Корпорация Apple выпустила внеплановое обновление безопасности для своих мобильных устройств. Оно устраняет уязвимость, получившую идентификатор CVE-2026-28950. Вследствие этой уязвимости сообщения, удаленные в защищенном мессенджере Signal, не исчезали, а продолжали на протяжении некоторого времени сохраняться в архиве уведомлений в кеше устройства. Проблема была исправлена 22 апреля в версиях операционной системы iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8.

Представители Apple сообщили, что сообщения, предназначенные для удаления, могли неожиданным образом сохраняться на устройстве, и что ошибка устранена за счет улучшения процесса очистки данных. Компания не привела никаких технических деталей, не указала, эксплуатировалась ли уязвимость CVE-2026-28950 в реальных атаках и даже не уточнила, на протяжении какого времени удаленные сообщения продолжали сохраняться на устройстве.

Однако чуть ранее ресурс 404 Media опубликовал материал, в котором сообщалось, что специалистам Федерального Бюро Расследований США удалось восстановить копии сообщений из Signal с iPhone подозреваемого даже после их удаления в приложении. Из показаний, прозвучавших в ходе судебного процесса, следовало, что восстановленные данные были получены не из зашифрованного хранилища сообщений Signal, а из системного хранилища уведомлений iPhone. Более того, удаленные сообщения продолжали сохраняться на устройстве даже после того, как было удалено само приложение Signal. В уведомлении Apple об устранении уязвимости этот случай никак не упоминается, но сходство описаний проблемы очевидно.

Представители Signal поблагодарили Apple за оперативное устранение уязвимости. «Мы признательны за быстрые действия и понимание серьёзности подобных проблем. Для защиты фундаментального права человека на приватность коммуникаций необходима надежная целостная экосистема», — говорится в опубликованном заявлении Signal.