Apple는 삭제된 알림이 예상보다 장기간 기기에 저장될 수 있는 Notification Services 취약점을 수정한 뒤 iPhone 및 iPad용 긴급 보안 업데이트를 배포했다 — 이 결함은 Signal과 같은 암호화 메시징 앱의 내용을 노출시켰을 가능성이 있다.

주기 외 업데이트

CVE-2026-28950로 추적된 이 버그는 4월 22일 iOS 26.4.2 및 iPadOS 26.4.2, 그리고 iOS 18.7.8 및 iPadOS 18.7.8에서 패치되었다. Apple은 보안 권고에서 “삭제 대상으로 표시된 알림이 기기에 예기치 않게 보관될 수 있다”고만 밝히면서, 이 문제는 데이터 가리기 개선을 통해 수정되었다고 적었다.

Apple은 이 결함이 공격에 악용되었는지, 왜 회사의 정상 업데이트 주기 외에서 처리되었는지, 또는 알림 데이터가 얼마나 오랫동안 접근 가능한 상태로 남아 있을 수 있는지 밝히지 않았다. 또한 보관된 데이터를 어떻게 복구했는지도 설명하지 않았다.

수정 시점은 404 Media의 보도 이후에 나왔다. 보도에 따르면 피고 측 지지자들이 공개한 재판 기록에서 FBI가 피의자의 iPhone에서 Signal 앱 내에서 삭제된 메시지를 복구한 사례가 있었는데, 이 메시지들은 Signal의 암호화된 메시지 저장소에서 추출된 것이 아니었다. 대신 iPhone의 알림 저장소에서 복구되었으며, 해당 보도는 Signal이 제거된 이후에도 수신 알림이 내부 메모리에 보존되어 있었다고 전했다.

Apple의 권고문은 그 사건을 직접 언급하지 않지만, 기기에 알림이 남아 있다는 설명은 보고서에서 기술된 잔존 양상과 밀접하게 일치한다.

Signal은 이후 신속히 대응한 Apple에 감사를 표했다. 회사는 공개 성명에서 “이번 빠른 조치와 이 문제의 중대성을 이해하고 행동해 준 Apple에 감사드린다. 사적인 의사소통이라는 근본적 인권을 지키려면 생태계 전체의 노력이 필요하다”고 밝혔다.

사용자들은 가능한 한 빨리 최신 업데이트를 설치하라는 권고를 받고 있다. Signal은 또한 사용자가 Signal 설정 > 알림 > 알림 내용에서 "이름만" 또는 "이름 및 내용 없음"으로 변경하면 메시지 내용이 iOS 알림 데이터에 저장될 가능성을 줄일 수 있다고 안내했다.

BleepingComputer는 논평을 위해 Apple에 연락했지만 아직 답변을 받지 못했다고 전했다.

출처:

bleepingcomputer.com