Un nuovo metodo chiamato “iShutdown” è stato identificato da ricercatori di sicurezza informatica come un modo affidabile per individuare segni di spyware su dispositivi Apple iOS, inclusi minacce note come Pegasus, Reign e Predator. I ricercatori di Kaspersky, analizzando un set di iPhone compromessi da Pegasus, hanno scoperto che le infezioni lasciavano tracce in un file chiamato “Shutdown.log”, un file di log di sistema basato su testo disponibile su tutti i dispositivi iOS che registra ogni evento di riavvio insieme alle sue caratteristiche ambientali.
Funzionamento di iShutdown
Registrazione di Riavvii: iShutdown identifica i casi in cui processi “sticky”, come quelli associati allo spyware, causano ritardi nel riavvio del dispositivo.
Analisi del Log: Tracce di processi relativi a Pegasus sono state osservate in più di quattro notifiche di ritardo nel riavvio.
Indicatore di Compromissione: Un percorso del file system simile usato dalle tre famiglie di spyware funge da indicatore di compromissione.
Frequenza di Riavvio: Per avere successo, il metodo dipende dal fatto che l’utente bersaglio riavvii il proprio dispositivo il più spesso possibile.
Utilità di iShutdown
Metodo Leggero: Rispetto a metodi più dispendiosi in termini di tempo come l’immagine forense del dispositivo o un backup completo di iOS, estrarre il file Shutdown.log è piuttosto semplice.
Stoccaggio di Voci per Anni: Il file di log può conservare voci per diversi anni, rendendolo un artefatto forense prezioso per l’analisi e l’identificazione di voci di log anomale.
Implicazioni per la Sicurezza
Questa scoperta mette in luce la necessità di prestare attenzione ai dettagli apparentemente insignificanti nei log dei sistemi, poiché possono rivelare la presenza di minacce di sicurezza nascoste. Inoltre, evidenzia l’importanza di riavviare regolarmente i dispositivi come pratica di sicurezza.