Tech & Gear

Apple 修補 iOS 26.4.2 漏洞,可能曝光已刪除的推送通知

作者 Aimirul|
分享

Apple 已經推出 iOS 26.4.2,這個更新很值得 ASAP 安裝,尤其如果你在意 lock screen 上的訊息隱私。

這次 patch 修復了一個與 Apple 通知資料庫有關的漏洞,問題是 原本應該被刪除的 push notifications 仍可能留在裝置上。這很重要,因為據報這些殘留通知可能會被執法單位查看,即使使用者以為它們已經不見了。

根據 Apple 自家的 release notes,這次修復為一個 標記為刪除的通知可能會意外保留在裝置上 的問題加入了 "improved data redaction"。簡單來說,已刪除的 alerts 不一定都會像使用者預期那樣完全消失。

為什麼這件事很大條

更大的 privacy 角度,才是這件事真正 spicy 的地方。

Electronic Frontier Foundation 表示,這個 bug 為像 FBI 這類機構提供了一條繞過 Apple 更嚴格 privacy 立場的路徑。自 2023 年起,Apple 要求必須有 court order 才會分享通知資料。但如果資料本身仍然躺在手機裡,那就變成另一個可存取點。

這個漏洞的特定用法最早由 404 Media 報導,該媒體指出 FBI 使用一個工具提取 儲存在 iPhone 本機的 Signal notification data,包括已經被刪除的通知。

這點特別值得注意,因為像 Signal 這類 apps 通常都跟更強的 privacy 綁在一起。但這個案例顯示,弱點不一定在 app 本身,而是在 OS 處理通知資料的方式。

Signal 早就提醒過用戶

Signal CEO Meredith Whitaker 之前已承認這個問題,並表示 已刪除訊息的通知不應該留在任何 OS notification database 裡。她也說 Signal 曾要求 Apple 處理這件事。

當時,Whitaker 建議用戶減少 Signal 通知中顯示的內容,包括從 previews 中移除寄件者名稱和訊息內容。Apple 發布 patch 後,Signal 表示對 Apple 同時推出修復和 security advisory 感到 "very happy"

為什麼 Malaysia 和 SEA 用戶應該關心

對 Malaysia 和整個 Southeast Asia 很多人來說,lock-screen notifications 基本上就是 mini inbox。OTPs、銀行 alerts、工作 chats、家人 WhatsApp 訊息、Telegram groups、Signal convos,全部都會跑到那邊。

這種方便確實 nice,但也代表你的 notification panel 可能默默存著比你想像更多的敏感資訊。如果已刪除的 alerts 仍然留在系統資料庫裡,那不管你住在哪裡,都是 privacy problem。

這在本區域也特別有感,因為很多用戶只靠一支手機處理 工作、副業、銀行和私人聊天。一台 device 扛全部。所以就算你不是那種把 privacy-maxxing 玩到極致的 hardcore user,這個更新還是很重要。

哪些裝置可以獲得更新

Apple 表示這個 patch 現在已適用於:

  • iPhone 11 and later
  • iPad Pro 12.9-inch (3rd gen and later)
  • iPad Pro 11-inch (1st gen and later)
  • iPad Air (3rd gen and later)
  • iPad (8th gen and later)
  • iPad mini (5th gen and later)

你現在應該做什麼

首先,如果你的裝置支援,請更新到 iOS 26.4.2

第二,如果你使用 messaging apps 處理敏感聊天,限制 notification previews 顯示的內容 仍然是聰明做法。EFF 指出,notifications 至少可能在兩個地方被曝光:一是在透過公司 server 路由時的 cloud,二是在手機本機儲存時。

所以 yeah,這個 patch 應該會關掉 Apple 所確認的特定漏洞,但良好的 notification hygiene 依然重要。如果你的 lock screen 還在顯示完整訊息內容,也許現在就是時候整理一下了。

Source: Engadget

标签

AppleiOSprivacycybersecuritySignal