Apple, cihazda silinmiş bildirimlerin beklenenden daha uzun süre saklanmasına yol açabilecek bir Notification Services güvenlik açığını düzelttikten sonra iPhone ve iPad için acil güvenlik güncellemeleri yayımladı — bu hata, Signal gibi uçtan uca şifreli mesajlaşma uygulamalarından gelen içeriğin açığa çıkmasına yol açmış olabilir.

Döngü dışı güncelleme

CVE-2026-28950 olarak izlenen hata, 22 Nisan'da iOS 26.4.2 ve iPadOS 26.4.2 ile ayrıca iOS 18.7.8 ve iPadOS 18.7.8'de yamalandı. Güvenlik bülteninde Apple sadece "silinmek üzere işaretlenmiş bildirimlerin beklenmedik şekilde cihazda tutulabileceğini" söyledi ve sorunun daha iyi veri karartımı ile giderildiğini belirtti.

Apple, hatanın saldırılarda kullanılıp kullanılmadığını, neden şirketin normal güncelleme döngüsü dışında ele alındığını veya bildirim verilerinin ne kadar süre erişilebilir kalabileceğini söylemedi. Şirket ayrıca saklanan verinin nasıl kurtarılabileceğini de açıklamadı.

Düzeltmenin zamanlaması, 404 Media tarafından yayımlanan bir habere göre FBI'ın bir şüphelinin iPhone'undan Signal mesajlarını, uygulamada silindikten sonra bile kurtardığı vakasının raporlanmasının ardından geldi. Sanıkların destekçileri tarafından yayımlanan duruşma notlarına göre, mesajlar Signal'in şifreli mesaj deposundan çekilmemişti. Bunun yerine, gelen bildirimlerin Signal kaldırıldıktan sonra bile dahili bellekte korunmuş olduğu iddia edilen iPhone bildirim deposundan kurtarıldığı belirtildi.

Apple'ın duyurusu o davadan bahsetmiyor, ancak cihazda bildirimlerin kalmasıyla ilgili açıklaması raporda tanımlanan kalıcılık türüyle büyük ölçüde örtüşüyor.

Signal daha sonra Apple'a hızlı hareket ettiği için teşekkür etti. Şirket yaptığı kamu açıklamasında, "Bu tür bir sorunun sonuçlarını anlayıp hızlı hareket ettiği için Apple'a minnettarız. Mahrem iletişim hakkını korumak bir ekosistem gerektirir," dedi.

Kullanıcılara en son güncellemeleri mümkün olan en kısa sürede yüklemeleri tavsiye ediliyor. Signal ayrıca kullanıcıların iOS bildirim verilerinde mesaj içeriğinin saklanma olasılığını azaltmak için Signal Settings > Notifications > Notification content öğesini "Sadece İsim" veya "İsim veya İçerik Yok" olarak değiştirebileceklerini söylüyor.

BleepingComputer, yorum için Apple ile iletişime geçtiğini ancak henüz yanıt almadığını belirtti.

Kaynaklar:

bleepingcomputer.com