Apple veröffentlicht iOS 26.4.2-Updates und iPadOS 26.4.2 sowie iOS 18.7.8 und iPadOS 18.7.8. Mit dem iPhone und dem iPad ist ihnen gemeinsam, dass sie eine Schwachstelle mit der Bezeichnung CVE-2026-28950 beheben. Zum Löschen markierte Benachrichtigungen könnten unerwartet auf dem Gerät verbleiben.

Wie wurde dieser Fehler ausgenutzt?

Die Veröffentlichung des Patches außerhalb des üblichen Zyklus folgt auf Enthüllungen, dass Behörden wie das FBI den Fehler ausnutzten. 404 Medien berichteten, dass das FBI Nachrichten wurden erfolgreich von der sicheren Signal-App abgerufen vom iPhone eines Verdächtigen.

Das FBI hat die Verschlüsselung von Signal nicht kompromittiert, sondern forensische Tools verwendet, um Nachrichteninhalte direkt aus der Benachrichtigungsdatenbank des iPhones zu extrahieren.

Die Informationen blieben dort bestehen, auch nachdem sie in der App gelöscht wurden. Diese Methode ermöglichte es insbesondere, die kurzlebigen Nachrichtenfunktionen von Signal zu umgehen.

Vielen Dank an Signal

Im Anschluss an diese Enthüllungen rief die Präsidentin von Signal, Meredith Whittaker, Apple öffentlich zur Rede und erklärte: „ Benachrichtigungen für gelöschte Nachrichten sollten nicht in der Benachrichtigungsdatenbank des Betriebssystems verbleiben „.

Mit der Veröffentlichung des Patches begrüßt Signal die Reaktionsfähigkeit von Apple. Das Unternehmen aus Cupertino gibt lediglich an, dass der Fehler dank eines „ Verbesserung des Datenschreibens „, ohne weitere technische Details zu nennen.

Abgesehen von der Anwendung des Patches betont Signal, dass keine Maßnahmen erforderlich seien um Benutzer seiner Anwendung auf iOS zu schützen. “ Alle versehentlich gespeicherten Benachrichtigungen werden gelöscht und es werden keine zukünftigen Benachrichtigungen für gelöschte Apps beibehalten.