Hacker News Digest

С обновлением iOS 26 Apple изменила обработку файла shutdown.log, теперь он полностью перезаписывается при каждой перезагрузке вместо добавления новых записей. Это изменение эффективно удаляет ключевые индикаторы компрометации (IOCs) для шпионского ПО Pegasus и Predator, что создает серьезные проблемы для расследований и проверки устройств на зараженность. Файл shutdown.log был критически важен для обнаружения этих угроз, так как содержал следы деятельности вредоносного ПО даже во время выключения устройства.

В 2021 году в shutdown.log были обнаружены явные следы Pegasus, а к 2022 году злоумышленники стали более изощренными, полностью стирая файл, но даже это оставляло косвенные доказательства. Для версий iOS до 26 конкретным индикатором компрометации была запись /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking. Теперь же с обновлением до iOS 26 все эти следы автоматически удаляются, что происходит в момент, когда количество атак с использованием шпионского ПО только растет.

• Apple удаляет ключевой файл журнала shutdown.log, что лишает пользователей и исследователей единственного способа обнаружить Pegasus и другие вредоносные ПО, и это вызывает вопросы о том, насколько серьезно компания относится к безопасности и прозрачности.
• Удаление журнала делает невозможным обнаружение шпионского ПО, что особенно критично, учитывая что Apple позиционирует себя как защитник конфиденциальности.
• Некоторые комментаторы поднимают вопрос о том, что Apple может быть умышленно оставляет устройства уязвимыми для израильских хакеров, особенно в свете их истории сотрудничества с правительством США.
• Другие указывают на то, что Apple не предоставляет пользователям инструментов для проведения собственных расследований, что делает невозможным для них проверить свои устройства на наличие вредоносного ПО.
• В ответ на это, некоторые участники обсуждения предлагают, что Apple должна предоставить пользователям инструменты для проведения собственных расследований, включая доступ к полному дампу памяти, что позволило бы им проверять свои устройства на наличие вредоносного ПО.

• ICE получает доступ к израильскому шпионскому ПО Paragon Graphite, способному взламывать iPhone и Android без взаимодействия с жертвой и читать переписку в WhatsApp, Signal, Telegram.
• Контракт на 8 млн $ подписан в 2024 г.; ПО использует уязвимости ОС, а не «бэкдоры» мессенджеров.
• Paragon основана бывшими сотрудниками NSO Group; Graphite позиционируется как инструмент «борьбы с преступностью».
• Критика: правозащитники и конгрессмены беспокоятся о массовом надзоре и отсутствии прозрачности; ICE ранее применяла NSO Pegasus.
• Данные: ICE купила 40 лицензий, но не раскрывает, как и против кого использует технологию.

• Правительство США вынуждено покупать шпионские технологии у частных компаний, потому что NSA не может (или не хочет) использовать свои 0-day против граждан.
• Paragon утверждает, что продаёт Graphite «только демократиям» и якобы не знает, как клиенты используют шпионку, что вызывает скепсис.
• Уязвимости обычно заходят через WhatsApp/Signal, SMS/MMS и браузеры; Lockdown Mode может частично защитить, но не гарантирует безопасность.
• Обсуждаются связи Paragon с бывшими политиками и инвесторами из окружения Эпштейна, что усиливает недоверие.
• Участники предлагают переход на децентрализованные приложения и отказ от локального хранения данных, но сомневаются в реальности такого сценария.