Apple sluit beveiligingslek in iOS 26.4.2: FBI kon verwijderde pushberichten inzien

Apple heeft met de update naar iOS 26.4.2 een ernstig beveiligingslek gedicht dat het mogelijk maakte voor opsporingsdiensten, waaronder de FBI, om verwijderde pushberichten op iPhones en iPads te benaderen. Het lek zat in de lokale opslag van notificaties en omzeilde daarmee Apple’s strenge privacybeleid, zo meldt de Electronic Frontier Foundation (EFF).

Volgens de updatebeschrijvingen van Apple introduceert iOS 26.4.2 een verbeterde redactie van data om het probleem op te lossen. Het lek zorgde ervoor dat notificaties die gemarkeerd waren voor verwijdering toch op het apparaat bleven bestaan. De update is beschikbaar voor de volgende apparaten:

• iPhone 11 en nieuwer
• iPad Pro 12,9-inch (3e generatie en nieuwer)
• iPad Pro 11-inch (1e generatie en nieuwer)
• iPad Air (3e generatie en nieuwer)
• iPad (8e generatie en nieuwer)
• iPad mini (5e generatie en nieuwer)

Het lek werd voor het eerst onthuld door 404 Media, dat ontdekte dat de FBI een tool gebruikte om Signal-notificaties lokaal op een iPhone te benaderen, zelfs nadat deze waren verwijderd. Signal CEO Meredith Whitaker reageerde later op Bluesky en benadrukte dat notificaties van verwijderde berichten niet in de notificatiedatabase van een besturingssysteem mogen blijven staan. Ze vroeg Apple om dit probleem op te lossen en adviseerde Signal-gebruikers om de instellingen aan te passen, zodat pushberichten geen berichtinhoud of afzendernaam tonen.

De EFF wijst erop dat de privacy van notificaties op twee manieren kwetsbaar is: in de cloud, waar ze via servers van bedrijven worden gerouteerd en mogelijk in metadata worden gelogd, en op het lokale opslagmedium van het apparaat. Hoewel de update van Apple ervoor moet zorgen dat verwijderde notificaties niet meer toegankelijk zijn, blijft het beperken van de zichtbaarheid van notificaties een belangrijke maatregel voor gebruikers.