TL;DR

Aplikacja mObywatel na iOS (wersje poniżej 1 4.71.0) zawiera lukę pozwalającą na ujawnienie danych osobowych właściciela konta. Atak wymaga fizycznego dostępu do odblokowanego urządzenia 2 i wykorzystuje funkcję App Switcher — przełącznik aplikacji wbudowany w iOS. Polska aplikacja rządowa została naprawiona 3 w wersji 4.71.0 4 opublikowanej 3 lutego 2026 roku. Aktualizuj teraz.

Jak działa atak

Zaobserwowaliśmy podatność typu 5 CWE-359 (Exposure of Private Personal Information to an Unauthorized Actor — ujawnienie prywatnych danych osobowych osobie nieuprawnionej). Mechanizm jest prosty, ale efektywny.

Nieuprawniony użytkownik z fizycznym dostępem do urządzenia iOS 2 może wykorzystać funkcję App Switcher (przełącznik aplikacji, który otwiera się po dwukrotnym kliknięciu przycisku Home lub przesunięciu od dołu ekranu) 6. W tym widoku aplikacja mObywatel wyświetla miniaturę ostatniego ekranu — bez konieczności ponownego logowania 7.

Zakres ujawnianych informacji zależy od tego, jaki ekran był ostatnio wyświetlany 8. Jeśli właściciel konta przeglądał swoje dane osobowe, numer PESEL, adres zamieszkania lub inne wrażliwe informacje przed zminimalizowaniem aplikacji — wszystko to będzie widoczne w App Switcher’ze.

Kluczowy szczegół: ujawnienie następuje 9 po zakończeniu sesji logowania. Ponowne otwarcie aplikacji wymagałoby ponownego uwierzytelnienia. Oznacza to, że atak jest możliwy w oknie czasowym między zamknięciem aplikacji a jej ponownym otwarciem — czyli praktycznie zawsze, gdy urządzenie jest w użyciu.

Kto jest zagrożony

Zagrożeni są wszyscy użytkownicy mObywatela na iOS z wersją poniżej 1 4.71.0. Podatność nie wpływa na backend aplikacji ani integralność danych 10 — to czysty problem ujawnienia informacji na poziomie interfejsu użytkownika.

Atak wymaga 2 fizycznego dostępu do odblokowanego urządzenia. W praktyce oznacza to scenariusze takie jak:

  • Pożyczenie telefonu znajomemu, rodzinie, koledze z pracy
  • Pozostawienie urządzenia bez nadzoru w miejscu publicznym (kawiarnia, transport publiczny)
  • Kradzież telefonu przez osobę, która ma chwilę na przejrzenie danych

Dla polskich użytkowników – szczególnie tych, którzy przechowują na mObywatelu kopie dokumentów, numery PESEL czy adresy – to poważny problem.

Co zrobić w 24-48h

Priorytet 1: Aktualizacja

  1. Otwórz App Store na iPhone’ie
  2. Przejdź do zakładki konta (ikona osoby w prawym górnym rogu)
  3. Szukaj mObywatela na liście dostępnych aktualizacji
  4. Jeśli dostępna jest wersja 4.71.0 lub wyższa 3 — kliknij „Aktualizuj”
  5. Czekaj na ukończenie instalacji

Priorytet 2: Bezpieczeństwo urządzenia

  • Włącz automatyczne blokowanie ekranu: Ustawienia → Ekran i jasność → Automatyczna blokada – ustaw na 1-2 minuty
  • Upewnij się, że masz włączony Face ID lub Touch ID
  • Nie pożyczaj odblokowanego telefonu
  • Jeśli musiałeś pożyczyć urządzenie – zamknij mObywatela i wszystkie inne aplikacje z wrażliwymi danymi

Priorytet 3: Monitoring

  • Sprawdź historię logowań w mObywatelu (jeśli aplikacja to umożliwia)
  • Jeśli podejrzewasz nieautoryzowany dostęp — zmień hasło do konta

Kontekst dla polskich użytkowników

mObywatel to aplikacja rządowa zarządzana przez 11 Centralny Ośrodek Informatyki. Zawiera kopie dokumentów tożsamości, numery PESEL, adresy zamieszkania i inne dane osobowe chronione RODO. Ujawnienie tych informacji osobie nieuprawnionej stanowi potencjalne naruszenie przepisów o ochronie danych osobowych.

Podatność została 12 skoordynowana przez CERT Polska — polskie centrum reagowania na incydenty. Proces ujawniania informacji przebiegł prawidłowo: luka została zgłoszona 13 przez badacza bezpieczeństwa (Maciej Krakowiak z firmy DSecure.me), skoordynowana przez CERT, a producent wydał patch w rozsądnym terminie.

To przykład dobrej praktyki — podatność została naprawiona zanim stała się powszechnie znana.

Czy to poważne?

Severity tej podatności to 5 low — wymaga fizycznego dostępu do urządzenia i nie wpływa na backend ani integralność danych. Jednak dla użytkownika indywidualnego, który przechowuje kopie dokumentów w aplikacji, to może być znaczące.

Ryzyko jest realne, ale ograniczone do scenariuszy, w których osoba ma dostęp do Twojego odblokowanego telefonu. To nie jest atak zdalny, to nie jest exploit zero-day, to nie jest kampania phishingowa.

Aktualizacja rozwiązuje problem całkowicie.

Źródła

Zobacz też

Footnotes

  1. Podatne są wszystkie wersje mObywatel na iOS poniżej 4.71.0 — https://cert.pl/posts/2026/02/CVE-2025-11598/ 2

  2. Atak wymaga fizycznego dostępu do urządzenia z iOS — https://www.sentinelone.com/vulnerability-database/cve-2025-11598/ 2 3

  3. Problem został naprawiony w wersji 4.71.0 — https://cert.pl/posts/2026/02/CVE-2025-11598/ 2

  4. Podatność została opublikowana 3 lutego 2026 — https://cert.pl/posts/2026/02/CVE-2025-11598/

  5. Typ podatności to CWE-359 (Exposure of Private Personal Information to an Unauthorized Actor) — https://cert.pl/posts/2026/02/CVE-2025-11598/ 2

  6. Nieuprawniony użytkownik może korzystając z funkcji App Switcher podejrzeć dane osobowe właściciela konta wyświetlane w zminimalizowanym oknie aplikacji — https://cert.pl/posts/2026/02/CVE-2025-11598/

  7. Atak nie wymaga uwierzytelnienia do aplikacji — https://www.sentinelone.com/vulnerability-database/cve-2025-11598/

  8. Zakres ujawnianych informacji zależy od ostatniego widoku aplikacji wyświetlanego przed zminimalizowaniem aplikacji — https://cert.pl/posts/2026/02/CVE-2025-11598/

  9. Ujawnienie danych następuje po zakończeniu sesji logowania, ponowne otwarcie aplikacji wymagałoby ponownego uwierzytelnienia — https://cert.pl/posts/2026/02/CVE-2025-11598/

  10. Podatność nie wpływa na backend aplikacji ani integralność danych — https://radar.offseq.com/threat/cve-2025-11598-cwe-359-exposure-of-private-persona-dfd2833c

  11. CVE-2025-11598 dotyczy aplikacji mObywatel na iOS — https://cert.pl/posts/2026/02/CVE-2025-11598/

  12. Podatność została skoordynowana przez CERT Polska — https://cert.pl/posts/2026/02/CVE-2025-11598/

  13. Podatność została zgłoszona przez Macieja Krakowiaka z firmy DSecure.me — https://cert.pl/posts/2026/02/CVE-2025-11598/