Apple schließt iOS-Lücke, die gelöschte Signal-Benachrichtigungen erhalten konnte

Apple hat eine Datenschutzlücke in iOS und iPadOS geschlossen, durch die Benachrichtigungen, die eigentlich gelöscht sein sollten, unerwartet auf dem Gerät erhalten bleiben konnten. Der Fehler wird als CVE-2026-28950 geführt und betrifft den Bereich Notification Services. Apple beschreibt das Problem nüchtern als Logging-Fehler, der mit verbesserter Datenredaktion behoben wurde.

Für Nutzerinnen und Nutzer von Messengern wie Signal heißt das: Die Lücke bedeutet nicht, dass die Ende-zu-Ende-Verschlüsselung von Signal gebrochen wurde. Betroffen waren vielmehr Inhalte, die als Push-Benachrichtigung auf iOS-Ebene angezeigt oder verarbeitet wurden. Wenn eine App Nachrichtenvorschauen in Benachrichtigungen nutzt, können Teile dieser Vorschau außerhalb der eigentlichen App-Spur auftauchen.

Was Apple gepatcht hat

Apple nennt als Auswirkung, dass zur Löschung markierte Benachrichtigungen unerwartet auf dem Gerät erhalten bleiben konnten. Behoben wurde das Problem in iOS 26.4.2 und iPadOS 26.4.2 sowie in iOS 18.7.8 und iPadOS 18.7.8. Die offizielle Beschreibung liefert keine detaillierte forensische Analyse, aber sie reicht aus, um das Risiko zu verstehen: Es ging um lokale Datenreste von Benachrichtigungen.

Solche Reste können besonders relevant werden, wenn ein Gerät physisch sichergestellt, entsperrt oder forensisch ausgewertet wird. Dann zählt nicht nur, was eine App selbst noch speichert, sondern auch, welche Spuren das Betriebssystem an anderer Stelle hinterlassen hat. Genau deshalb ist der Fall für verschlüsselte Messenger so sensibel.

Warum Signal nicht der eigentliche Fehler war

Signal schützt Nachrichteninhalte durch Ende-zu-Ende-Verschlüsselung während der Übertragung und bietet Funktionen wie verschwindende Nachrichten. Sobald ein Betriebssystem aber eine Nachrichtenvorschau als Benachrichtigung anzeigt, entsteht eine zusätzliche Oberfläche. Wenn diese Benachrichtigung lokal länger gespeichert wird als erwartet, kann sie unabhängig von der Messenger-App zum Datenschutzproblem werden.

Das ist kein Widerspruch zur Verschlüsselung. Verschlüsselung schützt den Transport und die Speicherung innerhalb definierter Systeme. Sie verhindert nicht automatisch, dass ein Betriebssystem eine sichtbare Vorschau, einen Screenshot, eine Benachrichtigung oder andere Metadaten temporär verarbeitet. Für hochsensible Kommunikation ist die Frage deshalb nicht nur, welche App genutzt wird, sondern auch, wie Benachrichtigungen konfiguriert sind.

Was Nutzer jetzt tun sollten

Die zentrale Maßnahme ist das Update auf eine gepatchte iOS- oder iPadOS-Version. Wer ein unterstütztes Gerät nutzt, sollte unter „Einstellungen > Allgemein > Softwareupdate“ prüfen, ob iOS 26.4.2, iPadOS 26.4.2 oder eine entsprechende 18.7.8-Version installiert ist. In Unternehmen und Behörden sollte die Aktualisierung über Geräteverwaltung kontrolliert werden, weil gerade dort vertrauliche Benachrichtigungen häufig auf mobilen Geräten erscheinen.

Zusätzlich ist es sinnvoll, Nachrichtenvorschauen auf dem Sperrbildschirm zu reduzieren oder ganz zu deaktivieren. Signal und andere Messenger bieten eigene Einstellungen dafür, iOS selbst ebenfalls. Diese Maßnahme ersetzt kein Sicherheitsupdate, senkt aber das Risiko, dass sensible Inhalte überhaupt in Benachrichtigungen auftauchen.

Die Lehre aus dem Fall

Der Vorfall zeigt, dass Datenschutz nicht an der App-Grenze endet. Auch ein sicherer Messenger kann durch Betriebssystemfunktionen, Backups, Benachrichtigungen oder forensische Artefakte indirekt Informationen preisgeben. Apples Patch schließt die konkret beschriebene Lücke. Für Nutzer bleibt aber die Grundregel: Software aktuell halten, Benachrichtigungsvorschauen sparsam einsetzen und bei vertraulicher Kommunikation nicht nur auf die App, sondern auf das gesamte Gerät achten.