Apple łata błąd iOS pozwalający odzyskać usunięte powiadomienia Signal - Security Bez Tabu

Apple łata błąd iOS pozwalający odzyskać usunięte powiadomienia Signal

Cybersecurity news

Wprowadzenie do problemu / definicja

Apple opublikowało poprawki dla iOS i iPadOS usuwające błąd w komponencie Notification Services, który powodował nieoczekiwane zachowywanie na urządzeniu powiadomień oznaczonych do usunięcia. Problem miał istotny wymiar prywatności, ponieważ treść powiadomień z komunikatorów takich jak Signal mogła pozostać dostępna lokalnie nawet po usunięciu aplikacji.

W praktyce oznaczało to osłabienie założeń bezpieczeństwa opartych na krótkiej retencji danych i minimalizacji śladów pozostających na urządzeniu. Choć nie doszło do złamania szyfrowania end-to-end, podatność pokazała, że warstwa systemowa może utrwalać dane poza kontrolą samej aplikacji.

W skrócie

Podatność oznaczona jako CVE-2026-28950 została usunięta w aktualizacjach iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 oraz iPadOS 18.7.8. Błąd wynikał z problemu z logowaniem i retencją danych, przez co powiadomienia przeznaczone do usunięcia mogły pozostać zapisane lokalnie.

  • problem dotyczył systemowej obsługi powiadomień, a nie samego protokołu Signal,
  • na urządzeniu mogły pozostawać fragmenty wiadomości i metadane,
  • aktualizacja ma blokować dalsze utrwalanie takich danych,
  • według deklaracji producenta poprawka usuwa również wcześniej zachowane wpisy.

Kontekst / historia

Sprawa zyskała rozgłos po doniesieniach, że podczas analizy kryminalistycznej iPhone’a udało się odzyskać przychodzące wiadomości Signal z bazy powiadomień, mimo że sama aplikacja została wcześniej usunięta. To ważne rozróżnienie: problem nie oznacza obejścia szyfrowania komunikatora, lecz nieprawidłowe zarządzanie danymi po stronie systemu operacyjnego.

Incydent wpisuje się w szerszą debatę o tym, jak wiele informacji o komunikacji użytkownika może wyciekać poza aplikację szyfrowaną. Nawet jeśli treść rozmowy jest chroniona kryptograficznie, system nadal przetwarza podglądy wiadomości, nazwy nadawców, znaczniki czasu czy identyfikatory wątków, czyli dane, które również mają wartość operacyjną i śledczą.

Problem nie ogranicza się wyłącznie do Signala. Każda aplikacja wyświetlająca wrażliwe treści w powiadomieniach może zwiększać powierzchnię ujawnienia danych, szczególnie gdy urządzenie trafi w ręce podmiotu dysponującego fizycznym dostępem do sprzętu.

Analiza techniczna

Z opisu producenta wynika, że źródłem problemu był błąd typu logging issue, naprawiony przez improved data redaction. Oznacza to, że systemowa usługa odpowiedzialna za obsługę powiadomień nieprawidłowo przechowywała dane, które powinny zostać usunięte lub zredagowane.

W praktyce powiadomienie push może zawierać wiele elementów wrażliwych, które po zapisaniu w artefaktach systemowych stają się cennym źródłem informacji podczas analizy forensic.

  • nazwę nadawcy,
  • fragment wiadomości,
  • metadane konwersacji,
  • informacje czasowe,
  • identyfikatory powiązane z aplikacją lub konkretnym wątkiem.

To klasyczny przykład zjawiska data remanence, czyli rezydualnego pozostawania danych po operacji usunięcia. Użytkownik może zakładać, że usunięcie aplikacji automatycznie eliminuje wszystkie związane z nią ślady, podczas gdy część informacji może nadal pozostawać w warstwie systemowej, cache, logach lub kopiach zapasowych.

Dodatkowym problemem jest to, że nawet bezpieczny komunikator nie ma pełnej kontroli nad tym, jak system prezentuje i obsługuje powiadomienia. Signal oferuje opcje ograniczenia widoczności treści w notyfikacjach, ale takie ustawienia jedynie redukują ryzyko ekspozycji i nie eliminują skutków błędów po stronie systemu operacyjnego.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko dotyczy prywatności użytkowników narażonych na zajęcie urządzenia, analizę powłamaniową lub przeszukanie cyfrowe. W takich scenariuszach lokalnie zachowane powiadomienia mogą ujawnić treść komunikacji nawet wtedy, gdy aplikacja została już usunięta.

