Apple telah mendorong pembaruan keamanan darurat untuk iPhone dan iPad setelah memperbaiki kerentanan Notification Services yang dapat menyebabkan notifikasi yang dihapus tetap tersimpan di perangkat lebih lama dari yang diharapkan — celah yang mungkin telah mengekspos konten dari aplikasi pesan terenkripsi seperti Signal.

Pembaruan di luar jadwal

Bug, yang dilacak sebagai CVE-2026-28950, diperbaiki pada 22 April dalam iOS 26.4.2 dan iPadOS 26.4.2, serta iOS 18.7.8 dan iPadOS 18.7.8. Dalam buletin keamanannya, Apple hanya mengatakan bahwa “notifikasi yang ditandai untuk dihapus dapat tidak terduga tetap tersimpan di perangkat,” dan mencatat masalah tersebut diperbaiki melalui peningkatan redaksi data.

Apple tidak mengatakan apakah celah itu telah dieksploitasi dalam serangan, mengapa itu ditangani di luar siklus pembaruan normal perusahaan, atau berapa lama data notifikasi bisa tetap dapat diakses. Perusahaan juga tidak menjelaskan bagaimana data yang tersimpan dapat dipulihkan.

Waktu perbaikan ini muncul setelah pelaporan dari 404 Media yang menggambarkan kasus di mana FBI memulihkan pesan Signal dari iPhone seorang tersangka meskipun pesan tersebut telah dihapus di aplikasi. Menurut catatan persidangan yang dipublikasikan oleh pendukung para terdakwa, pesan-pesan itu tidak diambil dari penyimpanan pesan terenkripsi Signal. Sebaliknya, pesan tersebut dipulihkan dari penyimpanan notifikasi iPhone, di mana notifikasi masuk diduga dipertahankan di memori internal bahkan setelah Signal dihapus.

Pemberitahuan Apple tidak menyebut kasus itu, tetapi deskripsinya tentang notifikasi yang tetap di perangkat sangat mirip dengan jenis persistensi yang dijelaskan dalam laporan tersebut.

Signal kemudian berterima kasih kepada Apple atas tindakan cepatnya. “Kami berterima kasih kepada Apple atas tindakan cepat di sini, dan karena memahami serta bertindak terhadap taruhannya terkait jenis masalah ini. Dibutuhkan sebuah ekosistem untuk menjaga hak asasi manusia mendasar atas komunikasi pribadi,” kata perusahaan itu dalam sebuah pernyataan publik.

Pengguna didorong untuk menginstal pembaruan terbaru sesegera mungkin. Signal juga mengatakan pengguna dapat mengurangi kemungkinan konten pesan disimpan dalam data notifikasi iOS dengan mengubah Signal Settings > Notifications > Notification content menjadi “Hanya Nama” atau “Tanpa Nama atau Konten.”

BleepingComputer mengatakan telah menghubungi Apple untuk komentar tetapi belum menerima tanggapan.

Sumber:

bleepingcomputer.com