Apple устранила уязвимость в системе безопасности, которая позволяла сотрудникам правоохранительных органов получать доступ к содержимому удаленных сообщений Signal.
Пользователи, стремящиеся избежать слежки со стороны правоохранительных органов, часто используют зашифрованные приложения, такие как Signal, для обмена конфиденциальной информацией. Поэтому пользователи были ошеломлены, когда 404 Media сообщило, что Apple неожиданно сохраняла push-уведомления с фрагментами зашифрованных сообщений до месяца. Это происходило даже после того, как сообщение должно было исчезнуть, а само приложение было удалено с устройства.
404 Media обратило внимание на эту проблему после общения с несколькими людьми, присутствовавшими на слушаниях, где ФБР свидетельствовало, что ему «удалось криминалистически извлечь копии входящих сообщений Signal с iPhone обвиняемого, даже после удаления приложения, поскольку копии содержимого были сохранены в базе данных push-уведомлений устройства». Это шокирующее открытие прозвучало в деле, которое, как отметило 404 Media, стало «первым случаем, когда власти предъявили обвинения людям в предполагаемой деятельности „Антифа“ после того, как президент Трамп присвоил этому общему термину статус террористической организации».
В среду Apple подтвердила, что исправила ошибку, позволявшую ФБР получать доступ к этим данным. Пользователи, обеспокоенные push-уведомлениями, могут обновить свои устройства, чтобы прекратить то, что Apple охарактеризовала как «уведомления, помеченные для удаления», которые «могли непреднамеренно сохраняться на устройстве».
По словам Apple, push-уведомления никогда не должны были сохраняться, но «проблема с логированием» не смогла скрыть данные.
В Bluesky представители Signal выразили удовлетворение обновлением, заявив, что они «очень рады» тому, что Apple не стала откладывать исправление ошибки.
«Мы благодарны Apple за быстрое принятие мер и за понимание серьезности этой проблемы и действия в связи с ней», — говорилось в сообщении Signal. «Требуется экосистема для сохранения основного права человека на частное общение».
В своем сообщении Signal подтвердила, что после обновления устройств пользователям «не требуется никаких действий для защиты пользователей Signal на iOS с помощью этого исправления».
,
«После установки исправления все непреднамеренно сохраненные уведомления будут удалены, и никакие будущие уведомления для удаленных приложений сохраняться не будут», — заявили в Signal.
Ars не смог немедленно связаться с Apple или Signal для получения дополнительных комментариев.
Паника пользователей сохраняется
Однако в ветке Signal пользователи обсуждали, было ли обновление достаточным, некоторые призывали к тому, что лучшей практикой, вероятно, по-прежнему остается полное отключение предварительного просмотра сообщений, чтобы ограничить доступ устройства к конфиденциальным чатам. Ранее президент Signal Мередит Уиттакер публиковала в Bluesky напоминание пользователям о том, что они могут обновить настройки Signal, чтобы в push-уведомлениях отображалось «Нет имени или содержимого» и избежать проблем с конфиденциальностью. Некоторые пользователи согласились с тем, что включение предварительного просмотра сообщений на любом типе устройства — не только Apple — казалось неразумным в свете отчетов 404 Media.
«Имея предварительный просмотр сообщений в уведомлениях, вы предоставляете ОС доступ к этому содержимому, не будучи уверенным в том, как она будет обрабатывать эти сообщения», — написал пользователь Bluesky «LofiTurtle». «Этот патч устраняет один известный метод, но для полной уверенности вам следует просто отключить предварительный просмотр, чтобы ОС никогда его не увидела».
Другой пользователь Bluesky, «Alexndr», предположил, что обновление Apple может указывать на то, что в iOS могут храниться другие вызывающие озабоченность данные способами, которые могут расстроить других пользователей приложений.
«То, что содержимое уведомлений пережило удаление приложения, — это самое странное», — написал Alexndr. «Хорошо, что это исправлено, но заставляет задуматься, что еще находится в кэшах уведомлений iOS».
Несколько защищая Apple, пользователь Bluesky «Coyote» подчеркнул, что в блоге Apple было ясно указано, что это была не проблема кэширования, а проблема логирования.
«Содержимое уведомлений не должно было попадать в диагностические журналы, но иногда попадало», — предположил Coyote. «Это происходило, в частности, когда вы получаете уведомление, которое телефон не может обработать, например, когда приложение, для которого оно предназначено, было удалено».
Для пользователей Apple вопросы, вероятно, остаются, поскольку правительства, похоже, стремятся получить доступ к зашифрованным чатам любыми возможными способами. В прошлом году Apple оказалась в заголовках новостей из-за того, что отключила сквозное шифрование в Великобритании, чтобы избежать соблюдения закона, который упрощал правительственным чиновникам шпионаж за зашифрованными чатами. 404 Media отметило, что в глобальном масштабе правоохранительные органы все чаще полагаются на «push-уведомления в более широком смысле как на следственную стратегию». В прошлом году Apple уступила юридическим требованиям, которые «предоставили правительствам данные о тысячах push-уведомлений», сообщило 404 Media.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ashley Belanger
