Apple
不久前的4月初,蘋果才發布iOS 26.4.1與iPadOS 26.4.1,以及iOS 18.7.7與iPadOS 18.7.7,但僅僅兩周之後,又於4月22日釋出iOS 26.4.2與iPadOS 26.4.2,以及iOS 18.7.8與iPadOS 18.7.8。蘋果這次在正常更新週期之外的緊急更新,目的是修補通知服務(Notification Services)的漏洞,此弱點的存在,可能導致原本已標記為刪除的通知訊息內容,仍保留於用戶裝置,進而產生隱私疑慮。
在漏洞細節方面,這次修補的漏洞編號為CVE-2026-28950,尚未公布CVSS嚴重性評分,蘋果在公告中指出此漏洞涉及的問題為:被標記為刪除的通知訊息內容,可能會意外地保留在裝置上,該公司則透過改進資料遮蔽機制(data redaction),以及修正日誌紀錄(logging)從而解決問題。
綜觀蘋果這次的修補,凸顯出手機通知服務潛藏的資安風險。首先,通知本身不僅是「通知」,往往包含敏感的私人訊息,一旦外洩,就會造成隱私風險。
其次,通知服務的訊息內容,除了在應用程式上保存外,行動裝置的底層系統(如iOS),以及服務平臺端,可能也會透過日誌或其他方式保存部分訊息內容,因而即便用戶從應用程式刪除通知訊息,但行動裝置底層與服務平臺可能都還留有相關內容,而沒有徹底清除,也留下訊息內容外洩的隱患。對於執法者來說,這可能是個便於取證的管道,但對於即時通訊軟體用戶與供應商來說,這形同於可能造成訊息外洩的後門。無論如何,對於一向自詡重視用戶隱私的蘋果來說,顯然無法置身事外,或許這也促使蘋果等不到5月份的下一次例行性更新,而臨時於4月22日專門針對這個通知服務漏洞,釋出額外的iOS與iPadOS更新版本。
