Apple ha lanzado una solución de software para iOS y iPadOS para solucionar una falla en los servicios de notificación que almacenaba notificaciones marcadas para eliminar en el dispositivo.
La vulnerabilidad, rastreada como CVE-2026-28950 (puntuación CVSS: N/A), se ha descrito como un problema de registro que se ha solucionado con una redacción de datos mejorada.
«Las notificaciones marcadas para eliminación podrían retenerse inesperadamente en el dispositivo», dijo Apple en un aviso.
La deficiencia afecta a los siguientes dispositivos:
- iPhone 11 y posteriores, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 8.ª generación y posteriores y iPad mini de 5.ª generación y posteriores – Corregido en iOS 26.4.2 y iPadOS 26.4.2
- iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (2.ª generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (3.ª generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos), iPhone 16e, iPad mini (5.ª generación – A17 Pro), iPad (7.ª generación – A16), iPad Air (3.ª – 5.ª generación), iPad Air 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (1.ª generación – M4), iPad Pro de 12,9 pulgadas (3.ª – 6.ª generación) y iPad Pro de 13 pulgadas (M4) – Fijo en iOS 18.7.8 y iPadOS 18.7.8
La actualización se produce semanas después de un informe de 404 Media de que la Oficina Federal de Investigaciones (FBI) de EE. UU. logró extraer de forma forense copias de los mensajes entrantes de Signal. desde el iPhone de un acusado en relación con un ataque a la Centro de detención de ICE de Prairielandincluso después de que se eliminó la aplicación, aprovechando el hecho de que se guardaron copias del contenido en la base de datos de notificaciones push del dispositivo.
Para empezar, no se sabe por qué el contenido de las notificaciones se registró en el dispositivo, pero la última actualización sugiere que fue un error. Dicho esto, no está claro cuándo se introdujo este problema y si ha habido casos anteriores en los que las autoridades hayan capturado dichos datos utilizando herramientas forenses.
Si bien Signal ya tiene una opción para evitar que el contenido de los mensajes entrantes se muestre en las notificaciones, el desarrollo destacó cómo el acceso físico a un dispositivo puede facilitar la extracción de datos confidenciales de usuarios en riesgo.
«Para la mayoría de las notificaciones de aplicaciones, no existe una forma sencilla de determinar fácilmente qué metadatos se pueden obtener de una notificación, o si la notificación no está cifrada o no», dijo la Electronic Frontier Foundation (EFF) dicho. «También es bueno reconsiderar si alguna aplicación debería enviarte notificaciones para empezar».
Para evitar que el contenido del mensaje se muestre en las notificaciones, los usuarios pueden navegar por a su perfil > Notificaciones > Mostrar y seleccione una de las siguientes opciones: «Solo nombre» o «Sin nombre ni mensaje».
«Tenga en cuenta que no es necesario realizar ninguna acción para que esta solución proteja a los usuarios de Signal en iOS», Signal dicho en una publicación en X. «Una vez que instale el parche, todas las notificaciones conservadas inadvertidamente se eliminarán y no se conservarán las notificaciones futuras de las aplicaciones eliminadas».
«Estamos agradecidos con Apple por la rápida acción aquí y por comprender y actuar sobre los riesgos de este tipo de problema. Se necesita un ecosistema para preservar el derecho humano fundamental a la comunicación privada».
