Nur wenige Smartphone-Bedrohungen bereiten so viel Besorgnis wie Pegasus und Predator-Spyware. Dabei handelt es sich um Tools, die für die Tarnung und die Extraktion sensibler Informationen entwickelt wurden, einschließlich Nachrichten, Kontakte, Geolokalisierung und Daten von Mikrofonen und Kameras. Jetzt, mit der Einführung von iOS 26, wird eine wichtige forensische Spur geändert, die Ermittlern lange geholfen hat, diese Eindringlinge zu verfolgen. Diese Verschiebung hat schwerwiegende Auswirkungen sowohl für Forensiker als auch für alltägliche Anwender.
Sicherheitsforscher iVerify haben darauf hingewiesen, dass das Update auf iOS 26 die Art und Weise geändert hat, wie Apple mit einer bestimmten Protokolldatei, dem shutdown.log, umgeht, der Teil des Sysdiagnose-Pakets im Ordner “Unified Logs” ist. In früheren Versionen von iOS lieferten shutdown.log einen Snapshot der Systemaktivität beim Herunterfahren des Geräts, und Spyware wie Pegasus hinterließ zuverlässig Spuren.
Mit iOS 26 scheint Apple das Verhalten geändert zu haben. Anstatt jedes Herunterfahrereignis an das Protokoll anzuhängen, wird die Datei bei jedem Neustart effektiv überschrieben. In der Praxis könnten alle früheren Einträge, die möglicherweise von Spyware hinterlassen wurden, nach dem Neustart des Geräts gelöscht werden. Das bedeutet, dass Beweise für eine frühere Kompromittierung möglicherweise spurlos verschwinden.
Um das Ausmaß dessen zu verstehen, hilft es zu erklären, wie Forscher shutdown.log in der Vergangenheit eingesetzt haben. Wenn Pegasus ein iPhone infizierte, hinterließ es oft Signaturen in diesem Protokoll, auch wenn es dann versuchte, sie zu löschen. Die Ermittler lernten, Muster zu erkennen, wie z. B. Einträge, die auf unerwartete WebKit-Netzwerkaufgaben, Staging-Verzeichnisse oder ungewöhnliche Prozessnamen während des Herunterfahrens von Sequenzen verweisen.
In einem dokumentierten Fall stellte iVerify fest, dass selbst ein gelöschter oder seltsam formatierter shutdown.log selbst ein Warnsignal sein konnte, da das Fehlen erwarteter Einträge zu einer Heuristik der Kompromittierung wurde.
Was sich mit iOS 26 geändert hat, ist, dass das Verhalten “Clean Slate at Reboot” anscheinend genau diese forensische Aufzeichnung löscht. Laut iVerify können alle Spuren einer historischen Infektion bereits für immer verloren sein, es sei denn, ein Benutzer erstellt vor dem Update auf iOS 26 einen Geräte-Snapshot oder eine Systemdiagnose.
Das ist aus zwei Gründen wichtig. Erstens: Für Personen, die den Verdacht haben, dass ihre Telefone von ausgeklügelter Spyware angegriffen wurden, ist ihre Fähigkeit, die Kompromittierung zu beweisen oder zu untersuchen, ohne die shutdown.log Einträge erheblich geschwächt. Zweitens verringert die Änderung für Sicherheitsexperten und Incident Responder die Sichtbarkeit früherer Verhaltensweisen und erhöht die Komplexität der Bedrohungssuche und der forensischen Untersuchungen.
Die Verschiebung in iOS 26 betrifft nicht nur die Spurenerkennung. Und das zu einer Zeit, in der Spyware wie Pegasus und Predator nicht mehr nur gegen Menschenrechtsaktivisten und Journalisten eingesetzt werden. Frühere Untersuchungen von iVerify ergaben, dass auch vermögende Führungskräfte, Regierungsmitarbeiter und Führungskräfte des privaten Sektors ins Visier genommen wurden.
Angesichts der sich ändernden Taktiken dieser Überwachungsinstrumente war die Fähigkeit, sie zu erkennen, schon immer ein Wettlauf. Die Änderung von iOS 26 könnte Angreifern einen weiteren Vorteil verschaffen, indem sie das Zeitfenster für Ermittler verkürzt, um historische Infektionen zu erkennen.
Was bedeutet das für Sie?
