Компания Apple выпустила незапланированные обновления iOS 26.4.2 и iOS 18.7.8 для iPhone и iPad, которые закрывают уязвимость CVE-2026-28950 в сервисе уведомлений: удалённые оповещения неожиданно оставались в памяти гаджета. Релиз состоялся 22 апреля вне обычного графика — сразу после того, как стало известно, что ФБР извлекло переписку из мессенджера Signal на iPhone подозреваемой именно благодаря хранилищу уведомлений Apple.
Источник изображения: Yingchih / unsplash.com
Проблема была связана со службой уведомлений в iOS и iPadOS. Компания решила её, применив улучшенный механизм скрытия данных, но не раскрыла ни технических деталей о том, как долго информация из уведомлений сохранялась, ни способов её восстановления. Экстренный патч появился после того, как ФБР восстановило копии входящих сообщений Signal с телефона подозреваемой Линетт Шарп (Lynette Sharp), хотя само приложение было удалено с устройства.
Как следует из записей судебного процесса, опубликованных сторонниками обвиняемой, переписка была получена не из зашифрованного хранилища Signal, а из системы уведомлений iPhone. «Сообщения извлекли с телефона Шарп через внутреннее хранилище уведомлений Apple — Signal был удалён, но входящие уведомления остались во внутренней памяти», — указано в этих документах.
Apple не стала комментировать связь обновления с данным делом и не сообщила ни о том, применялась ли эта уязвимость в реальных атаках, ни о причинах, по которым релиз не вошёл в стандартный цикл. В бюллетене компании нет упоминания дела Шарп, однако его описание совпадает с информацией, предоставленной стороной защиты.
