Удалённые сообщения в мессенджерах на iPhone могут оставлять следы там, где пользователь меньше всего ожидает, — в системных уведомлениях iOS. Даже если включены исчезающие сообщения, а самого приложения уже нет, фрагменты переписки могут сохраняться в базе уведомлений ОС. Рассказываем, какие настройки помогут снизить риск восстановления конфиденциальных сообщений.
- 1. Введение
- 2. Главное: Signal не был взломан
- 3. Как могла выглядеть цепочка извлечения
- 4. Почему удаление приложения не гарантирует удаления следов
- 5. AFU и BFU: почему состояние телефона имеет значение
- 6. Что именно исправила Apple
- 7. Практические рекомендации для пользователей
- 8. Рекомендации для организаций
- 9. Выводы
Введение
Даже самое сильное сквозное шифрование не защищает данные, которые уже были расшифрованы на устройстве и скопированы операционной системой в служебные хранилища. Недавний кейс с извлечением сообщений Signal из базы уведомлений iOS стал показательной иллюстрацией этой проблемы.
В прошлом месяце мы писали, что ФБР смогло извлечь копии входящих сообщений Signal с iPhone фигуранта уголовного дела, несмотря на то что сообщения были настроены на автоматическое исчезновение, а само приложение Signal к тому моменту было удалено. Согласно судебным документам, речь шла не о взломе Signal, не о компрометации его серверов и не о расшифровке трафика. Сообщения оказались доступны через системную базу пуш-уведомлений iOS: входящие сообщения ранее отображались как превью уведомлений, а их содержимое сохранилось в памяти устройства.
Apple уже выпустила патч: в iOS 26.4.2 и iPadOS 26.4.2 устранена уязвимость службы уведомлений, зарегистрированная под идентификатором CVE-2026-28950. В бюллетене Apple формулировка предельно лаконична: уведомления, помеченные для удаления, могли сохраняться на устройстве, а проблема устранена за счёт улучшенной редактуры данных в логах. Обновление вышло 22 апреля 2026 года и доступно для iPhone 11 и новее, а также для ряда iPad; параллельно Apple выпустила исправления и для старой ветки iOS / iPadOS 18.7.8.
Главное: Signal не был взломан
Самый важный вывод из этого кейса — сквозное шифрование никто не ломал. Signal по-прежнему остаётся одним из наиболее защищённых массовых мессенджеров с точки зрения передачи сообщений между отправителем и получателем. Проблема возникла позже — уже на конечном устройстве, когда сообщение было доставлено, обработано приложением и представлено пользователю в виде уведомления.
Это принципиальное различие. Сквозное шифрование защищает сообщение в пути и от чтения сервером-посредником. Но как только текст сообщения появляется на экране, в памяти приложения, в уведомлении, в резервной копии, в системном журнале или в базе данных операционной системы, он становится частью более широкой проблемы. В данном случае слабым звеном оказалась не криптография Signal, а системная обработка уведомлений в iOS.
Эксперт по цифровой криминалистике Андреа Фортуна в своём разборе также подчёркивает: дело не в криптографии Signal, а в сохранении данных на уровне операционной системы. Он отмечает, что извлекались именно входящие сообщения, что логично: исходящие сообщения не проходят через пользовательский механизм уведомлений и потому не оставляют аналогичного следа в базе уведомлений.
Как могла выглядеть цепочка извлечения
Пошаговой методики ФБР в общем доступе, разумеется, нет. Однако по имеющимся данным можно реконструировать вероятный сценарий.
Сначала сообщение поступало в Signal на iPhone. Если в настройках Signal были включены уведомления с отображением имени отправителя и текста сообщения, iOS создавала системное уведомление с этим содержимым. Затем уведомление попадало в служебную базу уведомлений операционной системы. Пользователь мог удалить переписку, включить исчезающие сообщения или даже удалить Signal, но копия текста уже существовала за пределами приложения — в инфраструктуре iOS.
Отдельно отметим, что доступ к сообщениям правоохранительные органы получили при физическом доступе к смартфону и использовании специализированного программного обеспечения для цифровой криминалистики.
Почему удаление приложения не гарантирует удаления следов
Многие пользователи интуитивно считают: если удалить приложение, исчезнут и его данные. В реальности это не всегда так. Современные мобильные ОС создают множество производных артефактов: уведомления, индексы поиска, миниатюры, кеши, логи, диагностические записи, временные файлы, резервные копии и элементы системной аналитики.
Случай с Signal показал, что данные, которые пользователь воспринимал как часть защищённого приложения, фактически оказались продублированы на системном уровне. Это не означает, что iOS специально шпионила за Signal. Скорее, речь идёт о типичной проблеме сложных платформ: удобная функция — уведомление с превью текста — создала вторичное хранилище конфиденциальных данных.
Фонд электронных рубежей (EFF) указывает, что у push-уведомлений есть 2 зоны риска: передача через инфраструктуру Apple или Google и последующее хранение на самом устройстве. Организация также подчёркивает, что остаются открытые вопросы: сколько времени такие данные могут храниться, попадают ли они в облачные резервные копии и как именно разные ОС очищают базы уведомлений.
