Naglabas ang Apple ng emergency security updates para sa iPhone at iPad matapos ayusin ang isang kahinaan sa Notification Services na maaaring mag-iwan ng mga na-delete na notification na nakaimbak sa isang aparato nang mas matagal kaysa inaasahan — isang depekto na maaaring naglantad ng nilalaman mula sa mga encrypted messaging app tulad ng Signal.

Pag-update na wala sa regular na cycle

Ang bug, na naka-track bilang CVE-2026-28950, ay na-patch noong Abril 22 sa iOS 26.4.2 at iPadOS 26.4.2, pati na rin sa iOS 18.7.8 at iPadOS 18.7.8. Sa bulletin nito tungkol sa seguridad, sinabi lamang ng Apple na “ang mga notification na minarkahan para sa pagbura ay maaaring hindi inaasahang manatili sa aparato,” at binanggit na naayos ang isyu sa pamamagitan ng pinahusay na pag-redact ng datos.

Hindi sinabi ng Apple kung ang kahinaan ay na-exploit sa mga pag-atake, bakit ito hinawakan sa labas ng normal na update cycle ng kumpanya, o gaano katagal maaaring manatiling naa-access ang data ng notification. Hindi rin inilarawan ng kumpanya kung paano maaaring mabawi ang mga napanatiling datos.

Ang timing ng pag-aayos ay dumating matapos ang pag-uulat ng 404 Media na naglalarawan ng isang kaso kung saan nakuha ng FBI ang mga mensahe ng Signal mula sa iPhone ng isang suspek kahit na na-delete na ang mga ito sa loob ng app. Ayon sa mga tala mula sa paglilitis na inilathala ng mga tagasuporta ng mga nasasakdal, ang mga mensahe ay hindi kinuha mula sa encrypted message store ng Signal. Sa halip, nakuha ang mga ito mula sa imbakan ng mga notification ng iPhone, kung saan ang papasok na mga notification ay diumano'y na-preserba sa internal na memorya kahit na inalis na ang Signal.

Hindi binanggit ng advisory ng Apple ang kasong iyon, ngunit ang paglalarawan nito tungkol sa mga notification na nananatili sa aparato ay malapit na tumutugma sa uri ng persistensya na inilalarawan sa ulat.

Nagpasalamat ang Signal sa Apple dahil kumilos nang mabilis. “Nagpapasalamat kami sa Apple para sa mabilis na aksyon dito, at para sa pag-unawa at pagkilos sa mga stakes ng ganitong uri ng isyu. Kailangan ang isang ecosystem upang mapanatili ang batayang karapatang pantao sa pribadong komunikasyon,” ayon sa kumpanya sa isang pampublikong pahayag.

Hinihikayat ang mga gumagamit na i-install ang pinakabagong mga update sa lalong madaling panahon. Sabi rin ng Signal na maaaring bawasan ng mga user ang tsansang maitatago ang nilalaman ng mensahe sa iOS notification data sa pamamagitan ng pagbabago ng Signal > Mga Setting > Mga Notification > Nilalaman ng Notification sa “Pangalan Lamang” o “Walang Pangalan o Nilalaman.”

Sinabi ng BleepingComputer na kinontak nila ang Apple para sa komento ngunit wala pa silang natanggap na tugon.

Mga Pinagmulan:

bleepingcomputer.com