Apple Perbaiki Celah iOS yang Memungkinkan FBI Pulihkan Pesan Signal yang Dihapus
Baca dalam 60 detik
- Apple telah merilis pembaruan iOS dan iPadOS untuk menambal celah keamanan (CVE-2026-28950) yang menyebabkan notifikasi pesan tetap tersimpan di dalam perangkat meskipun pesan tersebut sudah dihapus.
- Celah ini sebelumnya terungkap ke publik setelah FBI dilaporkan berhasil memanfaatkannya untuk mengekstrak pesan dari aplikasi Signal milik seorang terdakwa, meskipun aplikasi tersebut sudah dihapus dari iPhone-nya.
- Signal mengonfirmasi bahwa setelah pengguna mengunduh pembaruan terbaru dari Apple ini, semua riwayat notifikasi yang tersimpan akibat celah sistem tersebut akan dihapus secara permanen.
Apple telah meluncurkan pembaruan perangkat lunak untuk iOS dan iPadOS guna mengatasi celah keamanan pada Layanan Pemberitahuan (Notification Services). Celah ini sebelumnya membuat notifikasi pesan yang sudah ditandai untuk dihapus justru tetap tersimpan secara tersembunyi di dalam perangkat.
Fakta Kunci Celah Notifikasi Apple:
- Kode Celah: Dilacak sebagai CVE-2026-28950, merupakan masalah pencatatan (logging) yang kini diatasi dengan penyuntingan data yang lebih baik oleh Apple.
- Eksploitasi oleh FBI: Biro Investigasi Federal AS (FBI) sempat memanfaatkan celah basis data notifikasi push ini untuk mengekstrak pesan aplikasi Signal dari iPhone seorang terdakwa, meskipun aplikasi tersebut telah dihapus.
- Solusi Pembaruan: Celah keamanan ini telah ditambal melalui perilisan sistem operasi iOS/iPadOS 26.4.2 dan iOS/iPadOS 18.7.8.
Pengungkapan patch atau tambalan ini muncul beberapa minggu setelah laporan dari media investigasi 404 Media, yang mengungkap bahwa FBI berhasil memulihkan salinan pesan masuk milik tersangka terkait kasus serangan terhadap fasilitas penahanan Prairieland ICE. Tidak diketahui secara pasti kapan masalah penyimpanan notifikasi ini mulai menjangkiti sistem iOS, namun pembaruan terbaru dari Apple menegaskan bahwa penumpukan log tersebut adalah sebuah bug.
Daftar Perangkat Terdampak dan Pembaruannya
Apple membagi rilis pembaruan keamanan ini menjadi dua jalur versi yang mencakup ekosistem perangkat keras mereka secara luas:
| Versi OS yang Diperbarui | Model Perangkat yang Didukung |
|---|---|
| iOS 26.4.2 & iPadOS 26.4.2 | iPhone 11 dan yang lebih baru, iPad Pro 12,9 inci (Gen 3+), iPad Pro 11 inci (Gen 1+), iPad Air (Gen 3+), iPad (Gen 8+), dan iPad mini (Gen 5+). |
| iOS 18.7.8 & iPadOS 18.7.8 | iPhone XR, XS, XS Max, seri iPhone 11 hingga 16e, seri iPhone SE (Gen 2 & 3), serta berbagai model lawas iPad mini, iPad biasa, iPad Air, dan iPad Pro hingga versi cip M4. |
Saran Privasi dari Signal dan EFF
Kasus ini menyoroti bagaimana akses fisik terhadap perangkat masih dapat memfasilitasi ekstraksi data sensitif dari pengguna yang berisiko. Electronic Frontier Foundation (EFF) memperingatkan bahwa pengguna sering kali tidak tahu apakah notifikasi yang masuk dienkripsi atau metadata apa saja yang dikumpulkan oleh sistem. EFF bahkan menyarankan pengguna untuk mempertimbangkan ulang apakah sebuah aplikasi benar-benar perlu mengirimkan notifikasi layar sejak awal.
"Perhatikan bahwa tidak ada tindakan tambahan yang diperlukan (setelah mengunduh patch) untuk melindungi pengguna Signal di iOS. Setelah Anda menginstal tambalan, semua notifikasi yang tersimpan secara tidak sengaja akan dihapus," tulis akun resmi Signal di platform X.
Signal juga memuji tindakan cepat yang diambil oleh Apple dalam melindungi hak asasi manusia mendasar untuk berkomunikasi secara privat. Bagi pengguna yang menginginkan privasi ekstra di masa mendatang, aplikasi Signal sendiri memiliki opsi bawaan untuk menyembunyikan isi pesan di notifikasi. Pengguna dapat mengaturnya dengan membuka Profil > Notifikasi > Tampilkan, lalu memilih "Hanya nama" (Name only) atau "Tidak ada nama atau pesan" (No name or message).
