Il nuovo aggiornamento Apple iOS 26 sovrascrive automaticamente il file shutdown.log, eliminando le tracce che per anni hanno permesso agli esperti di identificare infezioni da spyware come Pegasus e Predator. Questi cambiamenti mettono a rischio la possibilità di rilevare compromissioni su iPhone, lasciando gli utenti e i ricercatori senza indizi forensi cruciali. Prima di aggiornare il tuo dispositivo a iOS 26, è fortemente consigliato di eseguire e salvare una sysdiagnose: solo così potrai conservare eventuali prove di infezioni. Se possibile, valuta di ritardare l’aggiornamento finché non saranno disponibili soluzioni ufficiali o chiarimenti da parte di Apple.
Il ruolo chiave del shutdown.log nella sicurezza degli iPhone
Negli ultimi anni, la sicurezza degli iPhone è stata messa a dura prova dall’emergere di spyware di altissima sofisticazione, come Pegasus della NSO Group e Predator di Cytrox. Questi malware sono in grado di infettare dispositivi senza che l’utente se ne accorga, spiando conversazioni, posizione, dati personali e comunicazioni cifrate. Uno degli strumenti più fondamentali per riconoscere e indagare su queste infezioni era il file shutdown.log: un registro di sistema, spesso poco noto, che registrava dettagli sulle operazioni e i processi attivi durante la fase di spegnimento o riavvio del dispositivo.
Perché il shutdown.log era così prezioso?
- Conteneva informazioni cronologiche sugli eventi di sistema, compresi i processi attivati dagli spyware.
- Permetteva di rilevare indicatori di compromissione (IOC), come processi sospetti o manipolati.
- Forniva una base di confronto con altri log di sistema, utile per incrociare dati su riavvii o anomalie.
Spesso, grazie al shutdown.log, ricercatori indipendenti, organizzazioni per i diritti civili e aziende di sicurezza riuscivano a identificare dispositivi compromessi anche mesi dopo l’infezione, contribuendo ad avviare indagini e notificare le possibili vittime.
Cosa cambia con iOS 26: la “pulizia” del registro
Con l’introduzione di iOS 26, Apple ha modificato il comportamento del file shutdown.log: invece di aggiungere nuove voci a ogni riavvio (come avveniva per anni), il sistema ora sovrascrive interamente il file a ogni boot. Questa scelta, che potrebbe essere tecnica (per gestione dello spazio o igiene del sistema) o accidentale, ha conseguenze rilevanti:
- Ogni volta che il dispositivo viene riavviato dopo l’aggiornamento, tutte le precedenti tracce in shutdown.log scompaiono per sempre.
- Gli indicatori di infezione relativi a Pegasus, Predator o altro spyware spariscono, rendendo impossibile rilevare compromissioni avvenute in precedenza.
- Le indagini forensi vengono ostacolate, poiché i dati essenziali per la ricostruzione di eventuali attacchi non sono più disponibili agli esperti.
Il rischio concreto è che molti utenti colpiti non sappiano mai di essere stati spiati, e che anche futuri attacchi diventino quasi impossibili da tracciare retroattivamente.
Un esempio pratico: Pegasus 2022
Tra le versioni più note e recenti di Pegasus, nel 2022 l’analisi dei shutdown.log aveva permesso di scoprire la presenza di un particolare percorso sospetto:
/private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking
Questo IOC segnalava una tecnica avanzata del malware: usare nomi di processo “normali” per nascondersi tra le attività di sistema standard, forzando gli analisti a esaminare i dettagli dei log per fare emergere la compromissione. Grazie a shutdown.log queste firme erano individuabili: oggi, con iOS 26, queste tracce vengono cancellate.
Analisi per chi ha versioni precedenti a iOS 26
Se il tuo dispositivo utilizza una versione di iOS precedente alla 26, puoi ancora beneficiare dei log classici:
- Su iOS 18 e versioni inferiori, la correlazione tra i log di containermanagerd (che registra eventi di boot) e shutdown.log permetteva di scoprire irregolarità e potenziali occultamenti di infezioni.
