Wichtige IOC von Pegasus- und Predator-Spyware werden durch das iOS-26-Update entfernt

 (iverify.io)
1 Punkte von GN⁺ 2025-10-27 | 1 Kommentare | Auf WhatsApp teilen
  • Im neuesten iOS-26-Update wurde die Verarbeitung der Datei shutdown.log geändert, wodurch Spuren von Infektionen durch Pegasus- und Predator-Spyware gelöscht werden
  • Bisher wurde shutdown.log als zentraler forensischer Beleg zur Erkennung von iOS-Malware genutzt, in der neuen Version wird das Log beim Neustart jedoch überschrieben
  • Pegasus hat seine Techniken zum Löschen und Verschleiern von Logs bereits seit Jahren weiterentwickelt; bei Predator wurden ähnliche Spuren analysiert
  • Durch diese Änderung entsteht das Problem, dass Sicherheitsforscher und Forensik-Ermittler eine Infektion schwerer nachweisen können
  • Angesichts zunehmender Spyware-Angriffe rückt in den Fokus, welchen Einfluss Apples Log-Verarbeitungspolitik auf die Sicherheitstransparenz hat

Rolle und Bedeutung von shutdown.log

  • Die Datei shutdown.log protokolliert Ereignisse beim Herunterfahren eines iOS-Geräts und liefert wichtige Hinweise zur Malware-Erkennung
    • Sie befindet sich im Sysdiagnose-Ordner unter system_logs.logarchive → Extra → shutdown.log
    • Sie wurde in der iOS-Malware-Analyse jahrelang übersehen, fungierte tatsächlich aber als „stiller Zeuge“, der Infektionsspuren hinterlässt
  • Es gibt Fälle, in denen eine 2021 veröffentlichte Version der Pegasus-Spyware eindeutige Infektionsspuren (Indicator of Compromise, IOC) in diesem Log hinterließ
    • Dadurch konnten Sicherheitsforscher infizierte Geräte identifizieren
    • Danach verbesserte der Pegasus-Entwickler NSO Group seine Techniken fortlaufend, um Erkennung zu umgehen

Die weiterentwickelte Umgehungsstrategie von Pegasus

  • Ab etwa 2022 begann Pegasus, Spuren zu verbergen, indem shutdown.log selbst vollständig gelöscht wurde
    • Dabei blieben jedoch auch im Löschprozess feine Spuren zurück, sodass ein „unnatürlich sauberes Log“ wiederum als Hinweis auf eine Infektion genutzt wurde
    • Dieses Muster wurde in mehreren Fällen festgestellt, weshalb das Löschen des Logs selbst als Infektionsindikator galt
  • Danach soll Pegasus einen Mechanismus eingeführt haben, der das Herunterfahren des Geräts in Echtzeit überwacht und das Log vollständig löscht
    • Forscher bestätigten mehrfach Fälle, in denen auf bekanntermaßen infizierten Geräten shutdown.log leer war oder zusammen mit anderen IOC entfernt wurde
    • Dadurch wurde eine ungewöhnlich zurückgesetzte Log-Datei als heuristischer Indikator zur Identifizierung verdächtiger Geräte verwendet

Ähnliche Spuren bei Predator-Spyware

  • Auch die 2023 beobachtete Predator-Spyware scheint aus den Pegasus-Fällen gelernt zu haben
    • Predator überwacht shutdown.log und hinterlässt dort eigene Spuren
    • Es wurden Pegasus ähnliche Log-Muster entdeckt, was auf technische Ähnlichkeiten zwischen beiden Spyware-Familien hinweist

Änderungen in iOS 26 und ihre Auswirkungen

  • In iOS 26 wurde das Verhalten von shutdown.log auf Überschreiben (overwrite) bei jedem Neustart umgestellt
    • In früheren Versionen wurden Logs jedes Herunterfahrens angehängt (append), sodass ältere Einträge erhalten blieben
    • Jetzt wird beim Neustart des Geräts das bestehende Log vollständig gelöscht und durch ein neues ersetzt
  • Diese Änderung führt dazu, dass bestehende Belege für Pegasus- und Predator-Infektionen automatisch gelöscht werden
    • Ob Apple dies absichtlich so entworfen hat oder ob es sich um einen Bug handelt, ist unklar
    • Es könnte der Systemhygiene oder Leistungsverbesserung dienen, hat aber gravierende Auswirkungen auf die forensische Analyse
  • Da zuletzt auch Top-Manager, Prominente und andere Ziel von Spyware-Angriffen wurden, löst das Löschen dieser Logs zu diesem Zeitpunkt in der Sicherheits-Community große Sorge aus

