A Apple lançou atualizações não programadas para o iOS 26.4.2 e o iPadOS 26.4.2, corrigindo uma vulnerabilidade no armazenamento de notificações excluídas.

A Apple lançou atualizações não programadas para o iOS 26.4.2 e o iOS 18.7.8 para iPhone e iPad, corrigindo a vulnerabilidade CVE-2026-28950 no serviço de notificações, que poderia fazer com que notificações apagadas persistissem inesperadamente na memória do dispositivo. As atualizações foram lançadas em 22 de abril, fora do ciclo de atualizações programado, pouco depois de o FBI ter supostamente recuperado mensagens do Signal do iPhone de um suspeito usando o armazenamento de notificações da Apple.

Fonte da imagem: Yingchih / unsplash.com

A vulnerabilidade afetou o serviço de notificações do iOS e iPadOS. A empresa corrigiu o problema com um mecanismo aprimorado de ofuscação de dados, mas não divulgou detalhes técnicos sobre por quanto tempo os dados de notificação foram armazenados ou como poderiam ser recuperados. A atualização emergencial foi lançada depois que o FBI recuperou cópias de mensagens do Signal recebidas do smartphone da suspeita Lynette Sharp, mesmo após o aplicativo ter sido desinstalado do dispositivo.

De acordo com documentos judiciais divulgados pela defesa, as mensagens não vieram do armazenamento criptografado do Signal, mas do sistema de notificações do iPhone. “As mensagens foram recuperadas do telefone de Sharp por meio do armazenamento interno de notificações da Apple — o Signal foi desinstalado, mas as notificações recebidas permaneceram na memória interna”, afirmam os documentos.

A Apple não comentou sobre a relação da atualização com o caso, nem declarou se a vulnerabilidade foi usada em ataques reais ou por que a atualização não foi lançada como parte de seu ciclo normal de atualizações. O comunicado da empresa não menciona o caso de Sharp, mas sua descrição coincide com o que a defesa relatou.