  • ujawnienie fragmentów poufnych rozmów,
  • korelacja kontaktów i aktywności użytkownika,
  • odtworzenie osi czasu komunikacji,
  • naruszenie tajemnicy zawodowej lub operacyjnej,
  • zwiększenie skuteczności analiz śledczych i wywiadowczych.

Dla organizacji ryzyko jest równie istotne. Powiadomienia na urządzeniach firmowych mogą zawierać dane handlowe, ustalenia wewnętrzne, kody jednorazowe, informacje o klientach lub szczegóły incydentów. Jeśli takie dane pozostają w artefaktach systemowych dłużej niż zakłada polityka bezpieczeństwa, może dojść do naruszenia zasady minimalizacji danych oraz wymagań compliance.

Warto podkreślić, że opisany przypadek nie wskazuje na zdalne przejęcie telefonu. Zagrożenie dotyczy przede wszystkim sytuacji, w których osoba trzecia uzyskuje fizyczny dostęp do urządzenia i może poddać je analizie. Dla dziennikarzy, prawników, aktywistów, menedżerów czy administracji publicznej to w pełni realistyczny model zagrożeń.

Rekomendacje

Priorytetem jest jak najszybsza instalacja aktualizacji iOS lub iPadOS zawierającej poprawkę. W tym przypadku aktualizacja nie tylko ogranicza dalsze utrwalanie danych, ale według deklaracji Apple ma również usuwać wcześniej nieprawidłowo zachowane wpisy powiadomień.

  • wymusić aktualizację urządzeń Apple do wersji zawierających poprawkę,
  • ograniczyć treść powiadomień na ekranie blokady i w centrum powiadomień,
  • w komunikatorach ustawić tryb wyświetlania „tylko nazwa” albo całkowicie ukryć nazwę i treść,
  • przeanalizować politykę MDM pod kątem ekspozycji danych w powiadomieniach,
  • uwzględnić artefakty Notification Services w modelowaniu zagrożeń i procedurach mobile forensics,
  • szkolić użytkowników, że usunięcie aplikacji nie zawsze oznacza całkowite usunięcie wszystkich śladów,
  • stosować silne zabezpieczenia urządzeń, w tym aktualny kod blokady, biometrię i kontrolę fizycznego dostępu.

W organizacjach o podwyższonych wymaganiach bezpieczeństwa warto rozważyć politykę ograniczającą używanie pełnych podglądów wiadomości na ekranie blokady. To szczególnie istotne tam, gdzie przetwarzane są dane wrażliwe, informacje regulowane lub komunikacja operacyjna związana z incydentami.

Podsumowanie

Poprawka Apple usuwa błąd prywatności w iOS i iPadOS, który prowadził do zachowywania na urządzeniu powiadomień przeznaczonych do usunięcia. Problem nie podważa bezpieczeństwa kryptograficznego Signal, ale pokazuje, że dane z bezpiecznych komunikatorów mogą zostać ujawnione przez warstwę systemową.

Dla użytkowników indywidualnych oznacza to konieczność szybkiej aktualizacji i przeglądu ustawień powiadomień. Dla organizacji to kolejny sygnał, że bezpieczeństwo komunikacji mobilnej należy oceniać szerzej niż tylko przez pryzmat szyfrowania end-to-end.

Źródła

  1. Apple Fixes iOS Flaw That Let FBI Recover Deleted Signal Messages — https://thehackernews.com/2026/04/apple-patches-ios-flaw-that-stored.html
  2. About the security content of iOS 18.7.7 and iPadOS 18.7.7 — https://support.apple.com/en-us/126793
  3. In-App Notification Options – Signal Support — https://support.signal.org/hc/en-us/articles/360043273491-In-App-Notification-Options
  4. Troubleshooting Notifications – Signal Support — https://support.signal.org/hc/en-us/articles/360007318711-Troubleshooting-Notifications
  5. Phone Number Privacy and Usernames – Signal Support — https://support.signal.org/hc/en-us/articles/6712070553754-Phone-Number-Privacy-and-Usernames