Besonders brisant: Eine Schwachstelle im Benachrichtigungsdienst erlaubte offenbar den Zugriff auf gelöschte Nachrichten. iOS 26.4.2 und Hintergrund-Updates für Safari schließen die Lücken.
Forensische Lücke im Benachrichtigungsdienst
Mit iOS 26.4.2 (22. April 2026) hat Apple die Schwachstelle CVE-2026-28950 behoben. Der Fehler lag in einem Protokollierungsmechanismus: Gelöschte Benachrichtigungen blieben unerwartet lange im internen Speicher – inklusive Vorschautexten von Drittanbieter-Apps.
Viele iPhone-Nutzer übersehen nach dem Update diese gefährliche Einstellung. Apple-Experte Detlef Meyer erklärt in diesem kostenlosen Ratgeber, wie Sie Ihre Daten mit wenigen Klicks wirklich schützen. So installieren Sie iOS-Updates sicher
Branchenberichte bringen den Patch mit einem konkreten Fall in Verbindung. US-Ermittler konnten offenbar gelöschte Signal-Nachrichten von einem beschlagnahmten iPhone rekonstruieren. Die App selbst löscht Nachrichten nach dem Lesen – doch die Push-Benachrichtigungen blieben in einer internen Datenbank erhalten.
Apple hat das Problem durch eine verbesserte Datenbereinigung gelöst. Experten betonen: Der Patch schließt eine wesentliche Lücke im Datenschutz-Versprechen des Konzerns.
Das Update enthält zudem allgemeine Fehlerbehebungen, etwa eine verbesserte Tastaturpräzision bei hoher Schreibgeschwindigkeit. Verfügbar ist es für Geräte ab dem iPhone 11 sowie ältere Modelle unter iOS 18.7.8.
WebKit-Sicherheit: Hintergrund-Updates im großen Stil
Parallel rückt die Browser-Engine WebKit in den Fokus – die technologische Basis für Safari und fast alle Web-Inhalte auf iOS und iPadOS. Bereits im März wurde die Schwachstelle CVE-2026-20643 entdeckt. Ein Fehler in der Navigation API ermöglichte es Webseiten, die Same-Origin-Policy zu umgehen.
Diese Sicherheitsrichtlinie ist ein Grundpfeiler moderner Browser. Sie verhindert, dass Skripte einer Seite auf Daten einer anderen zugreifen. Ein Bypass ist hochriskant: Angreifer könnten Anmeldedaten oder Sitzungs-Token aus parallelen Tabs abgreifen. Entdeckt wurde die Lücke vom Sicherheitsforscher Thomas Espach.
Interessant ist die Auslieferungsmethode: Apple nutzte für den Fix erstmals im großen Stil die „Background Security Improvements“. Der Mechanismus aktualisiert kritische Komponenten wie WebKit isoliert – ohne vollständiges Betriebssystem-Update. Voraussetzung: Die Option muss in den Systemeinstellungen aktiviert sein.
Behörden warnen – globale Auswirkungen
Die Dringlichkeit der Patch-Welle unterstreichen internationale Warnungen. Am 25. April verpflichtete die US-Behörde CISA Bundesbehörden zur zeitnahen Aktualisierung. Explizit genannt: WebKit-Fehler und Schwachstellen im Echtzeit-Betriebssystem RTKit.
AirDrop, iOS, Lightning – wer die Apple-Fachsprache nicht beherrscht, übersieht oft wichtige Sicherheitsaspekte seines Geräts. Dieses Gratis-Lexikon erklärt die 53 wichtigsten Begriffe in einfachen Worten, damit Sie Ihr iPhone sicher bedienen können. Kostenloses iPhone-Lexikon jetzt sichern
Auch das deutsche BSI veröffentlichte am 29. April ein Update zu WebKitGTK – einer Linux-Version der Engine. Der Bericht listet mehrere Schwachstellen auf, darunter CVE-2026-20643 sowie CVE-2026-28857 und CVE-2026-28861. Die Fehler ermöglichen Denial-of-Service-Angriffe, das Umgehen von Sicherheitsvorkehrungen oder Datenlecks.
Das Problem reicht also weit über Apples Ökosystem hinaus. WebKitGTK kommt in zahlreichen Linux-Distributionen zum Einsatz.
Analyse: Apples neue Update-Strategie
Der Fokus auf Hintergrund-Patches markiert einen Strategiewechsel. Apple verkürzt die Zeitspanne zwischen Entdeckung und Schließung von Lücken drastisch. Die Background Security Improvements (seit iOS 26.1) minimieren die Abhängigkeit von großen Release-Zyklen.
Das ist besonders kritisch angesichts neuer Bedrohungen. Im April 2026 wurde vermehrt das „ClickFix“-Schema beobachtet: Angreifer verleiten Nutzer über manipulierte Webseiten zur manuellen Ausführung von Schadcode. Eine schnell patchbare Web-Engine ist hier essenziell.
Die aktuelle Sicherheitslage zeigt zudem: Die Grenzen zwischen forensischen Werkzeugen und bösartigen Exploits verschwimmen. CVE-2026-28950 ist ein Paradebeispiel dafür, wie ein Protokollierungsfehler die Integrität von Sicherheits-Apps untergräbt.
Ausblick: iOS 26.5 in der Testphase
Während die aktuellen Patches die unmittelbaren Risiken mindern, bereitet Apple bereits den nächsten Schritt vor. iOS 26.5 befindet sich in der Testphase, die Veröffentlichung wird für Mai 2026 erwartet. Erste Beta-Versionen deuten auf einen verstärkten Fokus auf KI-Sicherheit hin.
Sicherheitsexperten raten: Lasst die automatische Installation von Sicherheitsupdates und Hintergrund-Verbesserungen aktiviert (Einstellungen > Datenschutz & Sicherheit). Nur so werden kritische Korrekturen sofort wirksam. Angesichts der zunehmenden Komplexität von Angriffen bleibt die schnelle Patch-Verteilung die wichtigste Verteidigungslinie.
