mObywatel na iOS: dane widoczne w App Switcher

Wszystkie wersje aplikacji mObywatel na iOS poniżej 4.71.0 ¹ zawierają podatność pozwalającą na nieautoryzowany wgląd w dane osobowe. Problem, opublikowany 3 lutego 2026 roku ² i zidentyfikowany jako CVE (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki) CVE-2025-11598, dotyczy sposobu, w jaki system iOS zarządza podglądem aplikacji. Może to prowadzić do ujawnienia informacji osobie z fizycznym dostępem do odblokowanego telefonu ³, nawet po zakończeniu sesji w aplikacji ⁴.

Podatność została zgłoszona do CERT Polska ⁵, który koordynował proces jej odpowiedzialnego ujawnienia ⁶ we współpracy z producentem, Centralnym Ośrodkiem Informatyki ^{7 8}. Chociaż ryzyko jest oceniane jako niskie, dotyczy ono kluczowej aplikacji dla tożsamości cyfrowej milionów Polaków, co nadaje sprawie wysoką wagę. Problem został już naprawiony ⁹, jednak wymaga to działania ze strony użytkowników.

TL;DR

• Produkt: Aplikacja mObywatel na system iOS ¹⁰.
• Wektor ataku: Nieprawidłowe buforowanie widoku aplikacji w systemowym przełączniku aplikacji (App Switcher), co pozwala na podgląd ostatnio wyświetlanych danych po wylogowaniu ^{4 11}.
• Identyfikator: CVE-2025-11598 ², CWE-359 (Exposure of Private Personal Information to an Unauthorized Actor) ^{12 13}.
• Wpływ: Osoba z fizycznym dostępem do odblokowanego urządzenia może podejrzeć dane osobowe właściciela konta (np. imię, nazwisko, PESEL z mDowodu) bez uwierzytelniania ¹⁴. Zakres danych zależy od ostatniego widoku w aplikacji ¹⁵.
• Kogo dotyczy: Użytkownicy wszystkich wersji aplikacji mObywatel na iOS poniżej 4.71.0 ¹. Podatność nie dotyczy innych platform (np. Android) ¹⁶.
• Pierwszy ruch: Natychmiastowa aktualizacja aplikacji mObywatel do wersji 4.71.0 ⁹ lub nowszej poprzez App Store.

Wektor ataku

Podatność ma swoje źródło w mechanizmie działania przełącznika aplikacji (App Switcher) w systemie iOS. Gdy aplikacja jest minimalizowana, system operacyjny tworzy jej zrzut ekranu (snapshot), aby wyświetlić podgląd w karuzeli otwartych aplikacji ¹⁷. Standardową praktyką dla aplikacji przetwarzających dane wrażliwe jest zastąpienie tego zrzutu ekranu rozmytym obrazem lub generycznym logo, aby uniemożliwić podgląd zawartości.

W podatnych wersjach aplikacji mObywatel ten mechanizm ochronny nie został zaimplementowany poprawnie. W rezultacie, jeśli użytkownik miał na ekranie widok z danymi osobowymi – na przykład mDowód, Prawo Jazdy czy Legitymację Studencką – i zminimalizował aplikację, zrzut ekranu z tymi danymi pozostawał widoczny w App Switcherze ¹⁸. Co istotne, podgląd ten był dostępny nawet po wylogowaniu się z aplikacji ^{4 11}.

Scenariusz ataku wymaga, aby osoba nieuprawniona uzyskała fizyczny dostęp do odblokowanego iPhone’a ofiary ^{3 14}. Nie są potrzebne żadne zaawansowane techniki ani specjalistyczne oprogramowanie ¹⁹ – wystarczy otworzyć App Switcher (przesuwając palcem od dołu ekranu w górę) i przejrzeć miniatury aplikacji. Mimo że atakujący nie może wejść w interakcję z samą aplikacją bez ponownego zalogowania, może odczytać dane z miniatury.

Zakres ujawnionych informacji jest ściśle powiązany z ostatnim ekranem, który był aktywny przed minimalizacją aplikacji ^{15 20 21}. Jeśli był to ekran główny, ryzyko jest minimalne. Jeśli jednak był to widok mDowodu, osoba trzecia mogła odczytać pełne dane z dokumentu. Należy podkreślić, że podatność dotyczy wyłącznie poufności danych na urządzeniu klienckim i nie ma wpływu na integralność danych ani bezpieczeństwo systemów backendowych Centralnego Ośrodka Informatyki ²².

