Apple выпустила внеплановое обновление для iPhone и iPad и закрыла уязвимость, из-за которой уведомления, уже помеченные на удаление, могли сохраняться на устройстве. Проблема затрагивала Notification Services — системный механизм обработки push-уведомлений. В бюллетене Apple указывает, что баг исправлен в iOS 18.7.8 и iPadOS 18.7.8, релиз вышел 22 апреля 2026 года. Компания описывает проблему коротко: уведомления, которые должны были удаляться, могли неожиданно оставаться на устройстве. Исправление прошло по CVE-2026-28950.
В описании Apple сказано, что проблема была связана с logging issue — ошибкой журналирования, а устранили её за счёт исправления очистки и скрытия данных. Apple не пишет, что речь шла именно о Signal, WhatsApp или другом конкретном мессенджере, и не утверждает, что уязвимость использовалась массово. В официальном тексте есть только факт хранения уведомлений дольше положенного срока и факт исправления.
Внимание к истории привлекла публикация 404 Media от 9 апреля. Издание сообщило, что ФБР смогло извлечь входящие сообщения Signal с iPhone обвиняемой даже после удаления приложения. Данные нашли не в зашифрованном хранилище самого мессенджера, а во внутренней базе уведомлений iPhone. 9to5Mac уточнил важную деталь: были доступны именно входящие сообщения, которые попали в уведомления, исходящие в этом описании не фигурировали.
То есть, дело не в том, что кто-то взломал Signal. Слабым местом оказался системный слой iOS: если текст сообщения показывался в push-уведомлении, копия содержимого могла задержаться во внутреннем хранилище уведомлений даже после того, как приложение удалили, а сами сообщения в чате исчезли по таймеру. Такой сценарий особенно неприятен для мессенджеров с автоудалением, потому что пользователь ожидает исчезновения данных, а часть содержимого в реальности продолжает жить в системном кэше.
Профильные издания отмечают совпадение по механике: в судебной истории речь шла о сохранённых уведомлениях, а в бюллетене Apple — об уведомлениях, помеченных для удаления, но оставшихся на устройстве. BleepingComputer пишет, что описание Apple совпадает с тем типом сохранения данных, который всплыл в публикации 404 Media.
Получается, что сквозное шифрование защищает переписку в канале доставки и в приложении, но не отменяет риск утечки содержимого через уведомления на уровне ОС. Если мессенджер показывал текст входящего сообщения в push, этот текст мог попасть в системные структуры, журналирование или кэш. Именно поэтому настройка «не показывать содержимое уведомлений» считается нормальной гигиеной для тех, кому важна приватность переписки.
Обновление уже доступно для большого списка устройств, включая iPhone XR и более новые модели, несколько поколений iPhone SE, а также современные iPad Air, iPad mini, базовые iPad и iPad Pro. Apple рекомендует ставить такие патчи без задержек.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
