Конфиденциальность

iOS 26.4.2 устраняет уязвимость, раскрывавшую удалённые сообщения

27 апреля 2026 г.4 мин чтения

By Lina Petrov — 8 years reviewing consumer technology

iOS 26.4.2 устраняет уязвимость, раскрывавшую удалённые сообщения

Apple устраняет уязвимость, благодаря которой удалённые сообщения оставались доступными

Apple выпустила iOS 26.4.2 — обновление безопасности, направленное против уязвимости с идентификатором CVE-2026-28950. Уязвимость позволяла удалённым чат-сообщениям оставаться доступными для восстановления благодаря поведению системного журналирования, которое сохраняло превью сообщений даже после того, как пользователи их удаляли. На практике это означало, что сообщение, которое пользователь считал удалённым, по-прежнему можно было прочитать — в том числе сотрудникам правоохранительных органов.

Обновление стоит установить как можно скорее, однако история, стоящая за этой уязвимостью, ставит более широкие вопросы о том, как на самом деле работает конфиденциальность на смартфоне и почему одного патча для ОС редко бывает достаточно.

Что именно делала эта уязвимость

Суть проблемы заключалась не в слабости сквозного шифрования как такового. Проблема находилась на уровне операционной системы: процессы журналирования, предназначенные для поддержки системной диагностики, непреднамеренно перехватывали и сохраняли превью сообщений. При удалении пользователем переписки содержимое этих журналов не очищалось одновременно.

Подобная уязвимость особенно значима, поскольку она действует за пределами того, что большинство пользователей могут видеть или контролировать. Вы можете пользоваться широко известным приложением для зашифрованного обмена сообщениями, удалять конфиденциальные переписки и при этом иметь читаемые превью, хранящиеся в системных журналах. Шифрование, защищавшее ваши сообщения при передаче, не давало никакой защиты от данных, которые локально сохраняла сама ОС.

Apple не раскрыла подробностей о масштабах эксплуатации уязвимости, однако присвоение идентификатора CVE и скорость выпуска патча свидетельствуют о том, что компания отнеслась к этому вопросу серьёзно.

Противоречие между конфиденциальностью и правоохранительными органами

Эта уязвимость оказалась в центре давней дискуссии между технологическими компаниями и правоохранительными органами о доступе к данным на устройствах. Власти исторически искали способы получить переписку с телефонов подозреваемых, и системное журналирование время от времени становилось путём к данным, которые пользователи считали удалёнными.

Apple в целом позиционирует себя как последовательного защитника конфиденциальности пользователей, и выпуск этого патча вписывается в такую позицию. Однако само существование уязвимости напоминает о том, что даже платформы, ориентированные на конфиденциальность, могут иметь пробелы, подрывающие заявленную защиту. Ни одна операционная система не является герметичным хранилищем, а уязвимости на системном уровне способны незаметно обходить защиту, на которую пользователи полагаются на уровне приложений.

Это противоречие не является исключительной особенностью Apple. Оно отражает структурную проблему всей отрасли: современные операционные системы чрезвычайно сложны, а системы журналирования, кэширования и диагностики, обеспечивающие их работу, могут создавать непреднамеренное хранение данных, которого изначально не предвидели ни пользователь, ни разработчик.

Что это означает для вас

Наиболее очевидный шаг прост: обновитесь до iOS 26.4.2 как можно скорее. Установка патча закрывает конкретную дверь, которая была открыта ранее.

Помимо этого, данный случай — полезное напоминание о том, что конфиденциальность на устройстве многоуровневая и ни один инструмент или параметр не охватывает всё. Стоит рассмотреть несколько практик:

Регулярно обновляйте ОС. Уязвимости на системном уровне, подобные этой, — именно то, для устранения чего предназначены обновления безопасности. Откладывая обновления, вы дольше оставляете известные уязвимости открытыми.

Понимайте, что именно защищают ваши приложения для обмена сообщениями. Сквозное шифрование защищает сообщения при передаче между устройствами, но не контролирует то, что операционная система делает с содержимым после его получения. Знание ограничений защиты конкретного приложения помогает принимать осознанные решения о том, что и где отправлять.

Тщательно подходите к конфиденциальным коммуникациям. Если переписка действительно требует высокой степени конфиденциальности, рассмотрите использование приложений для обмена сообщениями с функцией исчезающих сообщений и помните, что «удалено» на устройстве не всегда означает «невосстановимо» — особенно до применения подобного патча.

VPN решает другую часть проблемы конфиденциальности. Стоит чётко понимать: VPN не предотвратил бы именно эту уязвимость, которая была полностью локальной для устройства. VPN защищает данные, передаваемые по сети, а не данные, хранящиеся или записываемые в журналы на самом устройстве. VPN по-прежнему полезен для предотвращения сетевого слежения в ненадёжных сетях, однако это отдельный уровень защиты по сравнению с тем, что устраняет iOS 26.4.2.

Обновитесь сейчас, а затем подумайте о более широкой картине

Быстрая реакция Apple с выпуском iOS 26.4.2 — обнадёживающий знак того, что компания серьёзно относится к подобным проблемам. Установка обновления — правильный первый шаг. Однако главный вывод из CVE-2026-28950 состоит в том, что конфиденциальность на смартфоне — не единственный переключатель, который можно просто включить. Это непрерывное сочетание обновлённого программного обеспечения, осознанного выбора приложений и реалистичных ожиданий относительно того, что именно каждый уровень защиты реально обеспечивает.

Проверьте настройки обновления программного обеспечения на своём iPhone прямо сейчас, установите iOS 26.4.2, если ещё не сделали этого, и потратьте несколько минут на то, чтобы проверить, какие приложения имеют доступ к вашим сообщениям и какова их собственная политика хранения данных. Небольшие последовательные привычки, как правило, важнее любого отдельного патча.

// FAQ

Какая уязвимость устранена в iOS 26.4.2?

Уязвимость с идентификатором CVE-2026-28950 позволяла удалённым чат-сообщениям оставаться доступными для восстановления, поскольку процессы системного журналирования сохраняли превью сообщений даже после их удаления пользователями.

Нарушила ли эта уязвимость сквозное шифрование?

Нет, уязвимость не являлась слабостью самого сквозного шифрования, а существовала на уровне операционной системы, где диагностическое журналирование непреднамеренно перехватывало и локально сохраняло превью сообщений.

Могли ли правоохранительные органы получить доступ к сообщениям через эту уязвимость?

Да, поскольку удалённые сообщения оставались в системных журналах, правоохранительные органы потенциально могли получить к ним доступ даже после того, как пользователи считали сообщения окончательно удалёнными.

Раскрыла ли Apple информацию о масштабах эксплуатации уязвимости?

Apple не раскрыла подробностей о масштабах эксплуатации, однако присвоение идентификатора CVE и скорость выпуска патча свидетельствуют о том, что компания отнеслась к этому вопросу серьёзно.

Что должны сделать пользователи iOS в связи с этой уязвимостью?

Пользователям следует как можно скорее обновиться до iOS 26.4.2, поскольку установка патча закрывает конкретную уязвимость, которая была открыта ранее.