Security Week 2618: чтение переписки в Signal через нотификации в iOS

Организация Apple на прошлой неделе выпустила внеочередной патч, обновляющий операционные системы iOS и iPadOS до версии 26.4.2. Аналогичный патч выпущен и для предыдущей версии iOS/iPadOS 18. Обновления закрывают ошибку CVE-2026-28950 в механизме хранения нотификаций, в связи с которой «нотификации, помеченные к удалению, могли сохраняться на устройстве».

Apple по традиции не раскрывает подробностей по обнаруженным и закрытым уязвимостям, но в достаточной степени легко связать свежевыпущенный патч с публикацией издания 404media в начале апреля. Там на основании материалов дела в американском суде сообщается о том, как представители правоохранительных органов смогли «вытащить» переписку в защищенном мессенджере Signal из того самого кэша нотификаций.

В материалах суда представители ФБР сообщали, что мессенджер Signal был удален с телефона еще до того, как тот попал на экспертизу. Несмотря на удаление приложения, связанный с ним архив push-нотификаций сохранился, что и позволило восстановить переписку. Авторы мессенджера Signal поблагодарили Apple за версия патча и уточнили, что он решает именно одну конкретную проблему: сохранение переписки в нотификациях после того, как сообщение было удалено. В издании BleepingComputer уточняют, что в настройках нотификаций телефонов Apple можно изменить параметры отображения уведомлений, запретив демонстрацию сообщений (или даже имени отправителя). Эта настройка, обычно, используется для усиления приватности — чтобы исключить сценарий, когда кто-то подглядывает за чужой перепиской на заблокированном телефоне. Но она также влияет и на то, как уведомления хранятся в кэш-памяти.

Данный инцидент дополняет обсуждение проблем защищенности сообщений в мессенджерах, даже если во время их транспортировки используется надежное end-to-end-шифрование. Надежность передачи не гарантирует безопасности при хранении переписки на устройстве. Но если раньше на примере Signal и других мессенджеров чаще обсуждалась защита хранилища в самом приложении, то свежий инцидент скорее представляет собой своего рода «атаку по стороннему каналу»: когда приватная переписка случайно и на протяжении долгого времени сохраняется в памяти операционной системы.

Что еще произошло

Свежее исследование специалистов «Лаборатории Касперского» разбирает новую уязвимость в архитектуре удаленного вызова процедур (RPC) ОС Windows и ее эксплуатацию для повышения привилегий. Еще одна публикация изучает деятельность группировки Geo Likho, атакующей цели в России с упором на организации в авиационной отрасли и водном транспорте.

Компания Rapid7 зафиксировала, возможно, первый случай применения постквантового шифрования в кибератаках. Шифровальщик Kyber использует алгоритм Kyber1024. Постквантовые алгоритмы шифрования разрабатываются с учетом возможного появления в будущем квантовых компьютеров, с помощью которых можно будет значительно проще взламывать некоторые традиционные протоколы. Хотя перспективы появления реально работающих квантовых вычислительных систем пока остаются туманными, переход на постквантовые алгоритмы уже по сути начался — для защитить чувствительные информация даже от гипотетической угрозы в будущем. А теперь данную инновацию применили и киберпреступники, хотя практической пользы от такого нововведения нет.

Еще один взлом NPM-пакета: на сей раз было скомпрометировано программа Bitwarden CLI.