Apple ha publicado actualizaciones de seguridad de emergencia para iPhone y iPad tras corregir una vulnerabilidad en Notification Services que podría dejar notificaciones eliminadas almacenadas en un dispositivo más tiempo del esperado — una falla que pudo haber expuesto contenido de aplicaciones de mensajería cifrada como Signal.

Actualización fuera de ciclo

El error, registrado como CVE-2026-28950, fue parcheado el 22 de abril en iOS 26.4.2 y iPadOS 26.4.2, así como en iOS 18.7.8 y iPadOS 18.7.8. En su boletín de seguridad, Apple se limitó a decir que “las notificaciones marcadas para eliminación podrían retenerse inesperadamente en el dispositivo”, y señaló que el problema se solucionó mediante una mejor redacción/eliminación de datos.

Apple no indicó si la falla había sido explotada en ataques, por qué se manejó fuera del ciclo normal de actualizaciones de la compañía, ni cuánto tiempo podrían permanecer accesibles los datos de notificación. La compañía tampoco describió cómo podría recuperarse la información retenida.

La sincronía de la corrección llega después de reportes de 404 Media que describieron un caso en el que el FBI recuperó mensajes de Signal de un iPhone de un sospechoso incluso después de que se hubieran eliminado en la aplicación. Según notas del juicio publicadas por simpatizantes de los acusados, los mensajes no fueron extraídos del almacén cifrado de mensajes de Signal. En su lugar, se recuperaron del almacenamiento de notificaciones del iPhone, donde se habría preservado en la memoria interna las notificaciones entrantes incluso después de que Signal fuera eliminado.

El aviso de Apple no menciona ese caso, pero su descripción de notificaciones que permanecen en el dispositivo coincide estrechamente con el tipo de persistencia descrito en el informe.

Signal posteriormente agradeció a Apple por actuar rápidamente. “Estamos agradecidos con Apple por la rápida acción aquí, y por comprender y actuar sobre lo que está en juego con este tipo de problema. Se necesita un ecosistema para preservar el derecho humano fundamental a la comunicación privada”, dijo la compañía en un comunicado público.

Se insta a los usuarios a instalar las últimas actualizaciones lo antes posible. Signal también indica que los usuarios pueden reducir la probabilidad de que el contenido de los mensajes se almacene en los datos de notificaciones de iOS cambiando Signal > Ajustes > Notificaciones > Contenido de notificación a "Solo nombre" o "Sin nombre ni contenido".

BleepingComputer dijo que contactó a Apple para obtener comentarios pero que aún no había recibido respuesta.

Fuentes:

bleepingcomputer.com