V udalosti, ktorá pravdepodobne ešte viac vyostrí prebiehajúcu diskusiu o digitálnom súkromí a bezpečnej komunikácii, spoločnosť Apple Inc. vydala softvérovú aktualizáciu riešiacu chybu v operačných systémoch iOS a iPadOS, ktorá umožňovala, aby zmazané notifikačné dáta — vrátane správ z šifrovaných aplikácií ako Signal — zostávali uložené na zariadeniach.
Zraniteľnosť, evidovaná ako CVE-2026-28950, vyplývala z problému v rámci Notification Services frameworku spoločnosti Apple. Podľa firmy mohli notifikácie, ktoré používatelia alebo aplikácie zamýšľali odstrániť, zostať lokálne uložené na zariadení a potenciálne prístupné prostredníctvom forenzných nástrojov.
Tichá chyba s významnými dôsledkami
Apple opísal chybu ako „problém logovania“, ktorý bol vyriešený zlepšeným redigovaním dát. Vo svojom bezpečnostnom oznámení spoločnosť uviedla, že „notifikácie označené na odstránenie mohli zostať neočakávane uložené na zariadení“, pričom neuviedla, ako dlho chyba existovala ani ako rozsiahlo mohla byť zneužívaná.
Oprava bola vydaná v iOS 26.4.2 a iPadOS 26.4.2 a spätne aplikovaná aj na staršie podporované verzie vrátane iOS 18.7.8. Ovplyvnené je široké spektrum zariadení — od iPhone XR až po najnovšiu radu iPhone 16 a viacero modelov iPad.
Aj keď Apple neuviedol, či bola zraniteľnosť aktívne zneužívaná v praxi, nedávne správy naznačujú, že bola využitá minimálne v jednom významnom trestnom vyšetrovaní.
Prípad FBI odhalil problém
Chyba získala verejnú pozornosť po správe, že Federal Bureau of Investigation úspešne obnovil dáta správ z iPhonu podozrivého počas vyšetrovania útoku na detenčné zariadenie Prairieland ICE.
Napriek tomu, že podozrivý odstránil aplikáciu Signal — považovanú za jednu z najbezpečnejších komunikačných platforiem — vyšetrovatelia dokázali získať fragmenty prichádzajúcich správ. Tie boli údajne extrahované z databázy push notifikácií zariadenia, kde boli kópie náhľadov správ potichu uložené.
Toto odhalenie poukazuje na dôležitý detail v mobilnej bezpečnosti: aj keď aplikácia používa end-to-end šifrovanie, dáta môžu unikať cez systémové funkcie ako notifikácie, zálohy alebo logy.
Šifrovanie vs. systémová expozícia
Šifrovací protokol Signal zabezpečuje, že správy si môžu prečítať iba odosielateľ a príjemca priamo v aplikácii. Avšak keď sa náhľady správ zobrazujú v notifikáciách, časť tohto obsahu môže byť spracovávaná operačným systémom mimo šifrovaného prostredia aplikácie.
Tento rozdiel je dlhodobo predmetom obáv obhajcov súkromia. Organizácia Electronic Frontier Foundation uviedla, že používatelia často nemajú prehľad o tom, ako sú notifikačné dáta spracovávané alebo ukladané.
„Pre väčšinu notifikácií aplikácií neexistuje jednoduchý spôsob, ako zistiť, aké metadáta môžu byť vystavené, alebo či sú tieto dáta šifrované,“ uviedla EFF. „Používatelia by mali tiež zvážiť, či niektoré aplikácie vôbec potrebujú posielať notifikácie.“
Nedostatok transparentnosti vyvoláva otázky
Apple nevysvetlil, prečo bol obsah notifikácií vôbec logovaný, ani kedy bola chyba zavedená. Bezpečnostní výskumníci uvádzajú, že takéto medzery nie sú neobvyklé, ale sťažujú posúdenie skutočného rozsahu možného vystavenia.
Absencia CVSS skóre pre CVE-2026-28950 ďalej zvyšuje nejasnosť. Aj keď sa problém môže javiť ako technicky menej závažný, jeho reálne dopady — najmä v právnom a vyšetrovacom kontexte — môžu byť významné.
Forenzné nástroje používané orgánmi činnými v trestnom konaní sú čoraz schopnejšie extrahovať zvyškové dáta zo zariadení, aj keď si používatelia myslia, že boli odstránené.
Fyzický prístup ako kľúčové riziko
Incident zároveň poukazuje na dlhodobú realitu kybernetickej bezpečnosti: fyzický prístup k zariadeniu môže výrazne zvýšiť riziko úniku dát.
Aj veľmi bezpečné aplikácie nedokážu úplne ochrániť pred zraniteľnosťami na úrovni operačného systému alebo pred pokročilými forenznými technikami. V tomto prípade vytvorila prítomnosť zvyškových notifikačných dát nečakanú útokovú plochu.
Reakcia Signal a Apple
V reakcii na opravu Signal zdôraznil, že používatelia nemusia robiť nič iné než nainštalovať najnovšiu aktualizáciu.
„Po nainštalovaní opravy budú všetky neúmyselne zachované notifikácie odstránené,“ uviedla spoločnosť, pričom dodala, že budúce notifikácie pre odstránené aplikácie už nebudú uchovávané.
Signal zároveň ocenil reakciu Apple a označil ju za nevyhnutný krok na ochranu súkromnej komunikácie.
„Na zachovanie základného ľudského práva na súkromnú komunikáciu je potrebný celý ekosystém,“ uviedla spoločnosť.
Čo môžu urobiť používatelia
Aj keď je zraniteľnosť už opravená, experti na súkromie odporúčajú dodatočné opatrenia:
- vypnúť náhľady správ v notifikáciách
- používať nastavenia ako „len meno“ alebo „bez mena a správy“ v Signal
- obmedziť prístup k notifikáciám na uzamknutej obrazovke
- pravidelne aktualizovať zariadenia na najnovšie verzie softvéru
Tieto opatrenia môžu znížiť množstvo informácií vystavených mimo šifrovaného prostredia.
Širšie dôsledky pre digitálne súkromie
Táto udalosť je pripomienkou, že end-to-end šifrovanie je len jednou časťou skladačky súkromia. Funkcie na úrovni systému, komfort používateľského rozhrania a prehliadnuté chyby môžu všetky zaviesť neúmyselné zraniteľnosti.
Keďže smartfóny čoraz viac slúžia ako hlavné úložiská osobných a citlivých dát, hranica medzi bezpečnou komunikáciou a praktickou použiteľnosťou zostáva krehkou rovnováhou.
Pre Apple môže rýchle vydanie opravy pomôcť zmierniť okamžité obavy. Pre používateľov, vývojárov aj tvorcov politík však tento incident zdôrazňuje hlbšie ponaučenie: skutočné digitálne súkromie nezávisí len od aplikácií, ale od celého ekosystému, v ktorom fungujú.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/apple-patches-ios-flaw-which-allowed-law-enforcement-yjnce
https://www.pcmag.com/news/latest-iphone-update-fixed-bug-fbi-used-to-read-deleted-messages