Detak Media — Apple Inc. dengan sigap merilis pembaruan perangkat lunak iOS 26.4.2 dan iPadOS 26.4.2 pada 22 April 2026. Langkah darurat ini diambil menyusul terungkapnya sebuah kerentanan serius di sistem operasi yang memungkinkan Biro Investigasi Federal (FBI) Amerika Serikat mengakses pratinjau pesan dari aplikasi Signal yang telah dihapus di iPhone. Pembaruan ini bertujuan khusus untuk menambal celah keamanan (CVE-2026-28950) pada layanan notifikasi iOS yang secara tidak terduga menyimpan konten pratinjau, bahkan setelah pesan atau aplikasi terkait dihapus.

Kerentanan ini pertama kali disorot oleh situs berita teknologi independen 404 Media pada awal April 2026. Laporan mereka merinci bagaimana FBI berhasil memanfaatkan celah tersebut dalam sebuah persidangan federal di Texas. Dalam kasus seorang tersangka bernama Lynette Sharp, FBI mampu memulihkan pratinjau pesan Signal dari database notifikasi internal iPhone, meskipun pesan dan bahkan aplikasi Signal itu sendiri telah dihapus oleh pengguna. Agen Khusus FBI Clark Wiethorn memberikan kesaksian di pengadilan, menjelaskan bagaimana penyelidik memperoleh akses ke notifikasi yang tersimpan ini.

Meredith Whittaker, Presiden Signal, secara terbuka mendesak Apple untuk segera bertindak pada 14 dan 15 April 2026, menegaskan bahwa “notifikasi untuk pesan yang dihapus seharusnya tidak tetap ada di database OS mana pun.” Desakan ini dijawab cepat oleh Apple dengan perilisan pembaruan out-of-band ini, yang berarti dirilis di luar siklus pembaruan rutin perusahaan.

Apple menjelaskan kerentanan CVE-2026-28950 sebagai kondisi di mana “Notifikasi yang ditandai untuk dihapus dapat secara tak terduga disimpan di perangkat.” Penting untuk dicatat bahwa celah ini tidak memungkinkan FBI untuk membaca seluruh percakapan Signal yang terenkripsi secara end-to-end. Sebaliknya, yang dapat diakses adalah pratinjau pesan yang tersimpan di database notifikasi iPhone, dan pratinjau ini dapat bertahan hingga satu bulan di perangkat. Kerentanan ini terjadi apabila pengaturan notifikasi Signal diatur untuk menampilkan konten pesan di layar kunci atau dalam pratinjau notifikasi.

Dalam catatan rilis keamanannya, Apple menyatakan, “Pembaruan ini menyediakan perbaikan bug dan pembaruan keamanan untuk iPhone Anda. Notifikasi yang ditandai untuk dihapus dapat secara tak terduga disimpan di perangkat.” Sementara itu, Signal menyambut baik tindakan Apple, menyatakan, “Kami sangat senang bahwa hari ini Apple mengeluarkan patch dan pemberitahuan keamanan.” Mereka menambahkan apresiasi atas tindakan cepat Apple untuk menjaga hak asasi manusia fundamental untuk komunikasi pribadi.

Insiden ini kembali menyoroti ketegangan abadi antara privasi pengguna dan upaya penegakan hukum dalam mengakses informasi untuk investigasi. Meskipun enkripsi Signal tetap utuh dan tidak ditembus, kerentanan pada sistem operasi perangkat dapat menciptakan celah yang mengancam privasi pengguna. Pembaruan iOS 26.4.2 (dan iOS 18.7.8 untuk perangkat lama) telah memperbaiki masalah ini. Signal juga mengonfirmasi bahwa setelah pengguna menginstal pembaruan ini, semua notifikasi yang tidak sengaja tersimpan sebelumnya akan dihapus secara otomatis, dan notifikasi mendatang dari aplikasi yang dihapus tidak akan lagi disimpan.

Pengguna iPhone sangat dianjurkan untuk segera memperbarui perangkat mereka ke iOS 26.4.2 atau versi terbaru yang tersedia untuk mendapatkan perbaikan keamanan ini. Sebagai langkah perlindungan tambahan, pengguna dapat menyesuaikan pengaturan notifikasi Signal mereka untuk tidak menampilkan konten pesan di layar kunci atau pratinjau (“Tidak Ada Nama atau Konten”) guna meningkatkan privasi mereka lebih jauh.