Appleは、削除されたアラートがデバイスに保存され続ける通知サービスの欠陥を修正するための緊急アップデートを発表しました。これは機密メッセージコンテンツが公開される可能性がありました。
CVE-2026-28950として追跡されていたこの問題は、iOS 26.4.2およびiPadOS 26.4.2で解決されており、Appleの古いサポートされているオペレーティングシステムのバージョン向けのパッチもリリースされています。
同社は、バグが削除対象として指定された通知の永続化を許可するログの問題に起因していると述べました。Appleは、改善されたデータ削除がこの問題に対処していると付け加えましたが、欠陥が悪用されたかどうか、または保持されたデータがどのくらい長くアクセス可能なままでいられるかについては確認しませんでした。
通知データの永続化がプライバシーの懸念を引き起こす
このアップデートは、法医学調査員がアプリ自体ではなく保存された通知データにアクセスしてiPhoneから削除されたSignalメッセージを復元したという報道に続きます。404 Mediaによると、通知がシステムストレージにキャッシュされていたため、アプリが削除された後もメッセージコンテンツは利用可能なままでした。
Appleが直接ケースを参照していませんが、その勧告は同様の動作を反映しています。同社は、通知コンテンツが保持された理由やいつ問題が導入されたかを説明していません。
Signalはこの修正を歓迎しました。「ここでの迅速な対応と、この種の問題の重要性を理解し、行動に移してくれたAppleに感謝しています」と同社は水曜日のXの投稿で述べました。「プライベート通信の基本的な人権を保存するには、エコシステムが必要です。」
モバイルデータ漏洩リスクの詳細:92%のモバイルアプリが安全でない暗号化方法を使用していることが判明
パッチカバレッジと軽減ステップ
この脆弱性は、iPhone 11以降のデバイスを含む広い範囲のiPhoneとiPadに影響を与えます。AppleはiOS 18.7.8およびiPadOS 18.7.8への修正もバックポートしています。
ユーザーは以下の方法でリスクを軽減できます:
-
通知プレビューを「名前のみ」に設定するか、メッセージコンテンツを無効にする
-
最新のOSアップデートをすぐにインストールする
-
機密アプリの通知設定を確認する
電子フロンティア財団は警告しており、実装に応じて通知がメタデータまたは暗号化されていないコンテンツを公開する可能性があります。Appleのアップデートは、アプリケーションが暗号化を使用している場合でも、システムレベルの機能がプライバシーリスクをどのように引き起こす可能性があるかを強調しています。
画像クレジット:Farknot Architect / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/apple-ios-notification-bug-deleted/
