Apple випустила позапланове оновлення безпеки для iPhone та iPad, яке закриває вразливість iOS у сховищі сповіщень. Через цей недолік сповіщення, позначені для видалення, могли залишатися на пристрої — саме так ФБР відновило переписку Signal навіть після видалення застосунку.
Деталі патчу: CVE-2026-28950
Оновлення вийшло 22 квітня 2026 року одразу у двох гілках: iOS 26.4.2 / iPadOS 26.4.2 та iOS 18.7.8 / iPadOS 18.7.8. Вразливість отримала ідентифікатор CVE-2026-28950.
У бюлетені безпеки Apple йдеться, що «сповіщення, позначені для видалення, могли несподівано залишатися збереженими на пристрої». Проблему усунуто через покращену редакцію даних. Технічних деталей компанія не розкрила — зокрема, скільки часу дані могли зберігатися та яким чином їх можна було відновити.
Apple не підтвердила й того, чи використовувалась вразливість в реальних атаках. Причину позапланового, а не звичайного циклового оновлення компанія також не пояснила.
Як ФБР відновило переписку Signal: деталі справи
Зв’язок між патчем і гучним розслідуванням розкрило видання 404 Media: за його даними, ФБР відновило копії повідомлень Signal зі смартфона підозрюваного, попри те що їх було видалено в застосунку.
Згідно з нотатками судового процесу, оприлюдненими прихильниками обвинувачених, дані потрапили не з зашифрованого сховища Signal, а з внутрішньої системи зберігання сповіщень iOS. «Повідомлення були відновлені з телефону Шарпа через внутрішнє сховище сповіщень Apple — Signal було видалено, але вхідні сповіщення зберігалися у внутрішній пам’яті», — йдеться у офіційному повідомленні.
404 Media також повідомило, що дані сповіщень збереглися навіть після повного видалення Signal із пристрою.
Apple у своєму бюлетені не посилається на цю справу, однак опис вразливості — несподіване збереження сповіщень — безпосередньо відповідає механізму, описаному у судових матеріалах.
Signal подякував Apple за оперативну реакцію
Компанія Signal позитивно оцінила дії Apple: «Вдячні Apple за швидкі дії та за розуміння ставок у питанні такого роду. Для захисту фундаментального права людини на приватне спілкування потрібна злагоджена робота всієї екосистеми», — йдеться у публічній заяві компанії.
Що варто зробити прямо зараз
Щоб захиститися від несанкціонованого збереження видалених сповіщень, користувачам рекомендується:
Встановити оновлення. Перейдіть до «Параметри» → «Загальні» → «Оновлення ПЗ» та встановіть iOS 26.4.2 / iPadOS 26.4.2 або iOS 18.7.8 / iPadOS 18.7.8 залежно від версії вашого пристрою.
Обмежити вміст сповіщень Signal. Навіть до встановлення патчу можна запобігти потраплянню тексту повідомлень у сховище сповіщень. Для цього відкрийте Signal → «Налаштування» → «Сповіщення» → «Вміст сповіщень» і виберіть «Лише імʼя» або «Без імені й вмісту».
