Компания Apple выпустила внеплановые обновления безопасности для iPhone и iPad, чтобы исправить уязвимость в службе уведомлений, из-за которой уведомления, помеченные для удаления, могли сохраняться на устройстве.
Уязвимость отслеживается под идентификатором CVE-2026-28950. Она была устранена 22 апреля 2026 года в iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8.
Обновления доступны для установки «по воздуху» через Настройки > Основные > Обновление ПО.
Установить iOS 26.4.2 можно на iPhone 11 и более новых моделях. Обновление iOS 18.7.8 доступно как для старых устройств, не поддерживающих iOS 26 (iPhone XS, XS Max и XR), так и для более новых моделей, владельцы которых сознательно остаются на iOS 18.
Обратите внимание
Перед установкой обновления рекомендуется сделать резервную копию iPhone и принять базовые меры предосторожности, особенно актуальные для пользователей из России. Подробная инструкция — в отдельном руководстве: Как минимизировать риски при обновлении iPhone.
В бюллетене безопасности Apple сообщается:
Уведомления, помеченные для удаления, могли неожиданно сохраняться на устройстве.
В компании сообщили, что проблема устранена за счет улучшенной очистки данных, но дополнительных подробностей не предоставили.
При этом Apple не сообщила, использовалась ли уязвимость в реальных атаках и почему исправление было выпущено вне стандартного цикла обновлений безопасности. Также компания не раскрыла технические детали: как долго данные уведомлений могли храниться на устройстве и каким образом их можно было восстановить.
Хотя Apple не объяснила причины выпуска этого экстренного обновления, недавний материал издания 404 Media описывает, как Федеральное бюро расследований (ФБР) смогло восстановить копии сообщений Signal с iPhone подозреваемого, даже после их удаления в приложении.
Согласно судебным материалам, восстановленные данные поступили не из зашифрованного хранилища сообщений Signal, а из хранилища уведомлений iPhone.
В материалах сообщается
Сообщения были восстановлены с телефона через внутреннее хранилище уведомлений Apple — Signal был удален, но входящие уведомления сохранялись во внутренней памяти.
В Signal заявили:
Мы благодарны Apple за оперативную реакцию и за понимание важности подобных проблем. Для сохранения фундаментального права человека на приватную коммуникацию требуется усилие всей экосистемы.
Издание 404 Media также сообщило, что данные уведомлений сохранялись даже после удаления Signal с устройства.
В уведомлении Apple об уязвимости этот случай не упоминается, однако описание проблемы — сохранение уведомлений на устройстве — соответствует типу хранения данных, о котором говорится в отчете.
Пользователям рекомендуется как можно скорее установить последние обновления, чтобы предотвратить возможное сохранение удаленных уведомлений на устройствах.
Кроме того, можно ограничить сохранение содержимого сообщений Signal в уведомлениях iOS: для этого нужно перейти в Настройки Signal > Уведомления > Содержимое уведомлений и установить параметр Показывать в значение Только имя или Без имени и содержимого.
Угрозы безопасности
• Apple срочно закрыла уязвимость в iPhone, позволявшую восстанавливать удалённые сообщения Signal
• OpenAI отозвала сертификат приложений ChatGPT, Codex и Atlas для macOS – требуется обновление
• Антивирус Dr.Web обнаружил сторонний код в зависимостях Visual Studio Code – что известно об угрозе JS.Siggen5.44590
• Более 100 расширений в Chrome Web Store крадут аккаунты и данные пользователей
• CPUID взломали: вредоносное ПО распространялось через CPU-Z и HWMonitor
• Поддельное обновление Windows не определяется антивирусами и крадёт пароли пользователей