Zseniális logból veszélyzóna
A shutdown.log hosszú időn át megbízható, bár ritkán elemzett forrásként szolgált a fertőzések felderítésében, mivel rendszerleállítási adatokat őriz. Már 2021-ben észrevették, hogy a Pegasus kémprogram felismerhető nyomokat hagy benne, amelyek segítettek a fertőzött készülékek azonosításában. Noha a Pegasus fejlesztői, az NSO Group folyamatosan finomították elkerülési technikáikat, egy idő után a logfájl tudatos törlésével próbáltak elrejtőzni. Azonban még ezt követően is maradtak árulkodó apró jelek, amelyekből a szakértők következtetni tudtak a kompromittáltságra: ha egy logfájl törlésének vannak nyomai, az önmagában is gyanús. Ez a macska–egér harc egészen 2022 végéig tartott.
Predator követi a példát
A 2023-ban aktív Predator kémprogram szintén levonta a tanulságokat a Pegasus hibáiból. Lényeges, hogy a Predator is manipulálta a shutdown.log-ot, hasonló módon próbálta eltakarítani a digitális lábnyomát, mint elődje. Ebből arra lehet következtetni, hogy minden, a logfájlban észlelt gyanús változás a Predator aktivitására is utalhat.
Az iOS 26 végleges törlési hulláma
Az új rendszerverzióval az Apple úgy módosította a logkezelést, hogy minden készülék újraindításakor a rendszer teljesen felülírja a fájlt, és nem csatolja hozzá az előző indítások adatait. Noha ez a döntés valószínűleg rendszerhatékonysági vagy adatvédelmi célokat szolgál, rövid úton elérte, hogy az utolsó reményt jelentő bizonyíték is eltűnjön a Pegasus- vagy Predator-fertőzés utáni nyomrögzítési lehetőségek közül. Ez különösen aggasztó időszakban történik, amikor egyre több, nagy befolyású személy vagy közszereplő is célkeresztbe kerül.
Minták a múltból és óvintézkedések
Azoknak, akik még az iOS 26 frissítése előtt állnak, mindenképp érdemes gyorsan elmenteni egy sysdiagnose naplót. Így megőrizhető a jelenlegi shutdown.log tartalma, benne minden lehetséges kompromittáló bizonyítékkal. Korábbi iOS-verziók alatt külön figyelmet érdemeltek az olyan gyanús bejegyzések, mint a com.apple.WebKit.Networking a logban, amelyek a fertőzés egyértelmű jelei lehetnek. Hasonlóan, iOS 18 vagy régebbi rendszereken a containermanagerd naplók és a shutdown.log összevetésével további, akár több hétnyi aktivitás is vizsgálható visszamenőleg.
Ebből következik, hogy az iOS 26 frissítése előtt a legfontosabb lépés a logok rögzítése, illetve érdemes lehet kivárni, amíg az Apple javítja ezt a váratlanul biztonsági kockázatot is rejtő újítást.
