Apple выпустила iOS 26. 4, и на этот раз обновление действительно стоит установить как можно скорее. Причина не в новых эмодзи, хотя и они появились на iPhone, а в серьезных исправлениях безопасности. Всего закрыто более 35 уязвимостей, часть из которых связана с защитой паролей, банковских приложений и личных данных. По словам Apple, ни одна из них пока не использовалась в реальных атаках, но их характер делает откладывание обновления рискованным. Защита украденного устройства на iPhone-что изменили в iOS 26. 4
Самая опасная уязвимость (CVE-2026–28895) позволяла обойти функцию Stolen Device Protection — «защита украденного устройства». Именно она должна делать похищенный iPhone фактически непригодным к использованию даже при знании пароля.
Проблема заключалась в том, что приложения с требованием Face ID можно было открыть, просто введя код разблокировки. То есть злоумышленник, который подсмотрел пароль и получил доступ к устройству, мог обойти биометрию и открыть банковские сервисы, мессенджеры и другие чувствительные приложения.
Важно отметить, что начиная с iOS 26. 4 эта функция активируется по умолчанию. Раньше его нужно было включать вручную, и теперь он работает вместе с исправленными механизмами проверки.
Уязвимость Keychain — доступ к паролям без Face ID
Еще одна проблема (CVE-2026–28864) коснулась Apple Keychain — системного хранилища, где хранятся все пароли, ключи шифрования и токены доступа.
Из-за недостатков проверки прав доступа злоумышленник с физическим доступом к устройству мог получить доступ к этим данным. Фактически речь идет о «сейфе» всех цифровых ключей пользователя — от Wi-Fi до банковских аккаунтов. И хотя атака требовала доступа к самому iPhone, именно для таких сценариев и создавали защиту, которая оказалась частично уязвимой.
Почта на iPhone не скрывала IP-адрес
Уязвимость CVE-2026–20692 показала, что настройки конфиденциальности в приложении Apple Mail могли не работать. Речь идет о функциях «скрыть IP-адрес» и блокировке удаленного контента.
Даже если пользователь их включил, трекинговые элементы писем могли загружаться, раскрывая IP-адрес и факт открытия письма. Это одна из самых неприятных ситуаций, когда защита вроде бы активна, но фактически не работает.
Уязвимость AirPrint — выход за пределы «песочницы»
Уязвимость CVE-2026–20688 была связана с AirPrint. Она позволяла приложениям выходить за пределы Sandbox — изолированной среды iOS.
На практике это означает, что вредоносная программа могла получить доступ к данным других приложений или системы. Такие уязвимости считаются критическими, ведь открывают путь к более сложным атакам.
Проблемы Safari и WebKit-задело все браузеры
Отдельный блок исправлений относится к WebKit-движку, на котором работает Safari и все другие браузеры на iPhone.
Среди исправлений:
- Обход политики одного источника (CVE-2026–20643);
- Обход политики безопасности контента (CVE-2026–20665);
- Возможность выполнения вредоносного кода вне sandbox (CVE-2026–28859).
Последний пункт особенно критичен: достаточно было открыть специально подготовленный сайт, чтобы браузер мог выполнить опасный код. А поскольку все браузеры на iOS используют WebKit, это применимо к каждому пользователю.
Стоит ли обновлять iPhone до iOS 26. 4
Хотя Apple уверяет, что ни одна из уязвимостей еще не использовалась, после публикации патчей киберпреступники получают подсказки, где именно искать слабые места в не обновленных устройствах.
Обновление доступно для всех устройств с поддержкой iOS 26, и это тот случай, когда на самом деле нет выбора. Обход защиты украденного устройства, риски для Keychain и проблемы с конфиденциальностью — это серьезные угрозы.