Apple hat Notfall-Sicherheitsupdates für iPhone und iPad ausgeliefert, nachdem eine Schwachstelle in den Benachrichtigungsdiensten behoben wurde, die gelöschte Benachrichtigungen länger als erwartet auf einem Gerät belassen konnte — eine Lücke, die Inhalte von verschlüsselten Messaging-Apps wie Signal offengelegt haben könnte.

Außerplanmäßiges Update

Der Fehler, registriert als CVE-2026-28950, wurde am 22. April in iOS 26.4.2 und iPadOS 26.4.2 sowie in iOS 18.7.8 und iPadOS 18.7.8 behoben. In seinem Sicherheitsbulletin erklärte Apple lediglich, dass „zur Löschung markierte Benachrichtigungen unerwartet auf dem Gerät verbleiben konnten“ und wies darauf hin, dass das Problem durch verbesserte Datenmaskierung behoben wurde.

Apple sagte nicht, ob die Schwachstelle bereits in Angriffen ausgenutzt worden sei, warum sie außerhalb des üblichen Update-Zyklus des Unternehmens behandelt wurde oder wie lange Benachrichtigungsdaten zugänglich bleiben konnten. Das Unternehmen beschrieb auch nicht, wie die erhaltenen Daten möglicherweise wiederhergestellt werden könnten.

Der Zeitpunkt der Behebung folgt auf Berichte von 404 Media, die einen Fall beschrieben, in dem das FBI Signal-Nachrichten von einem iPhone eines Verdächtigen wiederherstellte, obwohl sie in der App gelöscht worden waren. Laut Gerichtsnotizen, die von Unterstützern der Angeklagten veröffentlicht wurden, wurden die Nachrichten nicht aus Signals verschlüsseltem Nachrichtenarchiv gezogen. Stattdessen wurden sie aus dem iPhone-Benachrichtigungsspeicher wiederhergestellt, wo eingehende Benachrichtigungen angeblich im internen Speicher erhalten geblieben waren, selbst nachdem Signal entfernt worden war.

Apples Sicherheitsmitteilung erwähnt diesen Fall nicht, aber ihre Beschreibung, dass Benachrichtigungen auf dem Gerät verbleiben, entspricht weitgehend der im Bericht beschriebenen Art von Persistenz.

Signal bedankte sich später bei Apple für das schnelle Handeln. „Wir sind Apple dankbar für die schnelle Reaktion und dafür, dass sie die Tragweite eines solchen Problems verstehen und entsprechend handeln. Es bedarf eines ganzen Ökosystems, um das grundlegende Menschenrecht auf private Kommunikation zu bewahren“, sagte das Unternehmen in einer öffentlichen Stellungnahme.

Nutzer werden aufgefordert, die neuesten Updates so bald wie möglich zu installieren. Signal weist außerdem darauf hin, dass Nutzer die Wahrscheinlichkeit verringern können, dass Nachrichteninhalte in iOS-Benachrichtigungsdaten gespeichert werden, indem sie in Signal zu Einstellungen > Benachrichtigungen > Benachrichtigungsinhalt „Nur Name“ oder „Kein Name oder Inhalt“ wählen.

BleepingComputer sagte, es habe Apple um einen Kommentar gebeten, aber noch keine Antwort erhalten.

Quellen:

bleepingcomputer.com