Apple שחררה עדכוני אבטחה דחופים לאייפון ולאייפד לאחר שהיא תיקן פגיעות בשירותי התראות שיכולה להשאיר התראות שנמחקו מאוחסנות על המכשיר זמן רב יותר מהצפוי — פגם שעשוי היה לחשוף תוכן מאפליקציות הודעות מוצפנות כגון סיגנל.

עדכון מחוץ למחזור הרגיל

הבאג, שמסומן כ-CVE-2026-28950, תוקן ב-22 באפריל ב-iOS 26.4.2 ו-iPadOS 26.4.2, וכן ב-iOS 18.7.8 וב-iPadOS 18.7.8. בעיתון האבטחה שלה Apple ציינה רק ש'התראות שסומנו למחיקה עשויות להישמר במכשיר באופן בלתי צפוי', ונמסר שהבעיה תוקנה באמצעות שיפור בהטשטשות הנתונים.

Apple לא אמרה האם הפגם נוצל במתקפות, מדוע טופל מחוץ למחזור העדכונים הרגיל של החברה, או כמה זמן נתוני ההתראות עשויים להישאר נגישים. החברה גם לא תיארה כיצד ניתן היה לשחזר את הנתונים שנשמרו.

מועד התיקון מגיע לאחר שדיווח של 404 Media תיאר מקרה שבו ה-FBI שחזר הודעות סיגנל מאייפון של חשוד אף לאחר שהן נמחקו באפליקציה. לפי תמלילי משפט שפורסמו על ידי תומכי הנתבעים, ההודעות לא נשלפו ממאגר ההודעות המוצפן של סיגנל. במקום זאת, הן שוחזרו מאחסון ההתראות של האייפון, שם התראות נכנסות לכאורה נשמרו בזיכרון פנימי אף לאחר שהסיגנל הוסר.

ההודעה של Apple אינה מזכירה את המקרה, אך תיאור השארת ההתראות על המכשיר תואם במידה רבה את סוג ההתמדה שתואר בדו"ח.

סיגנל הודתה לאחר מכן ל-Apple על הפעולה המהירה. 'אנו מודים ל-Apple על הפעולה המהירה כאן, ועל ההבנה והפעולה ביחס לחשיבות סוג כזה של בעיה. דרוש אקוסיסטם כדי לשמר את הזכות היסודית לתקשורת פרטית,' אמרה החברה בהצהרה פומבית.

ממליצים למשתמשים להתקין את העדכונים האחרונים בהקדם האפשרי. סיגנל מוסיפה כי משתמשים יכולים להפחית את הסיכוי שתוכן הודעות יאוחסן בנתוני ההתראות של iOS על ידי שינוי בהגדרות סיגנל > התראות > תוכן התראה ל-'שם בלבד' או 'ללא שם או תוכן'.

בליפינג קומפיוטר אמרה שפנתה ל-Apple לתגובה אך טרם קיבלה תשובה.

מקורות:

בליפינג קומפיוטר