Poche minacce per smartphone generano tanta preoccupazione quanto gli spyware Pegasus e Predator. Si tratta di strumenti creati per la furtività e l’estrazione di informazioni sensibili, inclusi messaggi, contatti, geolocalizzazione e dati da microfoni e fotocamere. Ora, con il lancio di iOS 26, una traccia forense chiave che ha aiutato a lungo gli investigatori a rintracciare queste intrusioni è stata modificata. Questo cambiamento ha gravi implicazioni sia per i professionisti forensi che per gli utenti comuni.
I ricercatori di sicurezza hanno iVerify segnalato che l’aggiornamento a iOS 26 ha alterato il modo in cui Apple gestisce un particolare file di registro, il shutdown.log, parte del pacchetto Sysdiagnose nella cartella Unified Logs. Nelle versioni precedenti di iOS, shutdown.log forniva un’istantanea dell’attività del sistema allo spegnimento del dispositivo e spyware come Pegasus lasciava tracce al suo interno in modo affidabile.
Con iOS 26, Apple sembra aver cambiato il comportamento. Anziché aggiungere ogni evento di arresto al registro, il file viene effettivamente sovrascritto a ogni riavvio. In termini pratici, tutte le voci precedenti che potrebbero essere state lasciate dallo spyware potrebbero essere cancellate una volta riavviato il dispositivo da parte dell’utente. Ciò significa che le prove di un precedente compromesso potrebbero svanire senza lasciare traccia.
Per capire la portata di questo, aiuta a spiegare come i ricercatori usavano shutdown.log in passato. Quando Pegasus infettava un iPhone, spesso lasciava firme in questo registro, anche se poi tentava di cancellarle. I ricercatori hanno imparato a riconoscere modelli come voci che puntano a attività di rete WebKit impreviste, directory di staging o nomi di processi insoliti durante le sequenze di spegnimento.
In un caso documentato, iVerify ha scoperto che anche un shutdown.log cancellato o formattato in modo strano potrebbe essere di per sé un campanello d’allarme, perché l’assenza di voci previste è diventata un’euristica di compromesso.
Ciò che è cambiato con iOS 26 è che il comportamento “tabula rasa al riavvio” sembra spazzare via solo quel record forense. Secondo iVerify, a meno che un utente non acquisisca un’istantanea del dispositivo o effettui una diagnosi di sistema prima di eseguire l’aggiornamento a iOS 26, qualsiasi traccia di infezione storica potrebbe già essere persa per sempre.
Questo è importante per due motivi. In primo luogo, per le persone che sospettano che i loro telefoni possano essere stati presi di mira da spyware sofisticati, senza le shutdown.log voci, la loro capacità di dimostrare o indagare sulla compromissione è significativamente indebolita. In secondo luogo, per i professionisti della sicurezza e gli addetti alla risposta agli incidenti, il cambiamento riduce la visibilità sui comportamenti passati, aumentando la complessità della ricerca delle minacce e delle indagini forensi.
Il cambiamento in iOS 26 non influisce solo sul rilevamento delle tracce. Arriva in un momento in cui spyware come Pegasus e Predator non vengono più utilizzati solo contro attivisti per i diritti umani e giornalisti. La ricerca precedente di iVerify ha rilevato che anche i dirigenti aziendali con un patrimonio netto elevato, il personale governativo e i leader del settore privato sono stati presi di mira.
Date le mutevoli tattiche di questi strumenti di sorveglianza, la capacità di rilevarli è sempre stata una gara. La modifica di iOS 26 potrebbe offrire agli aggressori un ulteriore vantaggio riducendo la finestra per gli investigatori per rilevare le infezioni storiche.
Cosa significa questo per te
Se possiedi un iPhone o gestisci dispositivi in un ambiente aziendale, ecco i passaggi chiave da considerare alla luce di questo sviluppo:
1. Prima di eseguire l’aggiornamento a iOS 26: se sospetti che un dispositivo possa essere stato compromesso, esegui una diagnosi di sistema completa prima di applicare l’aggiornamento. Salva il shutdown.log, archivialo e conserva una copia al sicuro. Una volta installato iOS 26 e riavviato il dispositivo, le voci di registro potrebbero andare perse.
2. Abilita strumenti di monitoraggio e rilevamento: utilizza soluzioni affidabili di mobile-forensics o EDR in grado di scansionare i registri diagnostici, il comportamento del sistema e gli indicatori noti di compromissione (IOC) come directory di staging, attività di rete impreviste o anomalie dei registri.
3. Per le flotte aziendali, dare priorità alla visibilità continua: poiché le tracce storiche possono scomparire, i modelli di rilevamento devono basarsi maggiormente sull’individuazione in tempo reale di anomalie, come registrazioni insolite di autenticatori, registrazioni di dispositivi sconosciute o comportamenti dei processi in background, piuttosto che basarsi esclusivamente su artefatti di registro statici.
4. Rimani aggiornato: rimane importante installare le ultime patch iOS (che potrebbero correggere le vulnerabilità zero-day). Ma tieni presente che gli aggiornamenti possono anche alterare gli artefatti forensi. Per gli utenti ad alto rischio, è consigliabile mantenere il dispositivo in modalità di blocco e eseguire il backup dei log prima degli aggiornamenti principali.
5. Educa la tua organizzazione: molti utenti non sanno che i registri di sistema sono importanti per la continuità forense. Garantire che dipendenti e dirigenti comprendano che l’aggiornamento di un sistema operativo può influire sulla tracciabilità fa ora parte dell’igiene digitale.
Il cambiamento in iOS 26 riflette una tensione più ampia nella sicurezza mobile. Apple potrebbe obiettare che la cancellazione dei registri al riavvio è un miglioramento dell’igiene del sistema, come la riduzione delle dimensioni del file di registro, il miglioramento delle prestazioni o la limitazione dei dati residui. Tuttavia, in pratica, può anche rimuovere gli strumenti su cui i difensori fanno affidamento per rilevare minacce sofisticate.
Per gli aggressori, questo cambiamento rappresenta un guadagno. Senza registri storici affidabili, le indagini retrospettive sono più difficili. Sono sparite alcune delle tracce della “pistola fumante” che gli investigatori sapevano come leggere. Ciò non significa che il compromesso sia impossibile da rilevare, ma significa che il rilevamento richiederà una maggiore consapevolezza in tempo reale e più fonti di segnale piuttosto che un solo file di registro.
Per il settore della sicurezza, è un campanello d’allarme che i modelli forensi devono evolvere. Le vecchie euristiche legate a file di log specifici potrebbero non essere più sufficienti. Il rilevamento deve diventare più comportamentale, più continuo e più resiliente ai cambiamenti a livello di OS.
L’aggiornamento a iOS 26 può essere piccolo in bella vista, ma il suo impatto è tutt’altro che banale. Per chiunque si affidi a tracce forensi per scoprire spyware come Pegasus o Predator, la finestra per il rilevamento è diventata più piccola. Per i difensori della sicurezza mobile, è un promemoria del fatto che la vigilanza, la visibilità a più livelli e le strategie lungimiranti sono più cruciali che mai.