Немногие угрозы для смартфонов вызывают столько беспокойства, как шпионское ПО Pegasus и Predator. Это инструменты, созданные для скрытности и извлечения конфиденциальной информации, включая сообщения, контакты, геолокацию и данные с микрофонов и камер. Теперь, с выходом iOS 26, ключевой криминалистический след, который долгое время помогал следователям отслеживать эти вторжения, изменился. Этот сдвиг имеет серьезные последствия как для криминалистов, так и для обычных пользователей.
Исследователи iVerify безопасности отметили, что обновление до iOS 26 изменило то, как Apple обрабатывает один конкретный файл журнала, shutdown.log, входящий в пакет Sysdiagnose в папке Unified Logs. В предыдущих версиях iOS shutdown.log предоставлял снимок активности системы при выключении устройства, а шпионское ПО, такое как Pegasus, надежно оставляло следы внутри него.
С выходом iOS 26 Apple, похоже, изменила свое поведение. Вместо того чтобы добавлять каждое событие завершения работы в журнал, файл фактически перезаписывается при каждой перезагрузке. С практической точки зрения, любые предыдущие записи, которые могли быть оставлены шпионским программным обеспечением, могут быть удалены после перезагрузки устройства. Это означает, что доказательства прежнего компромисса могут исчезнуть бесследно.
Чтобы понять масштабы этого, полезно объяснить, как исследователи использовали shutdown.log в прошлом. Когда Pegasus заражал iPhone, он часто оставлял подписи в этом журнале, даже если затем пытался их стереть. Исследователи научились распознавать такие шаблоны, как записи, указывающие на неожиданные сетевые задачи WebKit, промежуточные каталоги или необычные имена процессов во время последовательностей выключения.
В одном задокументированном случае iVerify обнаружила, что даже очищенный или странно отформатированный shutdown.log сам по себе может быть красным флагом, потому что отсутствие ожидаемых записей становится эвристикой компромисса.
Что изменилось в iOS 26, так это то, что поведение «чистого листа при перезагрузке», похоже, стирает только эту криминалистическую запись. Согласно iVerify, если пользователь не сделает снимок устройства или не проведет системную диагностику перед обновлением до iOS 26, любые следы исторического заражения могут быть потеряны навсегда.
Это важно по двум причинам. Во-первых, для людей, которые подозревают, что их телефоны могли стать мишенью сложного шпионского ПО, без shutdown.log записей их способность доказать или расследовать компрометацию значительно ослабевает. Во-вторых, для специалистов по безопасности и специалистов по реагированию на инциденты это изменение снижает прозрачность прошлого поведения, что усложняет поиск угроз и судебные расследования.
Сдвиг в iOS 26 влияет не только на обнаружение следов. Это происходит в то время, когда шпионские программы, такие как Pegasus и Predator, больше не используются только против правозащитников и журналистов. Предыдущее исследование iVerify показало, что руководители состоятельных предприятий, государственные служащие и лидеры частного сектора также подвергались нападениям.
Учитывая меняющуюся тактику этих инструментов наблюдения, способность обнаруживать их всегда была гонкой. Изменение iOS 26 может дать злоумышленникам еще одно преимущество, сократив окно для следователей для обнаружения исторических инфекций.
Что это значит для вас
Если у вас есть iPhone или вы управляете устройствами в корпоративной среде, вот ключевые шаги, которые следует учитывать в свете этого события:
1. Перед обновлением до iOS 26: Если вы подозреваете, что устройство могло быть скомпрометировано, запустите полную системную диагностику перед применением обновления. Сохраните shutdown.log, заархивируйте его и храните копию в надежном месте. После установки iOS 26 и перезагрузки устройства записи журнала могут быть утеряны.
2. Используйте инструменты мониторинга и обнаружения: используйте надежные решения для мобильной криминалистики или EDR, которые могут сканировать журналы диагностики, поведение системы и известные индикаторы компрометации (IOC), такие как промежуточные каталоги, непредвиденные сетевые задачи или аномалии журналов.
3. Для корпоративных парков техники приоритет отдается непрерывной видимости: поскольку исторические следы могут исчезнуть, модели обнаружения должны больше полагаться на обнаружение аномалий в режиме реального времени, таких как необычные регистрации аутентификаторов, неизвестные регистрации устройств или поведение фонового процесса, а не полагаться исключительно на статические артефакты журнала.
4. Оставайтесь в курсе: по-прежнему важно установить последние исправления iOS (которые могут устранить уязвимости нулевого дня). Но имейте в виду, что обновления также могут изменить криминалистические артефакты. Пользователям с высоким уровнем риска рекомендуется держать устройство в режиме блокировки и создавать резервные копии журналов перед основными обновлениями.
5. Обучайте свою организацию: Многие пользователи не знают, что системные журналы имеют значение для непрерывности судебной экспертизы. Обеспечение того, чтобы сотрудники и руководители понимали, что обновление ОС может повлиять на отслеживаемость, теперь является частью цифровой гигиены.
Изменения в iOS 26 отражают более широкую напряженность в области мобильной безопасности. Apple может утверждать, что очистка журналов при перезагрузке является улучшением системной гигиены, таким как уменьшение размера файла журнала, повышение производительности или ограничение остаточных данных. Тем не менее, на практике это также может лишить защитников инструментов, на которые они полагаются для обнаружения изощренных угроз.
Для злоумышленников этот сдвиг представляет собой выигрыш. Без надежных исторических журналов ретроспективные расследования становятся более сложными. Исчезли некоторые из следов «дымящегося пистолета», которые следователи умели читать. Это не означает, что компрометацию невозможно обнаружить, но это означает, что для обнаружения потребуется больше осведомленности в режиме реального времени и несколько источников сигнала, а не только один файл журнала.
Для индустрии безопасности это тревожный сигнал о том, что криминалистические модели должны развиваться. Старых эвристик, привязанных к конкретным файлам журналов, может быть уже недостаточно. Обнаружение должно стать более поведенческим, более непрерывным и более устойчивым к изменениям на уровне ОС.
Обновление до iOS 26 может быть незначительным на виду, но его влияние совсем не тривиально. Для тех, кто полагается на криминалистические следы для обнаружения шпионских программ, таких как Pegasus или Predator, окно для обнаружения просто стало меньше. Для защитников мобильной безопасности это напоминание о том, что бдительность, многоуровневая видимость и дальновидные стратегии важны как никогда.