O novo sistema operacional móvel da Apple, o iOS 26, alterou o processamento de um arquivo de log que armazena dados sobre ocorrências por spyware. Esta mudança remove evidências de comprometimento em dispositivos. A iVerify, empresa de investigações e forense para iPhone, emitiu um pedido para que os usuários adiem uma atualização, ou salvem uma imagem forense dos aparelhos antes da instalação do sistema. O sistema operacional foi liberado para uso em aparelhos móveis Apple em 26 de setembro.
Como o sistema operacional relacionado à investigação digital
O arquivo de log afetado é o (shutdown.log). Este arquivo registra eventos de desligamento do aparelho. Antes da atualização, o sistema apenas adicionava dados novos ao arquivo. Agora, após cada reinicialização do dispositivo, o iOS 26 reescreve o arquivo por completo, removendo as entradas anteriores.
A remoção de dados apaga registros de infecções causadas por spyware como o Pegasus, da NSO, e o Predator, da Intellexa. Versões recentes de spyware já implementaram a remoção do (shutdown.log) como técnica de acobertamento. Antes do iOS 26, hum (shutdown.log) sem dados indicavam comprometimento.
Matthias Frielingsdorf, vice-presidente de pesquisa da iVerify, afirma que a ação de remoção do iOS 26 torna um arquivo de log sem dados indistinguível do comportamento normal do sistema operacional. Isso torna difícil encontrar provas de infecções recentes do Pegasus e Predator.
A motivação para o novo comportamento é desconhecida, podendo ser uma falha no código ou um recurso. A Apple não emitiu uma declaração sobre o assunto. A mudança, no entanto, remove características de ataques passados conforme a base de usuários adere à nova versão do sistema. O site da iVerify oferece mais detalhes sobre o impacto da mudança em (iVerify.com/blog/ios26-log-change).
