Apple ha risolto una grave vulnerabilità di sicurezza che ha consentito alle forze dell’ordine di aggirare la crittografia end-to-end. Un recente aggiornamento del software ha corretto un bug che consentiva all’FBI di recuperare i messaggi cancellati dall’app Signal accedendo ai dati residui nelle notifiche dell’iPhone.
La vulnerabilità: come è stata aggirata la crittografia
Sebbene Signal sia rinomato per la sua crittografia end-to-end di alto livello, il difetto di sicurezza non risiedeva nell’app Signal stessa, ma piuttosto nel sistema di notifica iOS.
Quando un utente riceve un messaggio, il telefono genera una notifica push. Nel caso individuato dagli investigatori, anche dopo che un utente ha cancellato un messaggio all’interno dell’app Signal, la notifica corrispondente è rimasta memorizzata sul sistema del dispositivo. Poiché queste notifiche spesso contengono solo testo del messaggio per consentirne una lettura rapida, fungevano da “backdoor”.
Estraendo queste notifiche conservate, l’FBI è riuscita a ricostruire le conversazioni che l’utente riteneva fossero state cancellate definitivamente.
La soluzione: l’aggiornamento di sicurezza di Apple
Apple ha risolto questo problema con l’identificatore CVE-2026-28950. Anche se il bollettino ufficiale sulla sicurezza dell’azienda rimane breve, conferma che “le notifiche contrassegnate per l’eliminazione potrebbero essere inaspettatamente conservate sul dispositivo”.
Per garantire che il tuo dispositivo sia protetto, dovresti aggiornare alle seguenti versioni:
– iOS 26.4.2 (per iPhone)
– iPadOS 26.4.2 (per iPad)
– iOS 18.7.8 (per modelli compatibili)
La patch garantisce che, una volta contrassegnata una notifica per l’eliminazione, il sistema operativo elimini correttamente i dati, impedendone la raccolta successiva.
Privacy proattiva: come proteggere le tue notifiche
Anche con la patch, gli esperti di sicurezza raccomandano un approccio di “difesa approfondita”. Affidarsi esclusivamente alle eliminazioni a livello di sistema operativo significa che i tuoi dati saranno ancora brevemente vulnerabili durante il loro ciclo di vita.
Per massimizzare la privacy, gli utenti di Signal possono impedire che le informazioni sensibili vengano visualizzate nei registri delle notifiche del sistema modificando le impostazioni dell’app:
- Apri Segnale.
- Vai a Impostazioni.
- Tocca Notifiche.
- Seleziona Contenuto della notifica.
- Scegli Nessun nome né contenuto.
Selezionando questa opzione, il telefono ti avviserà che hai un nuovo messaggio, ma non visualizzerà l’identità del mittente o il testo del messaggio nella schermata di blocco o nel centro notifiche. Ciò garantisce che, anche in caso di sequestro di un dispositivo, i registri delle notifiche rimangano inutilizzabili per gli investigatori.
Riepilogo: Apple ha corretto un bug che consentiva all’FBI di leggere i messaggi Signal eliminati tramite notifiche push persistenti. Sebbene l’aggiornamento risolva la lacuna tecnica, gli utenti possono migliorare ulteriormente la propria privacy disabilitando le anteprime dei messaggi nelle impostazioni di notifica di Signal.
