Pegasus ve Predator casus yazılımlarının son birkaç yılda ortaya çıkışı, mobil cihaz güvenliğinin manzarasını değiştirdi.
Gelişmiş tehdit aktörleri tarafından gözetleme ve casusluk amacıyla kullanılan bu gelişmiş kötü amaçlı yazılım türleri, sıfır tıklamayla ortaya çıkan güvenlik açıklarından yararlanma yeteneklerini defalarca göstererek yüksek profilli bireyleri ve risk altındaki toplulukları açıkta bıraktı.
Kritik adli analiz, kötü amaçlı yazılım kendini silmeye çalıştıktan sonra bile bu tür enfeksiyonların izlerini ayırt etmek için uzun süredir iOS sistem günlüklerindeki kalıntılara, özellikle de kapatma.log dosyasına güveniyor.
iOS 26’nın piyasaya sürülmesiyle adli tıp metodolojileri benzeri görülmemiş bir gerilemeyle karşı karşıya kaldı. iVerify analistleri, Apple’ın en son işletim sistemi sürümünün artık yeni günlük girişleri eklemek yerine her cihaz yeniden başlatıldığında kapatma.log dosyasının üzerine yazdığını belirledi.
Bu görünüşte zararsız değişimin (ister kasıtlı ister kasıtsız olsun) dijital kanıtların korunması açısından önemli sonuçları vardır.
İOS 26’ya güncellenen ve daha sonra yeniden başlatılan herhangi bir cihaz, önceki tüm kapatma.log içeriğinin silindiğini görecek ve Pegasus, Predator veya benzer tehditlerle bağlantılı olası güvenlik ihlali göstergelerini ortadan kaldıracaktır.
Daha önce, Pegasus gibi gelişmiş casus yazılımlar, adli tıp karşıtı taktiklerinin bir parçası olarak kapatma.log’u temizlemeye veya kurcalamaya çalışıyordu; bu süreç, dikkatli analistler için hâlâ ince göstergelerin arkasında kalıyordu.
iVerify araştırmacıları, bu “çifte silme”nin (kötü amaçlı yazılımın silinmesi ve ardından işletim sistemi düzeyinde üzerine yazılması) artık bu kritik yapıyı tamamen arındırdığını, araştırmaları engellediğini ve başarılı uzlaşmaları önceki taktiklerden çok daha etkili bir şekilde maskelediğini ayrıntılı olarak açıkladı.
iOS 26’da Enfeksiyon Mekanizması ve Kanıt Silme
Geçmiş kapatma.log girişlerinin incelenmesi, Pegasus’un geçmişteki enfeksiyonlarda bıraktığı, örneğin aşağıdaki işlemlere referanslar gibi benzersiz işaretler ortaya çıkardı: com.apple.xpc.roleaccountd.stagingcom.apple.WebKit.Networking.
iOS 26’dan bu yana bu tür adli sinyaller yalnızca gömülmekle kalmıyor; bir sonraki önyüklemede geri alınamayacak şekilde siliniyor.
.webp)
Önyükleme ve yeniden başlatma olayları (Kaynak – iVerify)
Günlüğün her kapatma girişini ekleyen önceki yapısı, araştırmacılara enfeksiyon zaman çizelgelerini takip etmek için hayati önem taşıyan kronolojik bir görünüm sunuyordu.
Tam üzerine yazmaya yönelik teknik geçiş, yeniden başlatma sonrasında kapatma.log davranışının öncesi ve sonrası karşılaştırmasını gösterir.
iVerify tarafından bu gelişmeyi ortaya çıkaran en önde gelen grup olarak bildirilen sistem düzeyindeki bu değişiklik, saldırganlar ve savunucular arasındaki dengeyi değiştirerek dijital kanıtlar, kullanıcı koruması ve kötü amaçlı yazılımların hesap verebilirliği hakkında acil soruları gündeme getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
