Poucas ameaças de smartphones geram tanta preocupação quanto o spyware Pegasus e Predator. São ferramentas criadas para furtividade e extração de informações confidenciais, incluindo mensagens, contatos, geolocalização e dados de microfones e câmeras. Agora, com o lançamento do iOS 26, um rastreamento forense importante que ajudou os investigadores a rastrear essas invasões está sendo alterado. Essa mudança tem sérias implicações tanto para os profissionais forenses quanto para os usuários comuns.
Pesquisadores iVerify de segurança sinalizaram que a atualização para o iOS 26 alterou a forma como a Apple lida com um arquivo de log específico, o shutdown.log, parte do pacote Sysdiagnose na pasta Unified Logs. Nas versões anteriores do iOS, o shutdown.log fornecia um instantâneo da atividade do sistema no desligamento do dispositivo, e spywares como o Pegasus deixavam rastros dentro dele de forma confiável.
Com o iOS 26, a Apple parece ter mudado o comportamento. Em vez de acrescentar cada evento de desligamento ao log, o arquivo é efetivamente substituído a cada reinicialização. Em termos práticos, quaisquer entradas anteriores que possam ter sido deixadas por spyware podem ser apagadas assim que o usuário reiniciar o dispositivo. Isso significa que as evidências de um compromisso anterior podem desaparecer sem deixar vestígios.
Para entender a escala disso, ajuda a explicar como os pesquisadores usaram shutdown.log no passado. Quando o Pegasus infectava um iPhone, muitas vezes deixava assinaturas nesse log, mesmo que tentasse apagá-las. Os investigadores aprenderam a reconhecer padrões como entradas apontando para tarefas inesperadas de rede do WebKit, diretórios de preparação ou nomes de processos incomuns durante as sequências de desligamento.
Em um caso documentado, o iVerify descobriu que mesmo um shutdown.log limpo ou formatado de forma estranha poderia ser uma bandeira vermelha, porque a ausência de entradas esperadas se tornou uma heurística de comprometimento.
O que mudou com o iOS 26 é que o comportamento de “lousa limpa na reinicialização” parece apagar apenas esse registro forense. De acordo com o iVerify, a menos que um usuário tire uma foto do dispositivo ou faça um diagnóstico de sistema antes de atualizar para o iOS 26, quaisquer vestígios de infecção histórica já podem ser perdidos para sempre.
Isso é importante por dois motivos. Primeiro, para indivíduos que suspeitam que seus telefones podem ter sido alvo de spyware sofisticado, sem as entradas shutdown.log, sua capacidade de provar ou investigar o comprometimento é significativamente enfraquecida. Em segundo lugar, para profissionais de segurança e respondentes a incidentes, a mudança reduz a visibilidade do comportamento passado, aumentando a complexidade da caça a ameaças e das investigações forenses.
A mudança no iOS 26 não afeta apenas a detecção de rastros. Isso ocorre em um momento em que spywares como Pegasus e Predator não são mais usados apenas contra ativistas de direitos humanos e jornalistas. A pesquisa anterior do iVerify descobriu que executivos de negócios de alto patrimônio líquido, funcionários do governo e líderes do setor privado também foram alvos.
Dadas as táticas de mudança dessas ferramentas de vigilância, a capacidade de detectá-las sempre foi uma corrida. A mudança do iOS 26 pode dar aos invasores mais uma vantagem, reduzindo a janela para os investigadores detectarem infecções históricas.
O que isso significa para você
Se você possui um iPhone ou gerencia dispositivos em um ambiente corporativo, aqui estão as principais etapas a serem consideradas à luz desse desenvolvimento:
1. Antes de atualizar para o iOS 26: Se você suspeitar que um dispositivo pode ter sido comprometido, execute um diagnóstico de sistema completo antes de aplicar a atualização. Salve o shutdown.log, arquive-o e mantenha uma cópia segura. Depois que o iOS 26 estiver instalado e o dispositivo reinicializado, as entradas de log poderão ser perdidas.
2. Habilite ferramentas de monitoramento e detecção: Use soluções forenses móveis ou EDR respeitáveis que possam verificar logs de diagnóstico, comportamento do sistema e indicadores conhecidos de comprometimento (IOCs), como diretórios de preparação, tarefas de rede inesperadas ou anomalias de log.
3. Para frotas corporativas, priorize a visibilidade contínua: como os rastreamentos históricos podem desaparecer, os modelos de detecção devem se apoiar mais no encontro em tempo real de anomalias, como registros de autenticadores incomuns, registros de dispositivos desconhecidos ou comportamento de processo em segundo plano, em vez de depender apenas de artefatos de log estáticos.
4. Mantenha-se atualizado: continua sendo importante instalar os patches mais recentes do iOS (que podem corrigir vulnerabilidades de dia zero). Mas esteja ciente de que as atualizações também podem alterar artefatos forenses. Para usuários de alto risco, considere manter o dispositivo no modo de bloqueio e fazer backup de logs antes das principais atualizações.
5. Eduque sua organização: Muitos usuários não sabem que os logs do sistema são importantes para a continuidade forense. Garantir que funcionários e executivos entendam que a atualização de um sistema operacional pode afetar a rastreabilidade agora faz parte da higiene digital.
A mudança no iOS 26 reflete uma tensão mais ampla na segurança móvel. A Apple pode argumentar que limpar logs na reinicialização é uma melhoria na higiene do sistema, como reduzir o tamanho do arquivo de log, melhorar o desempenho ou limitar os dados residuais. No entanto, na prática, também pode remover ferramentas nas quais os defensores confiam para detectar ameaças sofisticadas.
Para os invasores, essa mudança representa um ganho. Sem registros históricos confiáveis, as investigações retrospectivas são mais difíceis. Longe vão alguns dos vestígios de “arma fumegante” que os investigadores sabiam ler. Isso não significa que o comprometimento seja impossível de detectar, mas significa que a detecção exigirá mais conscientização em tempo real e várias fontes de sinal, em vez de apenas um arquivo de log.
Para o setor de segurança, é um alerta de que os modelos forenses devem evoluir. Heurísticas antigas vinculadas a arquivos de log específicos podem não ser mais suficientes. A detecção deve se tornar mais comportamental, mais contínua e mais resiliente às mudanças no nível do sistema operacional.
A atualização para o iOS 26 pode ser pequena à vista de todos, mas seu impacto é tudo menos trivial. Para quem confia em rastros forenses para descobrir spyware como Pegasus ou Predator, a janela de detecção acaba de se tornar menor. Para os defensores da segurança móvel, é um lembrete de que a vigilância, a visibilidade em camadas e as estratégias com visão de futuro são mais cruciais do que nunca.