Почему всем стоит срочно установить обновление iOS 26.4

Apple выпустила iOS 26.4, и на этот раз обновление стоит поставить как можно быстрее. И нет, дело не в новых эмодзи, которые появились на iPhone, хотя тема тоже прикольная. В списке исправлений — более 35 уязвимостей, несколько из которых напрямую касаются безопасности ваших паролей, банковских приложений и личных данных. Ни одна из найденных уязвимостей, по данным Apple, пока не использовалась злоумышленниками. Но характер некоторых проблем таков, что откладывать установку не стоит.

Безопасность превыше всего, поэтому обновляемся

Защита украденного устройства на iPhone — что исправили в iOS 26.4

Самая серьёзная из закрытых уязвимостей (CVE-2026-28895) позволяла обойти функцию Stolen Device Protection — «Защиту украденного устройства». Это та самая функция, которая должна сделать украденный iPhone бесполезным, даже если вор знает ваш пароль.

То, что должно было защищать айфон, делало его менее безопасным. Изображение: cnbc.com

Суть проблемы: приложения, для которых пользователь включил требование Face ID (через долгое нажатие на иконку), можно было открыть, просто введя цифровой пароль устройства — без биометрии. То есть если кто-то подсмотрел ваш код разблокировки и забрал iPhone, он мог получить доступ к приложениям банков, мессенджеров и всему, что вы считали защищённым Face ID.

❗️ ЕЩЕ БОЛЬШЕ СТАТЕЙ ОБ APPLE ИЩИТЕ В НАШЕМ ДЗЕНЕ СОВЕРШЕННО БЕСПЛАТНО

Важный контекст: начиная с iOS 26.4 Apple включает «Защиту украденного устройства» по умолчанию. Раньше её нужно было активировать вручную. Но без этого патча сама функция работала с серьёзной дырой. Теперь Apple говорит, что проблема решена за счёт улучшенных проверок.

Уязвимость Связки ключей на iPhone — доступ к паролям без Face ID

Вторая заметная уязвимость (CVE-2026-28864) касается Связки ключей (Keychain) — встроенного хранилища, где iPhone держит все ваши пароли, ключи шифрования и токены авторизации. По данным Apple, из-за недостаточной проверки прав доступа злоумышленник с физическим доступом к устройству мог добраться до содержимого Связки ключей.

⚡ Подпишись на AppleInsider в Telegram, где оперативно публикуются новости из мира Apple

Подробностей Apple раскрывает мало, но сам факт тревожный. Связка ключей — это, по сути, сейф для всех ваших цифровых ключей: от Wi-Fi-паролей до данных банковских приложений. Уязвимость требовала физического доступа к устройству, но именно для таких сценариев и существует «Защита украденного устройства».

Почта на iPhone не скрывала IP-адрес — баг настроек конфиденциальности

Уязвимость CVE-2026-20692 обнаружила, что две важные настройки конфиденциальности в стандартном приложении «Почта» могли просто не применяться. Речь о функциях «Скрыть IP-адрес» и «Блокировать всё удалённое содержимое».

❗️ПОДПИСЫВАЙСЯ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ. ТАМ КАЖДЫЙ ДЕНЬ ВЫХОДЯТ ПОДБОРКИ САМЫХ ЛУЧШИХ ТОВАРОВ С АЛИЭКСПРЕСС

Если вы включали эти опции, рассчитывая, что отправители писем не узнают ваш IP-адрес и не смогут отслеживать, открыли ли вы письмо, — это могло не работать. Удалённый контент (трекинговые пиксели, внешние изображения) мог загружаться, выдавая ваш IP и сам факт прочтения.

Стандартная почта выдавала ваш IP

Насколько массовой была проблема — неизвестно. Но ситуация, когда настройка безопасности включена, а по факту не действует, — одна из самых неприятных для пользователя. Вы просто не можете об этом узнать без специальной проверки.

Уязвимость AirPrint — приложения получали доступ к данным других программ

Уязвимость CVE-2026-20688 позволяла приложению выйти за пределы своей «песочницы» (sandbox) — изолированной среды, в которой каждое приложение на iPhone работает отдельно от остальных и от системы. Проблема была в компоненте AirPrint, отвечающем за беспроводную печать.

Для обычного пользователя это значит следующее: вредоносное приложение теоретически могло получить доступ к данным, которые ему не положены — к файлам других приложений или системным ресурсам. Выход из песочницы — это первый шаг в цепочке более серьёзных атак, поэтому такие уязвимости всегда на особом счету у специалистов по безопасности.

Проблемы Safari и WebKit в iOS 26 — затронуты все браузеры iPhone

WebKit — движок, на котором работают Safari и все браузеры на iPhone, — получил сразу семь исправлений плюс отдельный патч для песочницы. Среди наиболее серьёзных:

Во всем WebKit нашли уязвимости и исправили. Изображение: pcmag.com

• Обход политики одного источника (CVE-2026-20643) — механизма, который не позволяет одному сайту читать данные другого
• Обход политики безопасности контента (CVE-2026-20665)
• Возможность вредоносного сайта обрабатывать веб-контент за пределами песочницы (CVE-2026-28859)

Последний пункт особенно важен: он означает, что при посещении специально подготовленного сайта браузер мог выполнить код без обычных ограничений безопасности. Учитывая, что WebKit используется во всех браузерах на iPhone — не только в Safari, но и в Chrome, Firefox и любых других — это затрагивает абсолютно всех пользователей.

Стоит ли обновлять iPhone до iOS 26.4

Хорошая новость: Apple заявляет, что ни одна из перечисленных уязвимостей не использовалась в реальных атаках на момент выпуска патча. Но плохая новость в том, что после публикации списка исправлений злоумышленники получают подробную карту того, что именно было уязвимо — и начинают искать устройства, которые ещё не обновились.

Не стоит откладывать обновление на потом. Изображение: zdnet.com

Обновление доступно на всех устройствах, поддерживающих iOS 26. Полный список патчей для iOS 26.4, iPadOS 26.4, macOS 26.4, tvOS 26.4 и других платформ опубликован на странице безопасности Apple.

Читайте также: Билайн блокирует интернет из-за Телеграма — правда или фейк?

Это тот случай, когда рекомендация однозначная: обновляйтесь сейчас. Обход защиты украденного устройства, доступ к Связке ключей и молча неработающие настройки приватности — это не рядовые баги. Если вы пользуетесь iPhone как основным устройством для банков, паролей и почты (а это почти все), откладывать установку iOS 26.4 нет никаких разумных причин.