula descrivendo come il bureau avesse recuperato i messaggi Signal dell’imputata Lynette Sharp, che aveva patteggiato una condanna per supporto materiale al terrorismo. GitHub
L’app Signal era stata completamente eliminata dal dispositivo. I messaggi a scomparsa erano attivi e i messaggi erano già scaduti all’interno dell’app. Gli strumenti forensi — principalmente Cellebrite — hanno estratto il contenuto non dal database locale di Signal, ma dal database interno delle notifiche push di Apple, un’area di archiviazione a livello di sistema utilizzata dal Notification Center. Northwest Firearms
Solo i messaggi in entrata sono stati recuperati con questo metodo — i messaggi in uscita non erano accessibili. Un dettaglio tecnico importante: non si tratta di una violazione della crittografia, ma di un vettore forense completamente diverso. Wikipedia
Il meccanismo: perché le notifiche di Signal conservano i messaggi
Quando un messaggio Signal arriva, iOS memorizza il contenuto della notifica in un database interno prima di visualizzarla. Se l’utente non ha attivato l’impostazione di Signal che rimuove il testo del messaggio dalle anteprime delle notifiche, il testo completo dei messaggi in entrata rimane in quel database. Eliminare l’app non lo cancella.
L’app ha fatto il suo lavoro correttamente. È il sistema operativo ad aver conservato una copia shadow. Militarnyi
Il problema non era in Signal. Era in iOS — e Apple lo ha ammesso correggendolo.
Il database delle notifiche iOS non è l’unico vettore attraverso cui le comunicazioni riservate possono essere intercettate a livello di dispositivo. Chi vuole monitorare le comunicazioni di un bersaglio senza accesso fisico al telefono può ricorrere a strumenti come gli IMSI catcher, dispositivi che simulano celle telefoniche e intercettano il traffico in transito. Una minaccia diversa da quella forense, ma ugualmente concreta in ambienti ad alto rischio.
La patch Apple: CVE-2026-28950
Il bug, tracciato come CVE-2026-28950, è stato corretto il 22 aprile 2026 in iOS 26.4.2 e iPadOS 26.4.2. Apple ha dichiarato nel bollettino di sicurezza che le notifiche contrassegnate per l’eliminazione potevano essere trattenute inaspettatamente sul dispositivo. Defence Blog
Dopo la pubblicazione della notizia, la presidente di Signal Meredith Whittaker aveva pubblicamente chiesto ad Apple di intervenire, scrivendo che le notifiche relative a messaggi eliminati non dovrebbero rimanere in nessun database di notifiche del sistema operativo. L’aggiornamento Apple ha fatto esattamente quello che lei aveva richiesto. Militarnyi
Signal ha confermato che non è richiesta alcuna azione da parte degli utenti oltre all’installazione dell’aggiornamento, e che tutte le notifiche conservate inavvertitamente verranno eliminate automaticamente. Northwest Firearms
Cosa devono fare gli utenti adesso
La correzione è già disponibile, ma ci sono due azioni concrete da fare indipendentemente dall’aggiornamento:
Prima cosa — aggiorna iOS immediatamente. Se il dispositivo è ancora su una versione precedente a iOS 26.4.2 o iOS 18.7.8, il database delle notifiche potrebbe contenere ancora testo in chiaro di messaggi Signal ricevuti.
Seconda cosa — disattiva le anteprime nelle notifiche Signal. Mantieni attiva l’impostazione “Nessun nome o contenuto” nelle notifiche di Signal, indipendentemente dalla patch, perché una buona igiene della sicurezza non dipende da un singolo aggiornamento. Con questa impostazione attiva, anche in presenza del bug, nel database veniva salvato solo “Messaggio Signal” senza alcun contenuto.
Il percorso in Signal: Impostazioni → Notifiche → Mostra → Nessun nome o contenuto.
Le implicazioni per chi usa dispositivi aziendali e comunicazioni riservate
Dal punto di vista della sicurezza professionale, questo caso dimostra un principio che chi si occupa di TSCM e controspionaggio conosce bene: la sicurezza di un’app non equivale alla sicurezza del dispositivo su cui gira.
