iOS 26.4.2 закриває вразливість, через яку ФБР читало видалені сповіщення
- Apple випустила iOS 26.4.2, що усуває вразливість у базі даних сповіщень — видалені push могли зберігатися на пристрої.
- ФБР використовувало цю вразливість для доступу до видалених сповіщень Signal на iPhone.
- Оновлення доступне для iPhone 11 і новіших та низки моделей iPad.
- Signal підтвердив задоволення від випуску патча; EFF нагадує, що сповіщення вразливі також у хмарі.
Apple випустила iOS 26.4.2, яка усуває вразливість у базі даних сповіщень. Через цю вразливість правоохоронні органи, зокрема ФБР, могли отримувати доступ до видалених push-сповіщень на iPhone та iPad.
Згідно з примітками до оновлення, iOS 26.4.2 запроваджує «покращене приховування даних» для усунення проблеми, за якої «сповіщення, позначені для видалення, могли несподівано зберігатися на пристрої». Оновлення доступне для iPhone 11 і новіших моделей, iPad Pro 12.9″ 3-го покоління і новіших, iPad Pro 11″ 1-го покоління і новіших, iPad Air 3-го покоління і новіших, iPad 8-го покоління і новіших, а також iPad mini 5-го покоління і новіших.
Про використання цієї вразливості ФБР першим повідомило видання 404 Media: агентство застосовувало спеціальний інструмент для отримання даних сповіщень Signal, збережених локально на iPhone навіть після їх видалення. CEO Signal Мередіт Вітакер тоді закликала користувачів змінити налаштування так, щоб push-сповіщення не відображали ім’я відправника та вміст повідомлення. Після виходу оновлення Signal повідомив, що «дуже радий» випуску патча від Apple.
За даними Electronic Frontier Foundation, конфіденційність сповіщень може бути порушена у двох місцях: у хмарі, де вони проходять через сервери компанії і частково фіксуються у метаданих, та у локальному сховищі пристрою. Apple також вимагає судового рішення для передачі даних сповіщень з 2023 року.