Wenn Sie ein iPhone besitzen oder Geräte in einer Unternehmensumgebung verwalten, sollten Sie angesichts dieser Entwicklung die folgenden wichtigen Schritte berücksichtigen:
1. Vor dem Upgrade auf iOS 26: Wenn Sie den Verdacht haben, dass ein Gerät kompromittiert wurde, führen Sie eine vollständige Systemdiagnose durch, bevor Sie das Update anwenden. Speichern Sie die shutdown.log, archivieren Sie sie und bewahren Sie eine Kopie sicher auf. Sobald iOS 26 installiert und das Gerät neu gestartet wurde, können die Protokolleinträge verloren gehen.
2. Aktivieren Sie Überwachungs- und Erkennungstools: Verwenden Sie seriöse mobile Forensik- oder EDR-Lösungen, die Diagnoseprotokolle, Systemverhalten und bekannte Kompromittierungsindikatoren (IOCs) wie Staging-Verzeichnisse, unerwartete Netzwerkaufgaben oder Protokollanomalien scannen können.
3. Priorisieren Sie bei Unternehmensflotten kontinuierliche Transparenz: Da historische Spuren verschwinden können, müssen sich Erkennungsmodelle stärker auf das Echtzeit-Auftreten von Anomalien stützen – wie z. B. ungewöhnliche Authentifizierungsregistrierungen, unbekannte Geräteregistrierungen oder Prozessverhalten im Hintergrund – anstatt sich ausschließlich auf statische Protokollartefakte zu verlassen.
4. Bleiben Sie auf dem Laufenden: Es bleibt wichtig, die neuesten iOS-Patches zu installieren (die Zero-Day-Schwachstellen beheben können). Beachten Sie jedoch, dass Updates auch forensische Artefakte verändern können. Für Benutzer mit hohem Risiko sollten Sie in Erwägung ziehen, das Gerät im Sperrmodus zu belassen und Protokolle vor größeren Updates zu sichern.
5. Informieren Sie Ihr Unternehmen: Viele Benutzer sind sich nicht bewusst, dass Systemprotokolle für die forensische Kontinuität wichtig sind. Sicherzustellen, dass Mitarbeiter und Führungskräfte verstehen, dass die Aktualisierung eines Betriebssystems die Rückverfolgbarkeit beeinträchtigen kann, ist heute Teil der digitalen Hygiene.
Die Änderung in iOS 26 spiegelt eine breitere Spannung in der mobilen Sicherheit wider. Apple könnte argumentieren, dass das Löschen von Protokollen beim Neustart eine Verbesserung der Systemhygiene ist, wie z. B. die Reduzierung der Protokolldateigröße, die Verbesserung der Leistung oder die Begrenzung von Restdaten. In der Praxis kann es jedoch auch dazu führen, dass Tools entfernt werden, auf die sich Verteidiger verlassen, um komplexe Bedrohungen zu erkennen.
Für Angreifer stellt diese Verschiebung einen Gewinn dar. Ohne verlässliche historische Protokolle sind retrospektive Untersuchungen schwieriger. Verschwunden sind einige der “rauchenden” Spuren, die die Ermittler zu lesen wussten. Das bedeutet nicht, dass eine Kompromittierung unmöglich zu erkennen ist, aber es bedeutet, dass die Erkennung mehr Echtzeitbewusstsein und mehrere Signalquellen erfordert, anstatt nur eine Protokolldatei.
Für die Sicherheitsbranche ist es ein Weckruf, dass sich forensische Modelle weiterentwickeln müssen. Alte Heuristiken, die an bestimmte Protokolldateien gebunden sind, reichen möglicherweise nicht mehr aus. Die Erkennung muss verhaltensorientierter, kontinuierlicher und widerstandsfähiger gegenüber Änderungen auf Betriebssystemebene werden.
Das Update auf iOS 26 mag auf den ersten Blick klein sein, aber seine Auswirkungen sind alles andere als trivial. Für alle, die sich auf forensische Spuren verlassen, um Spyware wie Pegasus oder Predator aufzudecken, ist das Zeitfenster für die Erkennung gerade kleiner geworden. Für die Verteidiger der mobilen Sicherheit ist es eine Erinnerung daran, dass Wachsamkeit, mehrschichtige Transparenz und zukunftsorientierte Strategien wichtiger denn je sind.