Apple 已为 iPhone 和 iPad 推送紧急安全更新，修复了一个 Notification Services 漏洞。该漏洞可能导致已删除的通知在设备上比预期保留更长时间——这一缺陷可能暴露像 Signal 这样的加密消息应用的内容。

带外更新

该漏洞编号为 CVE-2026-28950，于 4 月 22 日在 iOS 26.4.2 和 iPadOS 26.4.2，以及 iOS 18.7.8 和 iPadOS 18.7.8 中被修补。Apple 在其安全公告中仅表示“标记为删除的通知可能会意外地保留在设备上”，并指出该问题已通过改进数据涂抹（data redaction）得到修复。

Apple 未说明该漏洞是否已在攻击中被利用、为何在公司正常更新周期之外处理此问题，或通知数据可能可被访问的持续时间。公司也未描述如何恢复这些被保留的数据。

此次修复的时机恰逢 404 Media 的报道，该报道描述了联邦调查局（FBI）在一名嫌疑人的 iPhone 中恢复 Signal 消息的案例，即便这些消息已在应用内被删除。根据被告支持者公布的审判记录，消息并非从 Signal 的加密消息存储中提取，而是从 iPhone 的通知存储中恢复，据信入站通知即使在 Signal 被移除后仍在内部内存中被保留。

Apple 的公告并未提及该案件，但其对通知在设备上残留的描述，与报道中所述的持久性类型高度一致。

Signal 随后对 Apple 的迅速行动表示感谢。“我们感谢 Apple 在此事上迅速采取行动，并理解与应对此类问题的重要性。维护私人通信这一基本人权需要整个生态系统的共同努力，”该公司在一份公开声明中表示。

用户被敦促尽快安装最新更新。Signal 还表示，用户可以通过更改 Signal 设置 > 通知 > 通知内容为“仅显示姓名”或“不显示姓名或内容”，来减少消息内容被存储在 iOS 通知数据中的可能性。

BleepingComputer 表示已联系 Apple 请求置评，但尚未收到回复。

来源：

bleepingcomputer.com