A Apple lançou atualizações de segurança de emergência para iPhone e iPad após corrigir uma vulnerabilidade em Serviços de Notificação que poderia deixar notificações excluídas armazenadas no dispositivo por mais tempo do que o esperado — uma falha que pode ter exposto conteúdo de apps de mensagens criptografadas, como o Signal.

Atualização fora de ciclo

O bug, rastreado como CVE-2026-28950, foi corrigido em 22 de abril no iOS 26.4.2 e iPadOS 26.4.2, assim como no iOS 18.7.8 e iPadOS 18.7.8. Em seu boletim de segurança, a Apple afirmou apenas que “notificações marcadas para exclusão poderiam ser retidas inesperadamente no dispositivo” e observou que o problema foi corrigido por meio de melhorias na sanitização de dados.

A Apple não informou se a falha havia sido explorada em ataques, por que foi tratada fora do ciclo normal de atualizações da empresa, ou por quanto tempo os dados de notificações poderiam permanecer acessíveis. A empresa também não descreveu como os dados retidos poderiam ser recuperados.

O momento da correção vem depois de uma reportagem do 404 Media que descreveu um caso em que o FBI recuperou mensagens do Signal de um iPhone de um suspeito mesmo após terem sido excluídas no app. De acordo com anotações do julgamento publicadas por apoiadores dos réus, as mensagens não foram extraídas do armazenamento criptografado de mensagens do Signal. Em vez disso, foram recuperadas do armazenamento de notificações do iPhone, onde notificações recebidas alegadamente foram preservadas na memória interna mesmo depois que o Signal foi removido.

O aviso da Apple não menciona esse caso, mas sua descrição de notificações permanecendo no dispositivo corresponde de perto ao tipo de persistência descrito no relatório.

O Signal agradeceu posteriormente à Apple por agir rapidamente. “Somos gratos à Apple pela ação rápida aqui, e por entender e agir em relação à gravidade desse tipo de problema. É necessário um ecossistema para preservar o direito humano fundamental à comunicação privada”, disse a empresa em um comunicado público.

Os usuários estão sendo instados a instalar as atualizações mais recentes o mais rápido possível. O Signal também afirma que os usuários podem reduzir a chance de o conteúdo das mensagens ser armazenado nos dados de notificação do iOS alterando em Ajustes do Signal > Notificações > Conteúdo da notificação para “Apenas nome” ou “Sem nome ou conteúdo”.

O BleepingComputer disse que contatou a Apple para comentar, mas ainda não havia recebido resposta.

Fontes:

bleepingcomputer.com