- È ancora possibile estrarre manualmente la sysdiagnose e analizzare i dettagli dei log per identificare IOC.
Consigli pratici e misure immediate per utenti e ricercatori
Prima di aggiornare a iOS 26:
- Esegui subito una sysdiagnose del dispositivo e conservala in un luogo sicuro.
- Se sei un utente a rischio (giornalisti, attivisti, figure pubbliche), valuta di ritardare l’aggiornamento finché Apple non chiarirà se si tratta di un bug o di una scelta progettuale fissa.
- Consulta un esperto di cyber sicurezza per un controllo approfondito, specialmente se ricevi notifiche inaspettate da Apple o da enti come Citizen Lab o Amnesty International.
Per chi ha già aggiornato:
- Le possibilità di rilevare infezioni pregresse tramite shutdown.log sono purtroppo azzerate.
- È comunque utile monitorare il dispositivo con strumenti come iMazing o MVT e mantenere il sistema aggiornato con le ultime patch di sicurezza.
Impatto sulla ricerca forense e sulla privacy globale
La perdita di shutdown.log come fonte di dati avrà un effetto pesante soprattutto sulla possibilità di scovare infezioni mirate, spesso usate come strumenti di sorveglianza politica e spionaggio industriale. La comunità internazionale dei ricercatori di sicurezza, come già accaduto dopo aggiornamenti simili di Android, dovrà adattarsi sviluppando approcci alternativi, anche se molti di questi sono più difficili da applicare in ambienti chiusi come iOS.
Si teme che questa evoluzione limiti drasticamente la trasparenza e la capacità di tutela delle vittime, in particolare dove gli attori malevoli sono Stati o gruppi con grandi risorse.
Possibili contromisure e richieste al produttore
Alcuni esperti hanno già chiesto pubblicamente ad Apple di:
- Ripristinare una funzione di “append” ai log, almeno in modalità diagnostica.
- Offrire strumenti trasparenti che permettano controlli approfonditi agli utenti che ne abbiano necessità, magari con la supervisione di un esperto.
- Comunicare in modo chiaro le motivazioni della scelta: se è una misura di sicurezza o una semplice svista progettuale.
La risposta di Apple, al momento, non è chiara. L’azienda storicamente tende a non rivelare dettagli interni che possano essere usati da attaccanti, ma questa strategia compromette anche la sicurezza degli utenti “buoni”, creando un paradosso difficile da risolvere.
Cosa fare ora: controlli e precauzioni per tutti gli utenti
Consigli avanzati e azioni di sicurezza suggerite:
- Effettua backup regolari dei dati importanti e archivia periodicamente anche la sysdiagnose su dispositivi “freddi” (non connessi).
- Utilizza strumenti di analisi terzi come Mobile Verification Toolkit (MVT) o iMazing per scansioni periodiche.
- Tieni monitorato il panorama delle notizie sulla sicurezza: molti attacchi su larga scala vengono scoperti solo settimane o mesi dopo la compromissione iniziale.
- Evita di aprire link o allegati sospetti, anche da fonti fidate se il messaggio appare inconsueto o troppo urgente.
- Chiedi supporto a esperti se sospetti compromissioni (segnali possono includere consumi anomali di batteria, comportamenti insoliti o notifiche da Apple riguardo la sicurezza).
- Pretendi trasparenza dai fornitori di tecnologia: solo la pressione pubblica può spingere aziende come Apple ad ascoltare le esigenze di tutti i loro utenti, soprattutto i più vulnerabili.
Adottare queste strategie non elimina del tutto il rischio, ma permette di mantenere alto il proprio livello di sicurezza e, soprattutto, di agire tempestivamente qualora si riscontrino anomalie. Rimani aggiornato e prudente: la sicurezza digitale, ormai, è un diritto fondamentale da proteggere giorno dopo giorno.
Fonte: https://iverify.io/blog/key-iocs-for-pegasus-and-predator-spyware-cleaned-with-ios-26-updat
