Apple выпустила экстренные обновления безопасности для iPhone и iPad после исправления уязвимости в службе уведомлений, которая могла приводить к тому, что удалённые уведомления дольше обычного оставались на устройстве — дефект, который мог раскрывать содержимое из зашифрованных мессенджеров, таких как Signal.

Внеплановое обновление

Ошибка, зарегистрированная как CVE-2026-28950, была исправлена 22 апреля в iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8. В своём бюллетене по безопасности Apple ограничилась заявлением, что «уведомления, помеченные для удаления, могли неожиданно сохраняться на устройстве», и отметила, что проблема была исправлена за счёт улучшенного удаления данных (data redaction).

Apple не сообщила, использовалась ли уязвимость в реальных атаках, почему исправление было выпущено вне обычного цикла обновлений компании, и как долго данные уведомлений могли оставаться доступными. Компания также не описала способ, которым сохранявшиеся данные могли быть восстановлены.

Время выпуска исправления совпадает с репортажом 404 Media, в котором описан случай, когда FBI удалось восстановить сообщения Signal с iPhone подозреваемого даже после того, как они были удалены в приложении. По данным заметок судебного разбирательства, опубликованных сторонниками обвиняемых, сообщения не были извлечены из зашифрованного хранилища сообщений Signal. Вместо этого они были восстановлены из хранилища уведомлений iPhone, где входящие уведомления якобы сохранялись во внутренней памяти даже после удаления Signal.

В уведомлении Apple этот случай не упоминается, но описание того, что уведомления оставались на устройстве, близко соответствует описанной в репортаже форме сохранения данных.

Позднее Signal поблагодарила Apple за оперативные действия. «Мы благодарны Apple за быстрые действия и за понимание важности проблемы такого рода. Для защиты фундаментального права человека на приватное общение требуется скоординированная работа всей экосистемы», — говорится в публичном заявлении компании.

Пользователям настоятельно рекомендуется как можно скорее установить последние обновления. Signal также указывает, что пользователи могут уменьшить вероятность того, что содержимое сообщений будет сохранено в данных уведомлений iOS, изменив Настройки Signal > Уведомления > Содержимое уведомления на «Только имя» или «Без имени и содержимого».

BleepingComputer сообщил, что связался с Apple за комментарием, но пока не получил ответа.

Источники:

bleepingcomputer.com