Pegasus-2022-IOC in Versionen vor iOS 26

  • In Versionen vor iOS 26 wurde ein bestimmter IOC für eine Pegasus-2022-Infektion bestätigt
    • Wenn der Pfad /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking in shutdown.log vorhanden ist, ist eine Infektion wahrscheinlich
    • Die NSO Group nutzte die Strategie, sich als gewöhnlicher Systemprozessname zu tarnen, um Erkennung zu vermeiden
    • Dadurch wurde die bisherige Erkennung anhand expliziter Prozessnamen erschwert

Korrelationsanalyse von Logs unter iOS 18 und älter

  • Unter iOS 18 und älter konnte eine Infektion durch vergleichende Analyse von containermanagerd-Logs und shutdown.log beurteilt werden
    • containermanagerd-Logs zeichnen Boot-Ereignisse auf und bewahren Daten über mehrere Wochen auf
    • Unstimmigkeiten zwischen beiden Logs, etwa wenn es viele Boot-Ereignisse, aber nur wenige Shutdown-Logs gibt, deuten auf mögliche absichtliche Verschleierung hin
    • So konnten Aktivitätsspuren der Spyware indirekt nachverfolgt werden

Empfohlene Maßnahmen vor dem Update

  • Vor dem Update auf iOS 26 werden folgende Maßnahmen empfohlen
    • Sofort eine Sysdiagnose erstellen und speichern, um das aktuelle shutdown.log und damit verbundene Belege zu sichern
    • Bis Apple das Problem des Überschreibens von Logs behebt, ist es ratsam, das Update aufzuschieben
  • Diese Maßnahmen sind essenziell, um einen dauerhaften Verlust von Infektionsbelegen zu verhindern und Daten für künftige forensische Analysen zu sichern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-27
Hacker-News-Kommentare

  • Es war verwirrend, dass der Artikel IOC nicht definiert hat
    IOC ist die Abkürzung für Indicators Of Compromise. Im Artikel wurde es einmal ausgeschrieben, aber ohne Klammern. Ich teile das hier, falls es noch jemandem wie mir ging

    • Danke. Das einzige IOC, das ich kannte, war das Internationale Olympische Komitee
    • Beim US-Militär steht IOC für Initial Operational Capability. Es wird von FOC (Full Operational Capability) unterschieden. Siehe diesen Begriffserklärungs-Link
    • Abkürzungen oder Akronyme sind ineffizient, wenn sie nicht klar definiert werden, und schaffen eine Barriere zwischen denen, die sie kennen, und denen, die sie nicht kennen
      Ich habe es damals wirklich gehasst, als auf Facebook „ISO“ im Sinn von „in search of“ verwendet wurde. Das führt zur Verwechslung mit der ISO, der Internationalen Organisation für Normung.
      In unserer Firma ist vorgeschrieben, nur Abkürzungen zu verwenden, deren Bedeutung auch Laien erraten können und die nicht leicht mit etwas anderem verwechselt werden
    • Es wurde der Witz „Help stamp out TLAs“ gemacht, also im Sinn von: den Missbrauch von TLA (three-letter acronym) beenden. Dazu wurde auch der Link ASS.md geteilt
    • Es gibt nur 17.576 mögliche Kombinationen für dreibuchstabige Akronyme (TLA)

  • Dass Apple sich selbst als Privacy-Unternehmen positioniert hat, war am Ende nur Markenmarketing
    Während ICE mit Paragon einen Vertrag über Zero-Click-Spyware nutzt, löscht Apple zentrale forensische Spuren, mit denen sich staatlich gesteuerte Überwachung erkennen lässt. Einschließlich Cooks Gold-und-Cash-Lobbying beteiligt sich Apple sogar unter Big Tech am Wettlauf nach unten

    • Als ich vor zehn Jahren bei Apple gearbeitet habe, war die interne Stimmung nicht so. Falls es diese Veränderung gibt, ist sie vermutlich jüngeren Datums.
      Wahrscheinlich ist es eher ein Bug, und kaum eine spät auf Regierungswunsch hinzugefügte Funktion. Auch im San-Bernardino-Fall mit dem FBI hat Apple nicht kooperiert
    • Ich glaube, dass Apple auch künftig daran scheitern wird, die iPhone-Sicherheit gegen Spyware-Anbieter zu stärken
    • Apple betreibt zwar ein Bug-Bounty- und ein SDR-Programm, aber ich frage mich, ob das echte Überzeugung ist oder nur Schutz vor Markenschäden.
      Mehr könnten sie tun, aber kaum ein Unternehmen kann sich politischem Druck vollständig widersetzen
    • Apple war von Anfang an gut in irreführendem Marketing. Falsche Umweltversprechen, nicht reparierbare Geräte, unehrliche Privacy-Zusagen.
      Wenn man echte Sicherheit braucht, ist GrapheneOS deutlich vertrauenswürdiger

