lỗ hổng CVE CVE-2026-28950 trên iOS 26.4.2 và iPadOS 26.4.2 đã được Apple phát hành bản vá vào ngày 22/04/2026 để khắc phục một vấn đề liên quan đến notification privacy. Lỗ hổng này cho phép nội dung thông báo từ Signal vẫn có thể được trích xuất trên iPhone, ngay cả sau khi ứng dụng đã bị gỡ cài đặt, làm phát sinh rủi ro bảo mật đối với dữ liệu nhạy cảm hiển thị trong notification preview.
CVE-2026-28950 và cơ chế gây lộ dữ liệu
Theo mô tả kỹ thuật, cảnh báo CVE này xuất phát từ một lỗi ghi log trong Apple notification services. Các thông báo được đánh dấu để xóa vẫn có thể bị giữ lại trên thiết bị, khiến phần xem trước tin nhắn tiếp tục tồn tại sau khi người dùng cho rằng dữ liệu đã bị xóa hoàn toàn.
Apple đã khắc phục nguyên nhân gốc bằng cách cải thiện cơ chế data redaction trong framework logging. Chi tiết bản vá được công bố trong advisory của Apple tại: https://support.apple.com/en-us/127002.
Ảnh hưởng trong bối cảnh an toàn thông tin
Điểm đáng chú ý của lỗ hổng CVE này là nó không phá vỡ mã hóa đầu-cuối của ứng dụng nhắn tin ở lớp ứng dụng, mà khai thác hành vi lưu trữ thông báo ở lớp hệ điều hành. Điều đó cho thấy an toàn thông tin trên thiết bị đầu cuối phụ thuộc vào cả ứng dụng lẫn cơ chế xử lý dữ liệu của hệ điều hành.
Trong vụ việc được nhắc đến, nội dung preview của thông báo Signal được cho là đủ để phục vụ phân tích pháp y. Điều này khiến lỗ hổng CVE trở thành một vấn đề thực tế về rò rỉ dữ liệu nhạy cảm, đặc biệt với các thiết bị dùng cho trao đổi thông tin bảo mật.
Bản vá iOS 26.4.2 và iPadOS 26.4.2
Apple phát hành bản cập nhật iOS 26.4.2 và iPadOS 26.4.2 để vá lỗ hổng CVE này. Theo thông tin công bố, bản cập nhật có build 23E261 và dung lượng khoảng 670–770 MB.
Người dùng có thể cài đặt bản vá qua đường dẫn:
Settings > General > Software UpdateĐối với thiết bị đời cũ, Apple cũng cung cấp cùng bản sửa lỗi thông qua iOS 18.7.8 và iPadOS 26.4.2. Đây là một bước cần thiết trong quy trình cập nhật bản vá để giảm thiểu nguy cơ dữ liệu thông báo còn tồn tại sau khi xóa ứng dụng.
Phản hồi từ Signal và phạm vi ảnh hưởng
Signal đã xác nhận bản vá và ghi nhận phản ứng nhanh của Apple sau khi sự cố được công bố. Theo mô tả kỹ thuật, bản cập nhật không chỉ ngăn thông báo mới tiếp tục bị lưu lại cho các ứng dụng đã xóa, mà còn tự động xóa dữ liệu thông báo trước đó còn tồn đọng trên thiết bị bị ảnh hưởng.
Điều này có ý nghĩa trực tiếp với các môi trường cần bảo mật thông tin ở mức cao, vì metadata và preview nội dung thông báo đôi khi vẫn là nguồn dữ liệu có giá trị trong phân tích xâm nhập và điều tra sự cố. Với lỗ hổng CVE dạng này, lớp bảo vệ ở mức ứng dụng là chưa đủ nếu hệ điều hành lưu trữ dư thừa dữ liệu hiển thị.
Điểm kỹ thuật cần lưu ý
- CVE: CVE-2026-28950.
- Loại lỗi: logging issue trong notification services.
- Tác động: notification previews có thể bị giữ lại sau khi xóa.
- Ảnh hưởng: rò rỉ nội dung tin nhắn từ Signal trên thiết bị iPhone.
- Bản vá: iOS 26.4.2, iPadOS 26.4.2, và bản tương ứng cho thiết bị cũ.
Khuyến nghị triển khai bản vá
Để giảm nguy cơ bảo mật từ lỗ hổng CVE này, thiết bị nên được cập nhật ngay khi bản vá khả dụng. Trong các môi trường có yêu cầu an ninh mạng nghiêm ngặt, việc kiểm tra phiên bản hệ điều hành và xác nhận trạng thái cập nhật nên được đưa vào quy trình quản trị thiết bị.
Vì lỗ hổng liên quan đến dữ liệu thông báo đã được lưu cục bộ, việc gỡ cài đặt ứng dụng không đủ để loại bỏ hoàn toàn thông tin còn sót lại nếu hệ điều hành chưa được vá. Do đó, cập nhật bản vá là biện pháp trực tiếp để xử lý lỗ hổng CVE này và giảm khả năng rò rỉ dữ liệu trên thiết bị đầu cuối.
