Apple、削除されたSignalメッセージを露出したiPhone通知の不具合を修正

Apple、異例に高いプライバシーリスクを伴うiPhoneの不具合を修正

Appleは、iPhoneのプッシュ通知データベースにSignalメッセージの断片が残る可能性のあった不具合を修正したと発表した。この問題は、暗号化メッセージングや消えるチャットを頼りにしている多くのユーザーの期待に真っ向から反するものだった。報道や法廷証言によって、捜査当局がアプリを削除した後でさえ、被告の端末から受信Signalメッセージの複製を回収できたことが示されたことで、注目はさらに広がった。

この修正が重要なのは、Signalの暗号化が通信途中で破られたわけではないからだ。問題は端末側にあった。Appleが説明するところでは、保持されるべきでない通知内容が、ログ記録の問題によってアクセス可能なまま残ることがあった。実務上は、メッセージが消える設定であっても、機微なメッセージのプレビューがユーザーの合理的な予想より長く残り得たことになる。

Appleが説明する不具合の内容

Appleによると、削除対象としてマークされた通知が端末上に予期せず保持されることがあった。同社は、プッシュ通知はそのように保存されるべきではなかったが、ログ記録の問題によりデータが適切にマスキングされていなかったと説明している。Appleは現在、この挙動を停止し、インストール後に誤って保持されていた通知を削除するアップデートを提供している。

Signalはこの変更を公に歓迎し、Appleが迅速に対応し、この問題の深刻さを認識したと述べた。同社によれば、ユーザーがパッチをインストールすれば、SignalユーザーをiOS上で保護するために追加の手動操作は不要だ。Signalの説明は具体的で、パッチの適用後は以前に保持されていた通知が削除され、削除済みアプリに関する今後の通知は保持されないという。

なぜこれは単なる技術的なバグ報告以上のものになったのか

この件が響いたのは、Signalのような暗号化アプリが、まさに端末上に残る復元可能なメッセージデータを最小限にしたい人々に使われることが多いからだ。アプリ本体とは独立して、メッセージ内容がシステムのデータベースに残り得ると明らかになったことで、その前提は揺らいだ。また、アプリが約束するプライバシーと、OSがメッセージのプレビューを実際にどう扱うかとの境界も曖昧になった。

このギャップは重要だ。エンドツーエンド暗号化は、メッセージが送信中である間それを保護し、途中で誰が読めるかを制限する。しかし、メッセージのプレビューがロック画面や通知センターに表示された瞬間、OSはプライバシーの連鎖の一部になる。OSがそのプレビューを意図より長く保存すれば、メッセージアプリ自体が設計どおりに動作していても、ユーザーのプライバシーモデルは変わってしまう。

報じられたFBIによる通知データの回収は、この問題に法執行の側面を与え、一気に重要性を高めた。プライバシー擁護者にとっての核心は、特定の事案で当局が合法的に端末データにアクセスできるかどうかではない。削除したアプリや消えるメッセージが、ローカルに保存された痕跡をすべて消すとユーザーが誤信してしまうことだ。