蘋果補上了這個讓FBI能讀已刪Signal消息的漏洞

你以為刪掉App就能抹掉痕跡？iOS的通知系統一直在替你"存檔"。

蘋果剛推送的iOS 26.4.2更新，表面看是個例行安全補丁，實際修補了一個相當尷尬的漏洞——聯邦調查局曾利用它，從一部已刪除Signal的iPhone里提取了敏感聊天記錄。404 Media在4月初報道的這起案件，讓"端到端加密"的神話出現了裂縫。

漏洞在哪：通知日志成了"后門"

問題出在iOS的通知機制。當你收到Signal消息時，系統會在通知中心生成預覽，這些預覽被記錄到日志文件中。即使用戶刪除了Signal應用，這些日志副本依然留在設備里。

蘋果的安全更新說明寫得相當克制："標記為刪除的通知可能在設備上被意外保留。"修復方式是"改進數據編輯"的日志處理機制。沒有點名FBI，但時間線和漏洞描述完全吻合404 Media報道的那起案件。

這暴露了一個被忽視的設計矛盾：通知系統為了用戶體驗，需要臨時存儲消息預覽；但它的清理機制卻沒跟上隱私保護的預期。用戶以為"刪除App=刪除數據"，系統卻在后臺默默留了底。

為什么Signal用戶最受傷

Signal的賣點是"閱后即焚"和端到端加密。消息在傳輸途中確實安全，但一旦觸達設備，iOS的通知管道就成了薄弱環節。攻擊者不需要破解Signal，只需要拿到手機，提取系統日志。

更諷刺的是，這個漏洞對普通用戶幾乎不可見。通知預覽是iOS的默認功能，大多數人不會想到要去設置里關閉"在鎖定屏幕上顯示"。而即使關閉了顯示，日志是否仍被寫入？蘋果的安全說明沒有細說，但"改進數據編輯"的表述暗示之前的清理邏輯確實有問題。

對于依賴Signal進行敏感溝通的人群——記者、活動人士、企業高管——這個漏洞的破壞性是雙重的。不僅是技術層面的泄露風險，更是對"安全通訊"心理預期的打擊。當你向同伴保證"用Signal聊"，卻沒想到手機系統本身在拖后腿。

蘋果的修復邏輯：為什么現在才補

404 Media的報道發布于4月初，蘋果的安全更新在4月30日推送。這個響應速度在行業內算正常，但漏洞本身存在了多久？原文沒有提及。從"意外保留"的措辭推測，這可能是通知系統長期以來的行為，而非近期代碼變更引入的bug。

值得對比的是iOS 26.4.1的更新。那個版本啟用了"被盜設備保護"功能，針對的是設備被物理竊取后的安全加固。而26.4.2處理的是數據殘留問題，兩者指向不同維度的威脅模型：前者防陌生人，后者防取證分析。

蘋果沒有將這次更新歸類為"后臺安全改進"——那類更新會在用戶無感知的情況下靜默安裝。26.4.2需要用戶手動確認，說明蘋果判斷這個問題的緊急程度需要主動推送，但又沒到必須靜默強制的級別。

用戶該做什么：三條即時行動

第一，立即更新。設置→通用→軟件更新→立即更新。這個流程對老用戶很熟悉，但小版本更新常被拖延。這次別拖。

第二，檢查通知設置。設置→通知→找到Signal→關閉"在鎖定屏幕上顯示"。這能減少預覽被記錄的機會，但無法保證日志完全清零——畢竟蘋果只說"改進"了數據編輯，沒說徹底停用日志。

第三，重新評估威脅模型。如果你面對的對手具備物理取證能力（如執法機構），僅靠應用層加密不夠。需要配合設備級防護：強密碼而非指紋/面容、定期重啟設備（清除內存中的密鑰）、以及了解iOS數據保護的邊界。

行業啟示：系統層隱私的灰色地帶

這個案例最尖銳的地方在于，它揭示了"安全通訊"承諾的系統性脆弱。Signal做了它該做的——加密傳輸、最小化元數據、開源審計。但手機操作系統作為底層平臺，其設計取舍能輕易瓦解上層的努力。

通知日志的留存，本質上是"用戶體驗"與"隱私安全"的權衡產物。用戶想要快速預覽、想要通知歷史可回溯、想要Siri能讀取消息內容——每一項便利都以數據駐留為代價。蘋果過去的選擇偏向便利，直到FBI的取證操作把這個問題擺上臺面。

對于25-40歲的科技從業者，這個案例是一堂具體的架構課。你在設計產品時，是否清楚自己的依賴鏈？你的"安全功能"在下游系統那里是否依然成立？端到端加密的信任模型，需要延伸到設備固件、操作系統、甚至硬件安全模塊的每一個環節。

iOS 26.5的測試版已經在路上，據說要給RCS消息加上端到端加密。但Signal事件提醒我們：加密只是鏈條的一環。當蘋果自己的通知系統都能成為泄露通道，任何新功能的"安全"標簽都需要被拆解審視。

更新你的iPhone，然后去看看那些你信任的應用，它們有多少把柄握在系統手里。