Er zijn maar weinig smartphonebedreigingen die zoveel zorgen baren als Pegasus- en Predator-spyware. Dit zijn tools die zijn gebouwd voor stealth en het extraheren van gevoelige informatie, waaronder berichten, contacten, geolocatie en gegevens van microfoons en camera’s. Nu, met de uitrol van iOS 26, wordt een belangrijk forensisch spoor gewijzigd dat onderzoekers lang heeft geholpen deze inbraken op te sporen. Die verschuiving heeft ernstige gevolgen voor zowel forensische professionals als dagelijkse gebruikers.
Beveiligingsonderzoekers hebben iVerify aangegeven dat de update naar iOS 26 de manier heeft veranderd waarop Apple omgaat met een bepaald logbestand, de shutdown.log, onderdeel van het Sysdiagnose-pakket in de map Unified Logs. In eerdere versies van iOS bood shutdown.log een momentopname van de systeemactiviteit bij het afsluiten van het apparaat, en spyware zoals Pegasus liet er op betrouwbare wijze sporen in achter.
Met iOS 26 lijkt Apple het gedrag te hebben veranderd. In plaats van elke afsluitgebeurtenis aan het logboek toe te voegen, wordt het bestand bij elke herstart overschreven. In de praktijk kunnen alle eerdere vermeldingen die mogelijk door spyware zijn achtergelaten, worden gewist zodra de gebruiker het apparaat opnieuw opstart. Dat betekent dat bewijs van eerdere compromittering spoorloos kan verdwijnen.
Om de omvang hiervan te begrijpen, helpt het om uit te leggen hoe onderzoekers shutdown.log in het verleden gebruikten. Wanneer Pegasus een iPhone infecteerde, liet het vaak handtekeningen achter in dit logboek, zelfs als het vervolgens probeerde ze te wissen. Onderzoekers leerden patronen te herkennen, zoals vermeldingen die verwijzen naar onverwachte WebKit-netwerktaken, staging-mappen of ongebruikelijke procesnamen tijdens afsluitsequenties.
In een gedocumenteerd geval ontdekte iVerify dat zelfs een gewiste of vreemd geformatteerde shutdown.log zelf een rode vlag kon zijn, omdat de afwezigheid van verwachte vermeldingen een heuristiek van compromissen werd.
Wat er is veranderd met iOS 26, is dat het gedrag van “schone lei bij opnieuw opstarten” alleen dat forensische record lijkt weg te vagen. Volgens iVerify kunnen alle sporen van een historische infectie al voor altijd verloren zijn, tenzij een gebruiker een momentopname van het apparaat of een systeemdiagnose maakt voordat hij wordt geüpdatet naar iOS 26.
Dit is om twee redenen van belang. Ten eerste, voor personen die vermoeden dat hun telefoons het doelwit zijn geweest van geavanceerde spyware, zonder de shutdown.log vermeldingen, is hun vermogen om het compromis te bewijzen of te onderzoeken aanzienlijk verzwakt. Ten tweede vermindert de verandering voor beveiligingsprofessionals en incidentresponders het inzicht in gedrag in het verleden, waardoor de complexiteit van het opsporen van bedreigingen en forensisch onderzoek toeneemt.
De verschuiving in iOS 26 heeft niet alleen invloed op de detectie van sporen. Het komt op een moment dat spyware zoals Pegasus en Predator niet langer alleen worden gebruikt tegen mensenrechtenactivisten en journalisten. Uit eerder onderzoek van iVerify bleek dat vermogende bedrijfsleiders, overheidspersoneel en leiders uit de particuliere sector ook het doelwit waren.
Gezien de veranderende tactieken van deze bewakingstools, is het vermogen om ze te detecteren altijd een race geweest. De wijziging van iOS 26 kan aanvallers nog een ander voordeel geven door de periode voor onderzoekers te verkleinen om historische infecties op te sporen.
Wat dit voor u betekent
Als u een iPhone bezit of apparaten beheert in een bedrijfsomgeving, zijn hier belangrijke stappen die u moet overwegen in het licht van deze ontwikkeling:
1. Voordat u upgradet naar iOS 26: Als u vermoedt dat een apparaat is gecompromitteerd, voert u een volledige systeemdiagnose uit voordat u de update toepast. Bewaar de shutdown.log, archiveer deze en bewaar een kopie veilig. Zodra iOS 26 is geïnstalleerd en het apparaat opnieuw is opgestart, kunnen de logboekvermeldingen verloren gaan.
2. Schakel monitoring- en detectietools in: Gebruik gerenommeerde mobiel-forensische of EDR-oplossingen die diagnostische logboeken, systeemgedrag en bekende indicatoren van compromittering (IOC’s) zoals staging-mappen, onverwachte netwerktaken of logafwijkingen kunnen scannen.
3. Geef voor bedrijfsvloten prioriteit aan continue zichtbaarheid: Omdat historische sporen kunnen verdwijnen, moeten detectiemodellen meer leunen op het in realtime tegenkomen van afwijkingen, zoals ongebruikelijke authenticatieregistraties, onbekende apparaatinschrijvingen of procesgedrag op de achtergrond, in plaats van alleen te vertrouwen op statische logartefacten.
4. Blijf op de hoogte: Het blijft belangrijk om de nieuwste iOS-patches te installeren (die zero-day-kwetsbaarheden kunnen oplossen). Maar houd er rekening mee dat updates ook forensische artefacten kunnen veranderen. Voor gebruikers met een hoog risico kunt u overwegen het apparaat in de vergrendelingsmodus te houden en een back-up te maken van logboeken voordat u grote updates uitvoert.
5. Leid uw organisatie op: Veel gebruikers zijn zich er niet van bewust dat systeemlogboeken belangrijk zijn voor de forensische continuïteit. Ervoor zorgen dat werknemers en leidinggevenden begrijpen dat het updaten van een besturingssysteem de traceerbaarheid kan beïnvloeden, maakt nu deel uit van digitale hygiëne.
De verandering in iOS 26 weerspiegelt een bredere spanning in mobiele beveiliging. Apple zou kunnen beweren dat het wissen van logboeken bij het opnieuw opstarten een verbetering van de systeemhygiëne is, zoals het verkleinen van de logbestandsgrootte, het verbeteren van de prestaties of het beperken van resterende gegevens. Maar in de praktijk kan het ook tools verwijderen waarop verdedigers vertrouwen om geavanceerde bedreigingen te detecteren.
Voor aanvallers betekent deze verschuiving een winst. Zonder betrouwbare historische logboeken zijn retrospectieve onderzoeken moeilijker. Voorbij zijn enkele van de “smoking-gun” -sporen die onderzoekers wisten te lezen. Dat betekent niet dat compromittering onmogelijk te detecteren is, maar het betekent wel dat detectie meer real-time bewustzijn en meerdere signaalbronnen vereist in plaats van slechts één logbestand.
Voor de beveiligingsindustrie is het een wake-up call dat forensische modellen moeten evolueren. Oude heuristieken die aan specifieke logbestanden zijn gekoppeld, zijn mogelijk niet langer voldoende. Detectie moet gedragsmatiger, continuer en veerkrachtiger worden voor veranderingen op OS-niveau.
De update naar iOS 26 is misschien klein in het zicht, maar de impact ervan is allesbehalve triviaal. Voor iedereen die vertrouwt op forensische sporen om spyware zoals Pegasus of Predator te ontdekken, is het venster voor detectie zojuist kleiner geworden. Voor de verdedigers van mobiele beveiliging herinnert het ons eraan dat waakzaamheid, gelaagde zichtbaarheid en vooruitstrevende strategieën belangrijker zijn dan ooit.