Hacker News 中文摘要

RSS订阅

iOS 26更新移除飞马与掠夺者间谍软件关键指标 -- Key IOCs for Pegasus and Predator Spyware Removed with iOS 26 Update

原文链接 | HN讨论 | 2025-10-25 20:36:48

文章摘要

苹果iOS 26系统更新清除了关机日志文件中的关键证据,使Pegasus和Predator等间谍软件的感染痕迹难以追踪。这一变化给安全调查带来挑战,尤其当间谍软件攻击日益频繁之际,用户更难检测设备是否被入侵。此前关机日志文件曾是识别iOS恶意软件的重要依据。

文章总结

标题:iOS 26更新清除飞马与掠夺者间谍软件关键攻击指标

随着iOS 26系统推送,我们的技术团队发现该系统对shutdown.log文件的处理方式发生重大改变——该更新会彻底清除设备中残留的飞马(Pegasus)和掠夺者(Predator)间谍软件感染证据。在间谍软件攻击日益猖獗的当下,这一变化给数字取证调查人员和普通用户的设备安全检测带来严峻挑战。

关键日志文件的演变

shutdown.log文件长期存在于iOS系统的统一日志目录中(路径:Sysdiagnose Folder -> system_logs.logarchive -> Extra -> shutdown.log),其独特价值在于能记录设备关机过程中的异常活动。2021年曝光的飞马间谍软件早期版本就曾在此文件中留下可追溯的攻击痕迹。

但到了2022年,飞马开发者NSO集团升级了隐匿技术。新版恶意软件不再留下明显日志,而是直接清空整个shutdown.log文件。讽刺的是,这种清除行为本身反而成为新的攻击指标——当检测到本该存有关机记录的文件被异常清空时,往往意味着设备已遭入侵。

间谍软件的进化轨迹

2023年出现的掠夺者间谍软件展现出类似特征。该软件会主动监控shutdown.log文件,其行为模式与改进版飞马高度相似,表明两者可能存在技术关联。

iOS 26的意外影响

图示1 iOS 26系统将shutdown.log的写入模式从"追加记录"改为"覆盖写入",导致每次重启设备都会覆盖原有日志。这个可能是出于系统优化的改动,却在客观上清除了所有历史感染证据。值得注意的是,当前正值间谍软件攻击高发期,近期已发生多起针对商界领袖和公众人物的定向攻击事件。

针对旧版系统的检测建议

对于尚未升级的用户,仍可通过特定方法检测感染迹象: - 在iOS 26之前的系统中,检查shutdown.log内是否存在"/private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking"路径条目 - iOS 18及更早版本用户,可交叉比对containermanagerd日志与shutdown.log的时间戳差异

图示2:shutdown.log文件示例

用户应对措施

建议所有用户在升级前: 1. 立即通过sysdiagnose工具备份当前系统日志 2. 暂缓升级至iOS 26,等待苹果公司修复此日志覆盖问题

(注:原文中涉及具体技术细节的部分已作简化处理,保留核心事实的同时删减了部分专业术语解释。)

评论总结

以下是评论内容的总结:

  1. 术语解释需求

    • 有评论指出文章未明确定义缩写"IOC"(Indicators of Compromise),建议增加说明
    • 引用:"The article doesn't define 'IOC'...Maybe everyone but me knows the abbreviation" (sevg)

  2. 对苹果安全性的质疑

    • 有观点认为苹果故意保持手机漏洞或未真正修复漏洞
    • 引用:"I always suspected someone inside Apple is making sure that these phones stay vulnerable" (darkoob12)
    • 另有评论指出苹果的隐私承诺只是营销手段
    • 引用:"Apple's previous positioning as the privacy company was just branding with zero actual conviction" (benzible)

  3. 技术实现批评

    • 评论批评iPhone取证仅通过备份存档完成,建议改进
    • 引用:"how ridiculous it is that forensics on iphones is done via backup archives" (notepad0x90)
    • 另有观点认为删除关机日志可能是安全措施
    • 引用:"erasing the shutdown log is also a security measure from Apple" (darkamaul)

  4. 日志功能争议

    • 有评论强调关机日志对检测间谍软件的重要性
    • 引用:"reboot every day.. allows you to go back in time and check for IOCs" (transpute)
    • 反对观点认为该日志容易被攻击者伪造而失去价值
    • 引用:"attackers will make sure that they edit the shutdown.log file...So the log has no value" (londons_explore)

  5. 解决方案建议

    • 有建议认为需要超越取证证据的新策略
    • 引用:"it's time to start thinking about strategies that go beyond forensic artifacts" (saagarjha)
    • 另有评论希望苹果能修复这个问题
    • 引用:"hopefully Apple will fix soon" (transpute)