Apple ha distribuito l’aggiornamento iOS 26.4.2 e iPadOS 26.4.2 per correggere una vulnerabilità che poteva consentire il recupero di messaggi cancellati da applicazioni di messaggistica come Signal. Il problema riguardava il sistema di notifiche push di iPhone e avrebbe permesso a strumenti forensi di accedere a contenuti che gli utenti ritenevano ormai eliminati dal dispositivo.
Secondo quanto riportato da diverse fonti internazionali, la falla sarebbe stata sfruttata anche in indagini investigative negli Stati Uniti. I messaggi non venivano recuperati direttamente dall’applicazione di messaggistica, ma dal database interno delle notifiche conservato nel sistema operativo di Apple.
Il bug che conservava le notifiche cancellate
La vulnerabilità, identificata come CVE-2026-28950, interessava il modo in cui iOS gestiva le notifiche segnate per l’eliminazione. In pratica, anche dopo aver cancellato una conversazione o persino disinstallato l’app, alcune informazioni potevano continuare a rimanere archiviate nei registri interni del sistema.
Questo comportamento rappresentava un rischio concreto per la privacy, soprattutto per gli utenti che utilizzano piattaforme di messaggistica cifrata come Signal per comunicazioni sensibili. Apple ha spiegato che il problema è stato corretto migliorando la gestione dei dati salvati nei log di sistema, impedendo che notifiche eliminate restino memorizzate in modo non previsto.
La questione ha attirato particolare attenzione dopo alcune indiscrezioni secondo cui l’FBI sarebbe riuscita a recuperare messaggi Signal cancellati proprio sfruttando questa debolezza del sistema di notifiche di iPhone. Le informazioni sarebbero state estratte attraverso strumenti forensi in grado di leggere il database locale delle notifiche push.
Il caso riapre il dibattito sul delicato equilibrio tra privacy digitale e attività investigative. Da anni Apple sostiene pubblicamente la propria posizione a favore della protezione dei dati personali degli utenti, spesso entrando in contrasto con le richieste delle autorità governative per l’accesso ai dispositivi.
Chi deve aggiornare subito
L’aggiornamento è disponibile per gli iPhone a partire da iPhone 11 e per diversi modelli recenti di iPad. Apple consiglia l’installazione immediata della patch, anche se non introduce nuove funzionalità visibili per gli utenti.
Per installare l’update basta accedere a:
- Impostazioni
- Generali
- Aggiornamento Software
e scaricare iOS 26.4.2.
Parallelamente, Signal mette già a disposizione strumenti aggiuntivi per limitare l’esposizione delle informazioni nelle notifiche. Gli utenti possono scegliere di nascondere il contenuto dei messaggi o persino il nome del contatto direttamente dalle impostazioni dell’app. Questa funzione riduce ulteriormente il rischio che dati sensibili restino accessibili attraverso le notifiche di sistema.
L’episodio dimostra ancora una volta come anche sistemi considerati altamente sicuri possano presentare vulnerabilità inattese legate non tanto alle app di messaggistica, quanto ai meccanismi interni del sistema operativo che gestiscono dati e notifiche.