La recente vicenda ha riacceso un malinteso di lunga data sulla privacy mobile: la convinzione che i messaggi a scomparsa e le app cifrate garantiscano che non rimanga alcuna traccia di comunicazione una volta che un messaggio viene eliminato o un’app viene rimossa. Questo presupposto non corrisponde a come funzionano realmente gli smartphone moderni.
Un dispositivo fisicamente accessibile a terzi — anche per pochi minuti — può essere analizzato con strumenti forensi commerciali come Cellebrite o Magnet AXIOM, che combinano estrazione di backup, accesso logico e talvolta metodi basati su exploit per recuperare artefatti iOS più profondi. La crittografia end-to-end protegge il transito del messaggio, non i residui che il sistema operativo conserva autonomamente. Militarnyi
Per chi gestisce comunicazioni sensibili in ambito aziendale, legale o professionale, la valutazione del rischio deve includere non solo la scelta dell’app, ma la configurazione completa del dispositivo, le impostazioni delle notifiche, la gestione dei backup e — in scenari ad alto rischio — la verifica forense periodica del dispositivo stesso.
Il rischio non riguarda solo i dispositivi mobili. In ambienti fisici non protetti, le conversazioni vocali possono essere catturate attraverso superfici e strutture dell’edificio stesso — un fenomeno documentato e reale come spiegato nell’articolo sulle intercettazioni audio da ringhiera. La sicurezza delle comunicazioni riservate è un problema che riguarda contemporaneamente il dispositivo, l’app e l’ambiente fisico in cui si parla.
Per chi gestisce ambienti sensibili, la protezione delle comunicazioni passa anche dalla schermatura fisica degli spazi. Le tende schermanti rappresentano una soluzione passiva per ridurre la propagazione di segnali RF verso l’esterno, complementare alle misure digitali. Nessuna contromisura singola è sufficiente — la sicurezza reale è sempre multi-livello.
Polinet S.r.l. esegue analisi di sicurezza su dispositivi mobili e consulenze TSCM per aziende ed enti che trattano comunicazioni riservate. Contattaci su spiare.com per una valutazione riservata.
Fonti: 404 Media, BleepingComputer, Security Affairs, Apple Security Bulletin CVE-2026-28950
Domande frequenti Signal
Come ha fatto l’FBI a recuperare i messaggi Signal già eliminati?
L’FBI non ha violato la crittografia di Signal. Ha estratto i messaggi dal database interno delle notifiche push di iOS, dove il sistema operativo conservava una copia del testo ricevuto anche dopo che l’app era stata disinstallata e i messaggi a scomparsa erano scaduti. Lo strumento forense utilizzato è stato principalmente Cellebrite.
Il bug è stato corretto? Devo aggiornare il mio iPhone?
Sì. Apple ha rilasciato la patch il 22 aprile 2026 con iOS 26.4.2 e iPadOS 26.4.2, correggendo la vulnerabilità CVE-2026-28950. Aggiorna immediatamente. Signal ha confermato che le notifiche conservate inavvertitamente verranno eliminate automaticamente dopo l’aggiornamento.
Signal è ancora sicuro da usare?
Sì. La crittografia end-to-end di Signal non è stata compromessa. Il problema era nel sistema operativo iOS, non nell’app. Con iOS aggiornato e l’impostazione notifiche su “Nessun nome o contenuto”, Signal rimane una delle opzioni più sicure per le comunicazioni riservate.
Come disattivo le anteprime nelle notifiche di Signal?
Apri Signal → Impostazioni → Notifiche → Mostra → seleziona Nessun nome o contenuto. Con questa impostazione, nel database iOS viene salvato solo “Messaggio Signal” senza alcun testo, rendendo inutile qualsiasi estrazione forense.
Cosa rischia chi usa app cifrate su dispositivi aziendali senza configurarle correttamente?
La sicurezza di un’app non equivale alla sicurezza del dispositivo su cui gira. Strumenti forensi come Cellebrite o Magnet AXIOM possono estrarre artefatti di sistema anche dopo la disinstallazione. Per chi gestisce comunicazioni sensibili in ambito professionale è necessaria una valutazione completa della configurazione del dispositivo, delle notifiche e del rischio forense complessivo.