AFU и BFU: почему состояние телефона имеет значение
Для цифровой криминалистики важно, в каком состоянии находится устройство. После перезагрузки iPhone находится в состоянии до первой разблокировки (BFU). В этом режиме многие ключи шифрования ещё недоступны, а объём извлекаемых данных существенно ниже. После первой успешной разблокировки устройство переходит в состояние AFU: даже если экран снова заблокирован, часть ключей и пользовательских данных уже доступна системе.
Apple отдельно описывает механизм автоматической перезагрузки: начиная с iOS 18.1 и iPadOS 18.1 устройство может автоматически перезапускаться после длительной блокировки, переводя его из AFU обратно в BFU и очищая конфиденциальные ключи и временные данные из памяти. Это напрямую связано с противодействием форензике при физическом доступе к устройству.
Android движется в том же направлении. Google в 2025 году начала вводить механизм автоматической перезагрузки заблокированных и неиспользуемых Android-устройств после 72 часов бездействия, чтобы вернуть их в более защищённое состояние до первой разблокировки.
Что именно исправила Apple
Согласно описанию Apple, проблема заключалась в том, что уведомления могли сохраняться на устройстве. Патч в iOS 26.4.2 и iPadOS 26.4.2 связан с Notification Services, а также корректной обработкой и обезличиванием данных.
Важно не переоценивать патч. Он закрывает конкретный класс проблемы, но не устраняет фундаментальный риск: если важный текст отображается в уведомлении, его можно увидеть на экране блокировки, он может попасть в скриншоты, быть обработан функциями суммаризации уведомлений, прочитан человеком рядом с вами или сохранён другим компонентом системы. Патч лишь снижает риски.
Практические рекомендации для пользователей
Практические рекомендации сводятся не к одной мере, а к совокупности настроек и привычек. Важно понимать, что защита переписки складывается из нескольких уровней — от актуальности системы до того, как именно отображаются уведомления и обрабатываются данные на устройстве.
Обновить iPhone или iPad
На актуальных устройствах нужно установить iOS 26.4.2 или iPadOS 26.4.2 через «Настройки» → «Основное» → «Обновление ПО». Владельцам устройств, оставшихся на ветке iOS / iPadOS 18, следует проверить наличие версии 18.7.8.
Отключить содержимое уведомлений в мессенджерах
Например, в случае Telegram на iOS это делается через «Настройки» → «Приложения» → «Telegram» → «Уведомления» → «Показывать содержимое». Оптимальный вариант — «Никогда».
Рисунок 1. Настройки уведомлений Telegram в iOS
Такие настройки можно менять отдельно для каждого приложения. На Android EFF рекомендует проверить «Настройки» → «Уведомления» → «Уведомления приложений» и отключить их для важных приложений.
Регулярно перезагружать телефон
Особенно в следующих ситуациях: поездки, пересечение границы, участие в мероприятиях, где возможна конфискация устройства, или работа с чувствительными источниками. Перезагрузка переводит устройство в более защищённое состояние.
Помнить о второй стороне переписки
Можно идеально настроить собственный телефон, но, если собеседник показывает полный текст сообщений в уведомлениях, делает облачные бэкапы без сквозного шифрования или не обновляет устройство, ваша переписка всё равно может быть раскрыта через его устройство.
Рекомендации для организаций
Для компаний, редакций, юридических фирм, НКО и команд, работающих с конфиденциальной информацией, случай с ФБР и Signal должен стать поводом пересмотреть принципы защиты мобильных устройств.
Минимальный корпоративный стандарт должен включать обязательные обновления iOS / iPadOS и Android, запрет превью уведомлений для мессенджеров, почты, календарей и MFA-приложений, обучение сотрудников работе с исчезающими сообщениями и регулярный аудит настроек уведомлений. Для управляемых устройств Apple стоит учитывать возможность администрирования автоматической перезагрузки через MDM-параметр IdleRebootAllowed в iOS / iPadOS 18.4 и новее.
Для журналистов, адвокатов, правозащитников, топ-менеджеров и сотрудников безопасности рекомендуется применять более жёсткую модель: минимум уведомлений, отдельные устройства для личной коммуникации, регулярная перезагрузка и отказ от длительного хранения переписок на телефоне.
Выводы
Этот инцидент не дискредитирует мессенджеры и Signal в частности и не доказывает бесполезность сквозного шифрования. Напротив, он показывает, где проходит реальная граница защиты. Шифрование защищает канал связи, но не гарантирует стерильность конечного устройства. Как только сообщение превращается в читаемый текст на экране, оно начинает «жить» в экосистеме ОС: уведомлениях, кешах, логах, индексах, резервных копиях и интерфейсных слоях.
Для пользователя главный урок прост: конфиденциальные сообщения не должны появляться в уведомлениях вообще. Для разработчиков — ещё проще: конфиденциальные данные не должны попадать в системные журналы и долговременные хранилища без крайней необходимости.
