Hacker News Digest

С обновлением iOS 26 Apple изменила обработку файла shutdown.log, теперь он полностью перезаписывается при каждой перезагрузке вместо добавления новых записей. Это изменение эффективно удаляет ключевые индикаторы компрометации (IOCs) для шпионского ПО Pegasus и Predator, что создает серьезные проблемы для расследований и проверки устройств на зараженность. Файл shutdown.log был критически важен для обнаружения этих угроз, так как содержал следы деятельности вредоносного ПО даже во время выключения устройства.

В 2021 году в shutdown.log были обнаружены явные следы Pegasus, а к 2022 году злоумышленники стали более изощренными, полностью стирая файл, но даже это оставляло косвенные доказательства. Для версий iOS до 26 конкретным индикатором компрометации была запись /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking. Теперь же с обновлением до iOS 26 все эти следы автоматически удаляются, что происходит в момент, когда количество атак с использованием шпионского ПО только растет.