-
作者
-
發佈日期
2026-04-23
-
閱讀時間
4分鐘
-
字體大小
早前美國聯邦調查局(Federal Bureau of Investigation) 在德克薩斯州一宗法庭案件中,成功從被告已卸載 Signal 的 iPhone 還原訊息內容,揭示 iOS 通知暫存機制存在嚴重私隱風險。而 Apple 隨即發布 iOS 26.4.2 及 iPadOS 26.4.2 更新,修復這個已刪除通知,會意外地保留在裝置上的漏洞。
FBI 毋須破解 Signal 加密
事件核心在於 iOS 系統層面處理通知數據方式存在問題。Signal 採用點對點加密,外部理論上無法讀取訊息本身,但 iPhone 會將推送通知內容儲存至系統層通知資料庫。涉案被告 Lynette Sharp 的 Signal 設定允許鎖定畫面顯示訊息通知預覽,導致訊息文字被系統暫存。
即使 Signal 其後已從裝置完整卸載,相關訊息依然殘留在通知資料庫。FBI 使用 GrayKey 或 Cellebrite 等法證工具成功提取資料,還原被視為已刪除的訊息,過程完全無需觸碰 Signal 加密機制。
CVE-2026-28950 漏洞詳情
Apple 在今次更新修復編號 CVE-2026-28950 安全漏洞。根據 Apple 官方說明,問題在於「已標記為刪除的通知可能意外保留在裝置上」,Apple 透過改善資料遮蔽(data masking)機制修正問題。
值得留意的是,Apple 官方並未直接將今次更新與 FBI 案件掛鈎,但修復內容明顯針對同一問題。更新適用於 iPhone 11 以後的型號,以及多款 iPad Pro、iPad Air、iPad 及 iPad mini。
Signal 官方聲明
Signal 對 Apple 今次快速應對表示讚賞,並在聲明中特別指出,更新後用戶毋須採取任何額外行動,只需安裝修補程式,系統便會自動刪除所有錯誤保留的通知。
同時確保已卸載應用程式的未來通知不再被保留。Signal 亦強調,保護私隱通訊是整個生態系統共同責任。
用戶可立即採取的措施
除了盡快安裝 iOS 26.4.2 外,安全專家亦建議用戶在 Signal 設定中關閉鎖定畫面訊息通知預覽,避免訊息內容在系統層面被暫存。
iOS 26.4.2 現已正式推送,用戶可進入「設定」→「一般」→「軟件更新」,點按「立即更新」完成安裝。同時啟用進階資料保護(Advanced Data Protection)功能,可進一步提升整體裝置安全性。
資料來源:AppleInsider、9to5Mac