Oficjalna ocena powagi luki w skali CVSS (Common Vulnerability Scoring System) 4.0 wynosi zaledwie 1.0 ²³, co klasyfikuje ją jako niską. Wynika to z faktu, że eksploatacja wymaga fizycznego dostępu do odblokowanego urządzenia. Mimo to, w kontekście aplikacji będącej cyfrowym portfelem dokumentów tożsamości używanym w Polsce na masową skalę ²⁴, każdy, nawet teoretyczny, wektor wycieku danych osobowych powinien być traktowany poważnie.

Wskaźniki kompromitacji

Ta podatność ma charakter lokalny i nie generuje typowych wskaźników kompromitacji (IoC — Indicators of Compromise), takich jak hashe plików, adresy IP czy domeny serwerów C2 (Command and Control). Atak nie pozostawia śladów w logach systemowych czy sieciowych. Jedynym sposobem na weryfikację, czy urządzenie jest podatne, jest sprawdzenie wersji zainstalowanej aplikacji mObywatel.

Co zrobić w 24-48h

Zalecane kroki są proste i powinny zostać podjęte przez wszystkich użytkowników aplikacji mObywatel na urządzeniach Apple.

1. Natychmiastowa aktualizacja (krytyczne): Najważniejszym i jedynym w pełni skutecznym krokiem jest aktualizacja aplikacji mObywatel do wersji 4.71.0 ^{9 25 26} lub nowszej. W tym celu należy otworzyć aplikację App Store, przejść do sekcji aktualizacji i zainstalować nową wersję. Jeśli aktualizacja nie jest widoczna, można wyszukać mObywatel ręcznie i wybrać opcję „Uaktualnij”.

2. Weryfikacja wersji: Aby upewnić się, że na urządzeniu zainstalowana jest bezpieczna wersja, można to sprawdzić w ustawieniach telefonu. Przejdź do Ustawienia > Ogólne > iPhone (pamięć masowa), a następnie znajdź na liście aplikację mObywatel. System wyświetli numer zainstalowanej wersji.

3. Wdrożenie dobrych praktyk: Niezależnie od tej konkretnej luki, rekomendowanym podejściem jest wyrobienie sobie nawyku zamykania aplikacji operujących na danych wrażliwych (bankowość, tożsamość, zdrowie) natychmiast po zakończeniu ich używania. W tym celu należy otworzyć App Switcher i przesunąć miniaturę aplikacji w górę, aby zamknąć ją całkowicie. Minimalizuje to ryzyko przypadkowego ujawnienia danych osobom postronnym, które mogą zerkać na ekran, lub w podobnych scenariuszach jak opisany w tym alercie.

4. Przegląd uprawnień i ustawień bezpieczeństwa: Warto przy tej okazji zweryfikować ustawienia bezpieczeństwa samego urządzenia. Upewnij się, że masz ustawioną silną blokadę ekranu (kod, Face ID lub Touch ID) oraz krótki czas automatycznej blokady. To podstawowa linia obrony przed nieautoryzowanym dostępem fizycznym.

Atrybucja

Podatność została odpowiedzialnie zgłoszona do zespołu CERT Polska ⁵, który jest częścią państwowego instytutu badawczego NASK. Zespół ten pełni kluczową rolę w polskim ekosystemie cyberbezpieczeństwa, koordynując obsługę incydentów i podatności. W tym przypadku CERT Polska podjął współpracę z producentem oprogramowania, Centralnym Ośrodkiem Informatyki (COI) ^{7 8}, w celu przygotowania i wydania poprawki. Proces ten jest standardową procedurą tzw. „odpowiedzialnego ujawniania” (responsible disclosure), gdzie informacja o luce jest wstrzymywana publicznie do czasu udostępnienia łatki, aby nie narażać użytkowników na ataki. Według dostępnych informacji, nie odnotowano aktywnego wykorzystywania tej luki w atakach ²⁷.

