Apple выпустила обновления iOS 26.4.2 и iOS 18.7.8, закрывающие уязвимость CVE-2026-28950. Ошибка приводила к тому, что push-уведомления, помеченные для удаления, продолжали сохраняться на устройстве.
Речь шла о системном механизме логирования. Превью сообщений из мессенджеров хранились в базе уведомлений отдельно от самих приложений, даже если сообщения были удалены или настроены на автоудаление.
Проблема получила широкий резонанс после дела Линетт Шарп. СМИ сообщили, что ФБР удалось восстановить переписку из Signal с iPhone, несмотря на удаление приложения. Данные извлекли именно из базы push-уведомлений iOS.
Apple не раскрывает, когда появилась уязвимость и использовалась ли она в других расследованиях, но выпуск патча фактически подтвердил наличие бага.
Исправление затронуло устройства от iPhone XR до актуальных моделей, а также iPad.
В Signal напомнили, что пользователи могут отключить отображение текста сообщений в уведомлениях, однако для устранения проблемы достаточно установить обновление — после этого сохранённые уведомления удаляются, а новые больше не записываются.
