Tech & Gear

Apple tampal kelemahan iOS 26.4.2 yang boleh dedahkan push notifications yang sudah dipadam

Oleh Aimirul|
Kongsi

Apple telah melancarkan iOS 26.4.2 dan update ini memang patut dipasang ASAP, terutama kalau anda kisah tentang privasi mesej pada lock screen.

Patch ini membaiki satu kelemahan berkaitan database notifikasi Apple, di mana push notifications yang sepatutnya sudah dipadam masih boleh kekal dalam device. Ini penting sebab notifikasi yang tertinggal itu dilaporkan boleh dilihat oleh pihak penguatkuasa, walaupun selepas pengguna menyangka ia sudah hilang.

Menurut release notes Apple sendiri, fix ini menambah "improved data redaction" untuk isu di mana notifikasi yang ditanda untuk dipadam boleh disimpan secara tidak dijangka dalam device. Dalam bahasa mudah, alert yang sudah dipadam tidak semestinya hilang sepenuhnya seperti yang pengguna jangkakan.

Kenapa benda ini big deal

Sudut privasi yang lebih besar inilah yang buat isu ini jadi panas.

Electronic Frontier Foundation berkata bug ini membuka satu laluan untuk agensi seperti FBI memintas pendirian privasi Apple yang lebih ketat. Sejak 2023, Apple memerlukan perintah mahkamah sebelum berkongsi data notifikasi. Tapi kalau data itu masih berada dalam telefon sendiri, ia menjadi satu lagi titik akses.

Penggunaan spesifik kelemahan ini mula-mula dilaporkan oleh 404 Media, yang berkata FBI menggunakan satu tool untuk menarik data notifikasi Signal yang disimpan secara lokal pada iPhone, termasuk notifikasi yang sudah pun dipadam.

Ini memang notable sebab apps seperti Signal biasanya dikaitkan dengan privasi yang lebih kuat. Tapi kes ini menunjukkan weak point itu bukan semestinya app itu sendiri, sebaliknya cara data notifikasi dikendalikan oleh OS.

Signal sudah pun beri amaran kepada pengguna

CEO Signal Meredith Whitaker sebelum ini mengakui isu tersebut dan berkata notifikasi untuk mesej yang dipadam tidak sepatutnya kekal dalam mana-mana database notifikasi OS. Beliau juga berkata Signal telah meminta Apple untuk menanganinya.

Pada masa itu, Whitaker menasihatkan pengguna untuk mengurangkan apa yang muncul dalam notifikasi Signal, termasuk membuang nama pengirim dan kandungan mesej daripada preview. Selepas Apple mengeluarkan patch tersebut, Signal berkata ia "very happy" kerana Apple telah mengeluarkan kedua-dua fix dan security advisory.

Kenapa pengguna Malaysia dan SEA patut ambil kisah

Untuk ramai orang di Malaysia dan seluruh Asia Tenggara, notifikasi lock screen memang macam mini inbox. OTP, alert banking, work chats, mesej family WhatsApp, group Telegram, convo Signal, semua masuk situ.

Convenience itu memang best, tapi maksudnya panel notifikasi anda juga boleh menyimpan lebih banyak info sensitif daripada yang anda sedar. Kalau alert yang sudah dipadam masih melekat dalam database sistem, itu memang masalah privasi tak kira anda tinggal di mana.

Ia juga lebih terasa di rantau ini sebab ramai pengguna bergantung pada satu telefon untuk kerja, side hustle, banking, dan chat peribadi. Satu device bawa semua benda. Jadi walaupun anda bukan pengguna hardcore privacy-maxxing, update ini tetap penting.

Device mana yang dapat update ini

Apple berkata patch ini tersedia sekarang untuk:

  • iPhone 11 dan ke atas
  • iPad Pro 12.9-inch (3rd gen dan ke atas)
  • iPad Pro 11-inch (1st gen dan ke atas)
  • iPad Air (3rd gen dan ke atas)
  • iPad (8th gen dan ke atas)
  • iPad mini (5th gen dan ke atas)

Apa yang anda patut buat sekarang

Pertama, update ke iOS 26.4.2 jika device anda menyokongnya.

Kedua, kalau anda guna messaging apps untuk chat sensitif, masih bijak untuk hadkan apa yang muncul dalam notification previews. EFF menyatakan bahawa notifikasi boleh terdedah di sekurang-kurangnya dua tempat: di cloud semasa ia diroute melalui server syarikat, dan pada telefon tempat ia disimpan secara lokal.

Jadi ya, patch ini sepatutnya menutup lubang spesifik yang Apple kenal pasti, tapi hygiene notifikasi yang baik masih penting. Kalau lock screen anda sedang memaparkan teks mesej penuh, mungkin sekarang masa yang sesuai untuk kemaskan benda itu.

Source: Engadget

Tag

AppleiOSprivacycybersecuritySignal