Źródła

Zobacz też

• SQL Injection w Simple.ERP (CVE-2026-1198)
• SQL Injection w SOGo (CVE-2026-8851) pozwala na wyciek danych
• Alert: Luka XSS w Verint Verba zagraża danym administratorów

Footnotes

1. Podatne są wszystkie wersje aplikacji mObywatel na iOS poniżej 4.71.0. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩²

2. Podatność CVE-2025-11598 została opublikowana 3 lutego 2026 roku. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩²

3. Podatność umożliwia nieautoryzowanemu użytkownikowi z fizycznym dostępem do urządzenia przeglądanie danych osobowych właściciela konta za pośrednictwem funkcji iOS App Switcher. — https://www.sentinelone.com/vulnerability-database/cve-2025-11598/ ↩ ↩²

4. W aplikacji mObywatel na iOS nieuprawniony użytkownik może, korzystając z funkcji App Switcher, podejrzeć dane osobowe właściciela konta wyświetlane w zminimalizowanym oknie aplikacji po zakończeniu sesji logowania. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩² ↩³

5. Źródłem zgłoszenia podatności było zgłoszenie do CERT Polska. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩²

6. CERT Polska koordynował proces ujawniania informacji o podatności. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩

7. Producentem podatnego oprogramowania jest Centralny Ośrodek Informatyki. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩²

8. Podatność dotyczy aplikacji mObywatel na iOS, która jest cyfrową aplikacją tożsamości zarządzaną przez Centralny Ośrodek Informatyki w Polsce. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩ ↩²

9. Problem został naprawiony w wersji 4.71.0 aplikacji mObywatel. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩² ↩³

10. Nazwa podatnego oprogramowania to mObywatel. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩

11. W aplikacji mObywatel na iOS nieautoryzowany użytkownik może użyć App Switcher do przeglądania danych osobowych właściciela konta w zminimalizowanym oknie aplikacji, nawet po zakończeniu sesji logowania. — https://nvd.nist.gov/vuln/detail/CVE-2025-11598 ↩ ↩²

12. Typ podatności to Exposure of Private Personal Information to an Unauthorized Actor (CWE-359). — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩

13. Podatność CVE-2025-11598 jest klasyfikowana jako CWE-359 (Exposure of Private Personal Information to an Unauthorized Actor). — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

14. Nieautoryzowana osoba z fizycznym dostępem do urządzenia może przeglądać dane osobowe bez konieczności uwierzytelniania lub odblokowywania aplikacji. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩ ↩²

15. Zakres ujawnianych informacji zależy od ostatniego widoku aplikacji wyświetlanego przed jej zminimalizowaniem. — https://cert.pl/posts/2026/02/CVE-2025-11598/ ↩ ↩²

16. Podatność jest specyficzna dla urządzeń iOS z podatnymi wersjami mObywatel i nie dotyczy innych platform ani aplikacji. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

17. Podatność wynika z tego, że po zminimalizowaniu aplikacji na urządzeniach iOS, interfejs App Switcher wyświetla migawkę ostatniego aktywnego ekranu aplikacji. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

18. Jeśli użytkownik miał widoczne wrażliwe dane osobowe przed minimalizacją, dane te pozostają widoczne w App Switcher, nawet po wylogowaniu. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

19. Wymaga interakcji użytkownika (minimalizacja aplikacji) i fizycznego dostępu do urządzenia, ale nie wymaga uprzywilejowanego dostępu ani złożonych technik eksploatacji. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

20. Ujawnione dane zależą od ostatniego widoku aplikacji wyświetlonego przed jej zminimalizowaniem. — https://nvd.nist.gov/vuln/detail/CVE-2025-11598 ↩

21. Ujawnione dane zależą od tego, który widok aplikacji był wyświetlany przed minimalizacją. — https://www.sentinelone.com/vulnerability-database/cve-2025-11598/ ↩

22. Podatność nie wpływa na backend aplikacji ani integralność danych, ale narusza poufność. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

23. CVSS 4.0 wynosi 1.0, co odzwierciedla niską wagę ze względu na ograniczony wpływ i złożoność eksploatacji. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

24. Dla organizacji europejskich, zwłaszcza w Polsce, gdzie mObywatel jest szeroko używany jako rządowa aplikacja tożsamości cyfrowej, podatność stanowi ryzyko prywatności. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

25. Ten problem został naprawiony w wersji 4.71.0. — https://nvd.nist.gov/vuln/detail/CVE-2025-11598 ↩

26. Podatność została naprawiona w wersji 4.71.0 lub nowszej aplikacji mObywatel na iOS. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩

27. Nie ma znanych aktywnych exploitów ani szeroko zakrojonych ataków wykorzystujących tę podatność. — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c ↩