iOS 26.4.2: Patch soll Extraktion gelöschter Signal-Mitteilungen unterbinden

Schnell nachgeschobener Sicherheits-Patch für iOS 26 und iOS 18: Apple hat in der Nacht auf Donnerstag iOS / iPadOS 26.4.2 und iOS / iPadOS 18.7.8 zum Download für alle unterstützten Geräte freigegeben. Im Beipackzettel spricht der Hersteller wie üblich nur vage von Fehlerbeseitigungen und Sicherheitsverbesserungen.

FBI konnte Signal-Mitteilungen extrahieren

Der Dokumentation zufolge beseitigen die neuen Versionen nur eine einzelne Schwachstellen, die allerdings jüngst für erhebliches Aufsehen gesorgt hatte: Gerichtsunterlagen zufolge konnten Strafverfolger des FBI die gelöschten Signal-Mitteilungen eines angeblichen „Antifa“-Anhängers aus dessen iPhone auslesen. Möglich war das, weil iOS die neu eingehenden Mitteilungen – falls diese mit komplettem Inhalt vom Benachrichtigungssystem des Betriebssystems angezeigt werden – offensichtlich in einer eigenen Datenbank zwischenspeichert. Die Speicherung erfolgt demnach auch, falls die Mitteilungen und die App – hier Signal – vom iPhone gelöscht werden.

„Mitteilungen, die zur Löschung markiert waren, konnten unerwartet auf dem Gerät erhalten bleiben“, lautet Apples nüchterne Beschreibung der Lücke (CVE-2026-28950). Dieses „Protokollierungsproblem“ behebe eine verbesserte Datenmaskierung.

Signal betonte am Donnerstag, „sehr glücklich“ über den Patch zu sein. Nutzer müssen nichts weiter unternehmen als das Update einzuspielen, erläutern die Entwickler des Krypto-Messengers. Alle versehentlich aufbewahrten Mitteilungen würden dadurch gelöscht und auch keine neuen mehr zwischengespeichert.

Signal-Chefin Meredith Whittaker hatte zuvor erklärt, gelöschte Mitteilungen dürften niemals „in irgendeiner Datenbank des Betriebssystems verbleiben“. Der Krypto-Messenger hatte sich demnach im Anschluss direkt an Apple gewendet. Manche Messenger – darunter Signal – bieten die Option, neue Mitteilungen ohne Inhalt und Namen des Absenders anzuzeigen. Das verhindert auch eine ungewollte Speicherung in Betriebssystemdatenbanken. Nutzer älterer iOS-Versionen, für die kein Patch vorliegt, können und sollten dies weiterhin als Workaround einsetzen.

Update auch für alle Geräte mit iOS 18

Immerhin ist iOS 18.7.8 auch für aktuelle iPhones verfügbar. Nutzer sind also nicht gezwungen, dafür auf die Liquid-Glass-Version iOS 26 upzugraden. Ursprünglich hatte Apple die Patches für iOS 18 auf aktuellen Geräten, die auf iOS 26 aktualisieren können, Ende vergangenen Jahres eingestellt. Die massive Bedrohung durch mächtige Spyware-Tools in freier Wildbahn führte dann zu einem Umdenken des Konzerns – und der erneuten Bereitstellung von Patches für die ältere Betriebssystemversion bis hinauf zum iPhone 16 und 16e.

(lbe)