FBI získala obsah vymazaných správ zo Signalu bez toho, aby prelomila šifrovanie aplikácie. Využila databázu push notifikácií v systéme iOS, kde sa textové náhľady správ ukladali v čitateľnej forme nezávisle od toho, čo sa dialo v samotnej aplikácii. Apple reagoval núdzovou aktualizáciou iOS 26.4.2.
Zraniteľnosť dostala označenie CVE-2026-28950. Podľa portálu MacRumors sa citlivé dáta ukladali v notifikačnej databáze ako čitateľný text, ku ktorému forenzný softvér získal prístup pri analýze fyzickej zálohy zariadenia. FBI pri tom nepotrebovala žiadny zero-day exploit, uvádza Engadget. Postačil fyzický prístup k telefónu a bežne dostupné forenzné nástroje.
Čo sa ukladalo
Mechanizmus stojí za to pochopiť presne. Keď Signal doručí správu, iOS ju nakrátko uloží do vlastnej notifikačnej databázy ešte predtým, než ju aplikácia spracuje. Systém to robí preto, aby mohol zobrazovať notifikácie aj vtedy, keď je aplikácia zatvorená. Signal správy šifruje a umožňuje ich vymazanie, no táto systémová vrstva si medzitým náhľad uloží na vlastné účely. Vymazanie v aplikácii databázu notifikácií neovplyvní.
Konkrétny rozsah dát závisel od nastavení zariadenia. Išlo predovšetkým o textové náhľady správ, teda to, čo bežne vidíte na uzamknutej obrazovke. Zraniteľnosť sa pritom netýkala len Signalu. Rovnakým spôsobom bolo teoreticky možné pristupovať k notifikačným dátam bankových alebo zdravotných aplikácií.
iOS 26.4.2
Keď sa prípad dostal na verejnosť prostredníctvom súdnych dokumentov a investigatívnych správ, Apple vydal aktualizáciu iOS 26.4.2 prakticky okamžite. Záplata mení spôsob, akým iOS ukladá obsah notifikácií, popisuje AppleInsider. Citlivé textové náhľady sa od tejto verzie neuchovávajú v podobe prístupnej pre forenzný softvér. Aktualizácia vyšla zároveň pre iPady a Macy, keďže rovnaký systém správy notifikácií funguje naprieč celým ekosystémom.
Portál Forbes upozornil, že používatelia Signalu mohli riziko čiastočne znížiť aj pred vydaním záplaty: stačilo v nastaveniach aplikácie vypnúť zobrazovanie náhľadov správ v notifikáciách. Tým by sa predišlo ukladaniu citlivého textu do systémovej databázy. Po nainštalovaní iOS 26.4.2 je táto ochrana zabezpečená priamo na úrovni systému.
Konflikt s FBI
Prípad zapadá do dlhodobého napätia medzi Applom a americkými úradmi. Firma odmietla vytvoriť zadné vrátka do iOS, o čo FBI žiadala v roku 2016 v súvislosti s teroristickým útokom v San Bernardine. Tentoraz však nejde o žiadosť o spoluprácu. Ide o vlastnosť systému, ktorú bezpečnostní experti prehliadli, a orgány činné v trestnom konaní ju jednoducho využili. Šifrovanie Signalu zostalo neporušené: zraniteľnosť tkvela v správaní operačného systému, nie aplikácie.
Techbyte.sk upozorňuje, že bezpečnosť komunikácie závisí nielen od samotnej aplikácie, ale aj od toho, ako sa k dátam správa operačný systém pod ňou. Odborná komunita odporúča nainštalovať aktualizáciu čo najskôr, a to nielen používateľom Signalu.
Prípad CVE-2026-28950 je prvým zdokumentovaným prípadom, keď FBI získala obsah správ zo Signalu nie útokom na šifrovanie, ale cez systémovú vrstvu, ktorú výrobca telefónu sám neoznačil ako bezpečnostné riziko.
