CVE-2026-28950 曝光:iOS 通知数据库漏洞遭 FBI 利用读取 Signal 消息,Apple 紧急发布 iOS 26.4.2 修复,Signal 官方致谢
-
漏洞始末
Apple 于 4 月 22 日发布的 iOS 26.4.2 / iPadOS 26.4.2 以及 iOS 18.7.8 / iPadOS 18.7.8 修复了一个安全漏洞(CVE-2026-28950),此前 FBI 正是利用该漏洞从一部 iPhone 上提取了 Signal 消息预览内容——即便当时该应用已被删除。漏洞根源在于通知服务的日志记录缺陷:被标记为删除的通知数据未能真正清除,仍意外保留在设备内部数据库中。该 iPhone 开启了锁屏显示 Signal 消息内容的功能,被告虽已删除 Signal 应用并开启阅后即焚,但 iPhone 仍将消息内容留存于通知数据库,足够 FBI 在此期间完成提取。
Apple 的修复措施
Apple 将此次修复描述为"通过改进数据脱敏处理来解决日志记录问题",适用于 iPhone 11 及更新机型,以及多款 iPad 机型。
Signal 官方回应
Signal 在 Mastodon 上发帖表示,对 Apple 今日发布修复补丁感到非常高兴。根据搜索结果,Signal 官方明确指出该漏洞属于 iOS 操作系统层面的问题,与 Signal 自身的加密机制无关,并建议所有用户立即更新系统。
安全建议
所有运行 iOS 26 或 iOS 18 的用户均应尽快升级至最新版本,以避免受该漏洞影响。