A Apple lançou uma correção de segurança para iOS e iPadOS após identificar uma falha no sistema de notificações que podia manter armazenadas, no próprio dispositivo, notificações que deveriam ter sido apagadas. A vulnerabilidade, registrada como CVE-2026-28950, foi classificada pela empresa como um problema de registro de dados, corrigido por meio de melhorias na forma como informações sensíveis são removidas ou ocultadas dos logs internos do sistema.

Segundo a Apple, “notificações marcadas para exclusão poderiam ser inesperadamente mantidas no dispositivo”. Na prática, isso significa que conteúdos exibidos em notificações, inclusive trechos de mensagens recebidas por aplicativos como o Signal, poderiam permanecer salvos em bases internas do iPhone ou iPad mesmo depois que o aplicativo fosse apagado.

A correção foi incluída nas versões iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8, abrangendo uma ampla lista de dispositivos, incluindo iPhones a partir do iPhone XR e iPhone 11, modelos mais recentes como iPhone 15, iPhone 16 e iPhone 16e, além de várias gerações de iPad, iPad Air, iPad mini e iPad Pro.

O caso ganhou relevância após uma reportagem da 404 Media revelar que o FBI conseguiu extrair, por meio de análise forense, cópias de mensagens recebidas no Signal a partir de um iPhone pertencente a um réu investigado em conexão com um ataque contra uma instalação de detenção da ICE em Prairieland, nos Estados Unidos. Mesmo após a remoção do aplicativo Signal, os investigadores teriam conseguido recuperar partes do conteúdo porque as mensagens haviam sido armazenadas no banco de dados de notificações push do dispositivo.

Ainda não está claro por que o conteúdo das notificações estava sendo registrado dessa forma, nem desde quando o problema existia. A atualização da Apple indica que se tratava de um bug, mas permanece a dúvida sobre quantos casos anteriores podem ter envolvido a extração desse tipo de dado por ferramentas forenses.

O episódio expõe um ponto importante para a privacidade digital: mesmo aplicativos com foco em comunicação segura podem ter parte de seus dados expostos quando o sistema operacional, as notificações ou o armazenamento local preservam informações inesperadamente. A criptografia protege a comunicação durante o envio e recebimento, mas não elimina todos os riscos quando o conteúdo aparece em notificações ou quando há acesso físico ao aparelho.

A Electronic Frontier Foundation alertou que, para a maioria dos aplicativos, não é simples para o usuário saber quais metadados ou conteúdos podem ser obtidos a partir de notificações. A organização também reforçou que vale repensar quais aplicativos realmente precisam enviar alertas na tela do celular.

No caso do Signal, os usuários podem reduzir a exposição acessando o perfil do aplicativo, entrando em “Notificações” e alterando a opção de exibição para “Somente nome” ou “Sem nome nem mensagem”. Dessa forma, o conteúdo da mensagem deixa de aparecer diretamente nas notificações.

O Signal afirmou que nenhuma ação adicional é necessária além da instalação da atualização da Apple. Segundo a empresa, após o patch, notificações preservadas indevidamente serão removidas e futuras notificações de aplicativos deletados não serão mais mantidas.