iOS 26.4.2: Patch soll Extraktion gelöschter Signal-Mitteilungen unterbinden
iOS speicherte zum Löschen markierte Mitteilungen – auch von Krypto-Messengern – in einer auslesbaren Datenbank. Das soll nicht mehr passieren.
(Bild: Sebastian Trepesch / heise medien)
Schnell nachgeschobener Sicherheits-Patch für iOS 26 und iOS 18: Apple hat in der Nacht auf Donnerstag iOS / iPadOS 26.4.2 und iOS / iPadOS 18.7.8 zum Download für alle unterstützten Geräte freigegeben. Im Beipackzettel spricht der Hersteller wie üblich nur vage von Fehlerbeseitigungen und Sicherheitsverbesserungen.
FBI konnte Signal-Mitteilungen extrahieren
Der Dokumentation zufolge beseitigen die neuen Versionen nur eine einzelne Schwachstellen, die allerdings jüngst für erhebliches Aufsehen gesorgt hatte: Gerichtsunterlagen zufolge konnten Strafverfolger des FBI die gelöschten Signal-Mitteilungen eines angeblichen „Antifa“-Anhängers aus dessen iPhone auslesen. Möglich war das, weil iOS die neu eingehenden Mitteilungen – falls diese mit komplettem Inhalt vom Benachrichtigungssystem des Betriebssystems angezeigt werden – offensichtlich in einer eigenen Datenbank zwischenspeichert. Die Speicherung erfolgt demnach auch, falls die Mitteilungen und die App – hier Signal – vom iPhone gelöscht werden.
„Mitteilungen, die zur Löschung markiert waren, konnten unerwartet auf dem Gerät erhalten bleiben“, lautet Apples nüchterne Beschreibung der Lücke (CVE-2026-28950). Dieses „Protokollierungsproblem“ behebe eine verbesserte Datenmaskierung.
Videos by heise
Signal betonte am Donnerstag, „sehr glücklich“ über den Patch zu sein. Nutzer müssen nichts weiter unternehmen als das Update einzuspielen, erläutern die Entwickler des Krypto-Messengers. Alle versehentlich aufbewahrten Mitteilungen würden dadurch gelöscht und auch keine neuen mehr zwischengespeichert.
Signal-Chefin Meredith Whittaker hatte zuvor erklärt, gelöschte Mitteilungen dürften niemals „in irgendeiner Datenbank des Betriebssystems verbleiben“. Der Krypto-Messenger hatte sich demnach im Anschluss direkt an Apple gewendet. Manche Messenger – darunter Signal – bieten die Option, neue Mitteilungen ohne Inhalt und Namen des Absenders anzuzeigen. Das verhindert auch eine ungewollte Speicherung in Betriebssystemdatenbanken. Nutzer älterer iOS-Versionen, für die kein Patch vorliegt, können und sollten dies weiterhin als Workaround einsetzen.
Update auch für alle Geräte mit iOS 18
Immerhin ist iOS 18.7.8 auch für aktuelle iPhones verfügbar. Nutzer sind also nicht gezwungen, dafür auf die Liquid-Glass-Version iOS 26 upzugraden. Ursprünglich hatte Apple die Patches für iOS 18 auf aktuellen Geräten, die auf iOS 26 aktualisieren können, Ende vergangenen Jahres eingestellt. Die massive Bedrohung durch mächtige Spyware-Tools in freier Wildbahn führte dann zu einem Umdenken des Konzerns – und der erneuten Bereitstellung von Patches für die ältere Betriebssystemversion bis hinauf zum iPhone 16 und 16e.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
