Apple ได้เปิดตัวรายการอัพเดทความปลอดภัยสำหรับระบบ iOS และ iPadOS ที่จะแก้ไขช่องโหว่ที่สำคัญในบริการแจ้งเตือน ข้อบกพร่องดังกล่าวทำให้ข้อความจากแอปพลิเคชันที่เข้ารหัส เช่น Signal ยังคงถูกจัดเก็บไว้ในฮาร์ดแวร์แม้ว่าจะลบซอฟต์แวร์ไปแล้วก็ตาม การสืบสวนล่าสุดระบุว่า FBI ใช้ช่องโหว่นี้เพื่อรวบรวมพยานหลักฐานในคดีอาญาในสหรัฐอเมริกา
ข้อผิดพลาดของซอฟต์แวร์ส่งผลต่อวิธีที่ระบบปฏิบัติการบันทึกข้อมูลจากการแจ้งเตือนที่ได้รับ ภายใต้สภาวะปกติ เมื่อลบแอปพลิเคชัน ควรลบประวัติการแจ้งเตือนออกทั้งหมด อย่างไรก็ตาม บันทึกภายในจะเก็บสำเนาเนื้อหาข้อความไว้ในฐานข้อมูลการแจ้งเตือนแบบพุชของอุปกรณ์ การแก้ไขช่วยปรับปรุงการปกปิดข้อมูลและรับประกันการลบข้อมูลอย่างมีประสิทธิภาพ
การสืบสวนของ FBI เปิดเผยช่องโหว่ใน iPhone
การค้นพบปัญหาดังกล่าวได้รับผลสะท้อนกลับหลังจากรายงานจากยานพาหนะ 404 Media ให้รายละเอียดเกี่ยวกับปฏิบัติการของตำรวจ เจ้าหน้าที่ FBI สามารถดึงข้อความสัญญาณจาก iPhone ที่ถูกยึดระหว่างการสอบสวนการโจมตีศูนย์กักกัน แม้ว่าผู้ใช้จะลบแอปพลิเคชันออก แต่เจ้าหน้าที่ก็ใช้เครื่องมือทางนิติเวชเพื่อเข้าถึงฐานข้อมูลการแจ้งเตือนของอุปกรณ์
การแยกข้อมูลเกิดขึ้นได้เนื่องจากระบบของ Apple จัดเก็บข้อมูลเมตาและเนื้อหาข้อความด้วยวิธีที่ไม่คาดคิด Signal ซึ่งเป็นที่รู้จักในด้านการเข้ารหัสจากต้นทางถึงปลายทาง ไม่สามารถควบคุมวิธีที่ iOS จัดการการแจ้งเตือนที่แสดงบนหน้าจอล็อคหรือศูนย์การแจ้งเตือนได้ กรณีดังกล่าวทำให้เกิดสัญญาณเตือนสำหรับนักเคลื่อนไหวด้านความเป็นส่วนตัวและผู้ใช้ที่มีความเสี่ยงซึ่งต้องพึ่งพาการสื่อสารที่เป็นความลับ
รุ่นอุปกรณ์และเวอร์ชันแพตช์ที่ได้รับผลกระทบ
Apple ได้แบ่งส่วนการอัปเดตให้ครอบคลุมทั้งอุปกรณ์สมัยใหม่และรุ่นเก่าที่ยังคงได้รับการสนับสนุนด้านความปลอดภัย บริษัทยืนยันว่าช่องโหว่ที่ระบุเป็น CVE-2026-28950 นั้นถือเป็นข้อบกพร่องในการบันทึกข้อมูล
- iOS 26.4.2 และ iPadOS 26.4.2:มีไว้สำหรับ iPhone 11 และรุ่นที่ใหม่กว่า รวมถึง iPad Pro, Air และ Mini เวอร์ชันล่าสุด
- iOS 18.7.8 และ iPadOS 18.7.8:การอัปเดตความปลอดภัยสำหรับรุ่นต่างๆ เช่น iPhone XR, XS, SE รุ่นที่สอง และ iPad รุ่นก่อนหน้า
ผู้ใช้ควรดาวน์โหลดทันทีเพื่อให้แน่ใจว่าการแจ้งเตือนเก่าที่เก็บรักษาไว้โดยไม่ได้ตั้งใจจะถูกลบออกจากระบบอย่างถาวร การติดตั้งแพตช์จะทำให้การทำความสะอาดไฟล์ที่เหลือเหล่านี้โดยอัตโนมัติซึ่งสามารถเข้าถึงได้ผ่านการเชื่อมต่อทางกายภาพและซอฟต์แวร์พิเศษ
คำแนะนำด้านความปลอดภัยสำหรับผู้ใช้ Signal
Signal พูดต่อสาธารณะเกี่ยวกับคดีนี้ ขอบคุณ Apple สำหรับความคล่องตัวในการแก้ไขปัญหา องค์กรเน้นย้ำว่าความเป็นส่วนตัวทางดิจิทัลขึ้นอยู่กับระบบนิเวศการทำงานร่วมกันระหว่างผู้ผลิตฮาร์ดแวร์และนักพัฒนา แม้ว่าการแก้ไขของ Apple จะจัดการกับพื้นที่จัดเก็บข้อมูลที่ไม่เหมาะสม แต่ผู้เชี่ยวชาญด้านความปลอดภัยก็แนะนำให้มีการป้องกันเพิ่มเติมอีกชั้นหนึ่ง
Electronic Frontier Foundation (EFF) แนะนำให้ผู้ใช้ประเมินความจำเป็นในการรับการแจ้งเตือนข้อความแบบเต็มในแอปพลิเคชันที่มีความละเอียดอ่อนอีกครั้ง ภายใน Signal สามารถกำหนดค่าระบบให้แสดงเฉพาะชื่อผู้ส่งหรือไม่แสดงรายละเอียดบนหน้าจอล็อคได้ มาตรการนี้ป้องกันไม่ให้เนื้อหาถูกจับโดยบันทึกของระบบปฏิบัติการ ไม่ว่าซอฟต์แวร์จะล้มเหลวในอนาคตก็ตาม
หากต้องการปรับความเป็นส่วนตัวบนสัญญาณ ให้ทำตามขั้นตอนเหล่านี้:
- เข้าถึงการตั้งค่าโปรไฟล์ในแอป
- เลือกตัวเลือกการแจ้งเตือน
- คลิกดูและเลือก “ชื่อเท่านั้น” หรือ “ไม่มีชื่อหรือข้อความ”
- รักษาระบบปฏิบัติการ iPhone ของคุณให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ขณะนี้การอัปเดตของ Apple พร้อมให้ดาวน์โหลดผ่าน Wi-Fi หรือการเชื่อมต่อข้อมูลแล้ว ไม่จำเป็นต้องกำหนดค่าด้วยตนเองหลังจากแพทช์เพื่อล้างประวัติการแจ้งเตือนที่เป็นปัญหา บริษัทไม่ได้บอกว่าข้อบกพร่องดังกล่าวเกิดขึ้นมานานแค่ไหนแล้ว หรือหน่วยงานรักษาความปลอดภัยอื่นๆ นอกเหนือจาก FBI เคยใช้ประโยชน์จากช่องโหว่ดังกล่าวหรือไม่