  • In großen Systemen wird selbst eine kleine Änderung für irgendjemanden zum Problem
    Apple könnte die Funktion wieder zurücknehmen, um die iVerify-Community zu besänftigen, aber langfristig wird sich Spyware dann nur raffinierter verstecken.
    Jetzt braucht es Strategien, die über bloße forensische Artefakte hinausgehen

    • Schwachstellen in iOS wie bei Pegasus und Predator sind weithin bekannt; dass Apple solche Erkennungsmethoden nicht unter Kontrolle hat, ist kurzsichtig.
      Der Glaube „iPhones sind sicher“ ist am Ende nur Blackbox-Vertrauen. In iOS 26 werden laufend Bugs gefunden — warum sollten Sicherheitsfunktionen die Ausnahme sein?
    • Unter Verweis auf xkcd 1172 und xkcd 1053 wurde die Situation sarkastisch kommentiert

  • IOC basiert auf shutdown-Logs
    In iOS 26 wird shutdown.log bei jedem Boot neu überschrieben, wodurch die vorherigen Einträge verschwinden.
    Das führt dazu, dass Spuren einer Pegasus- oder Predator-Infektion vollständig gelöscht werden

  • Dass Apple die shutdown-Logs löscht, könnte eine Sicherheitsmaßnahme sein, damit Angreifer keine Crash-Bedingungen oder Geräteverhalten analysieren können
    Wenn man Privacy aber ernst nimmt, sollten Nutzer auch das Recht haben, ihr eigenes Gerät tiefgehend zu untersuchen

    • Angreifer in der Forschungsphase rooten das Gerät ohnehin und bekommen noch mehr Informationen.
      Am Ende schränkt so eine Maßnahme nur normale Nutzer ein
    • Nur weil man ein Gerät besitzt, heißt das nicht, dass der Hersteller jede gewünschte Funktion bereitstellen muss
    • Der Zugriff auf shutdown-Logs ist weniger eingeschränkt als die Möglichkeit, laufende Prozesse zu sehen.
      Apple rechtfertigt stärkere Kontrolle unter dem Vorwand von Privacy schon immer

  • In der iOS-26-Beta gab es diese Änderung nicht. Hoffentlich wird das bald korrigiert
    Wie in diesem YouTube-Video erklärt wird, protokollierte shutdown.log die Liste laufender Prozesse und war für die IOC-Erkennung nützlich.
    Es gibt auch den Rat, bei Fokus auf Sicherheit täglich neu zu starten

  • Ich habe schon vermutet, dass bei Apple intern jemand zugunsten israelischer Hacker absichtlich Schwachstellen bestehen lässt

    • Möglich ist es, aber das iPhone ist Apples Kernprodukt, und so eine Entscheidung würde verheerende Verluste verursachen.
      In den USA wäre das schnell vergessen, aber in Asien und Europa würde Apple Vertrauen verlieren.
      Realistischer ist eher, dass die Regierung interne Apple-Entwickler unter Druck gesetzt oder angeworben hat
    • Lieber wäre mir, wenn Schwachstellen absichtlich für einen Jailbreak offengelassen würden
    • Interessant ist, wie beim Stichwort Israel jede R&D-Organisation sofort wie eine Verschwörungsgruppe wirkt /s

  • Auch die Autoren des Artikels glauben nicht, dass Apple absichtlich Spyware-Erkennung verhindern wollte
    Es wird empfohlen, das iOS-26-Update vorerst aufzuschieben und zu warten, bis Apple es korrigiert

    • Für die meisten Nutzer sind aber allgemeine Bugfixes viel wichtiger als IOCs.
      Wenn man kein Ziel auf staatlichem Niveau ist, ist es unvernünftig, Updates aufzuschieben

  • Ein guter Artikel sollte am Anfang eine Liste von Begriffen und Abkürzungen liefern.
    Wenn das fehlt, ist er nicht lesenswert

  • Ich finde es absurd, dass iPhone-Forensik nur über Backup-Archive möglich sein soll
    Wie bei macOS sollte man Systemerweiterungen (EL1+) erlauben, damit Sicherheitsmonitoring möglich ist

    • Als Sicherheitsforscher denke ich, dass so eine Funktion eher ein Geschenk für Spyware-Anbieter wäre.
      Zugriff mit hohen Rechten ist riskant
    • Wenn vollständige Speicher-Dumps eingeschlossen wären, ließen sich Rooting-Schwachstellen leichter finden, daher würde Apple das niemals erlauben
    • Ein iVerify-Mitarbeiter hat auf dem CCC unter anderem vorgeschlagen, in iOS wie bei macOS EDR-Mechanismen offenzulegen
    • Schon der Versuch, In-Memory-Exploits anzufassen, ist ein unnötiges Risiko /s