iOS 26 güncellemesi Pegasus ve Predator casus yazılımlarına ait başlıca IOC’leri kaldırıyor

 (iverify.io)
1 puan yazan GN⁺ 2025-10-27 | 1 yorum | WhatsApp'ta paylaş
  • En yeni iOS 26 güncellemesinde shutdown.log dosyasının işlenme biçimi değiştiği için, Pegasus ve Predator casus yazılımı bulaşma izleri siliniyor
  • Daha önce shutdown.log, iOS kötü amaçlı yazılım tespitinde temel adli bilişim kanıtı olarak kullanılıyordu; ancak yeni sürümde yeniden başlatma sırasında günlük dosyası üzerine yazılıyor
  • Pegasus geçmişten beri günlük silme ve gizleme tekniklerini sürekli geliştiriyordu; Predator’ın da benzer izler bıraktığı analiz edildi
  • Bu değişiklik nedeniyle güvenlik araştırmacıları ve adli bilişim incelemecilerinin bulaşma olup olmadığını doğrulaması zorlaşıyor
  • Casus yazılım saldırılarının arttığı bir dönemde, Apple’ın günlük işleme politikasının güvenlik şeffaflığı üzerindeki etkisinin büyük olduğu vurgulanıyor

shutdown.log dosyasının rolü ve önemi

  • shutdown.log dosyası, iOS cihazının kapanış sürecinde oluşan olayları kaydeden bir günlük olup, kötü amaçlı yazılım tespitinde önemli ipuçları sağlar
    • Konumu: Sysdiagnose klasörü içindeki system_logs.logarchive → Extra → shutdown.log yolu
    • Yıllar boyunca iOS kötü amaçlı yazılım analizinde gözden kaçmış olsa da, gerçekte bulaşma izleri bırakan “sessiz bir tanık” işlevi gördü
  • 2021’de ortaya çıkarılan Pegasus casus yazılımı sürümünün bu günlükte açık bulaşma göstergeleri (Indicator of Compromise, IOC) bıraktığı örnekler bulunuyor
    • Bu sayede güvenlik araştırmacıları bulaşmış cihazları tespit edebildi
    • Sonrasında Pegasus’un geliştiricisi NSO Group, tespitten kaçınmak için tekniklerini sürekli geliştirdi

Pegasus’un gelişmiş kaçınma stratejisi

  • Pegasus, 2022 civarında shutdown.log dosyasını tamamen silerek izlerini gizlemeye başladı
    • Ancak silme sürecinde de ince izler kaldığından, tersine “anormal derecede temiz günlük” bulaşma için bir ipucu olarak kullanılabildi
    • Birçok vakada bu desen görüldü ve günlük silme eyleminin kendisi bir bulaşma göstergesi sayıldı
  • Sonrasında Pegasus’un, cihazın kapanışını gerçek zamanlı izleyip günlüğü tamamen silen bir mekanizma kullandığı tahmin ediliyor
    • Araştırmacılar, bulaştığı bilinen cihazlarda shutdown.log dosyasının boş olduğu ya da başka IOC’lerle birlikte kaldırıldığı çok sayıda örnek doğruladı
    • Sonuç olarak anormal biçimde sıfırlanmış günlük dosyaları, şüpheli cihazları belirlemede sezgisel bir gösterge olarak kullanıldı

Predator casus yazılımındaki benzer izler

  • 2023’te gözlemlenen Predator casus yazılımının da Pegasus örneklerinden ders çıkardığı görülüyor
    • Predator, shutdown.log dosyasını izleyip kendi izlerini bırakan davranışlar sergiliyor
    • Pegasus’a benzer günlük desenleri tespit edildiği için iki casus yazılım arasındaki teknik benzerliklere dikkat çekiliyor

iOS 26’daki değişiklikler ve etkileri

  • iOS 26’da shutdown.log dosyası her yeniden başlatmada üzerine yazılacak (overwrite) şekilde değiştirildi
    • Önceki sürümlerde her kapanış anındaki günlük eklenerek birikiyor (append), yani eski kayıtlar korunuyordu
    • Artık cihaz her yeniden başlatıldığında mevcut günlük tamamen siliniyor ve yerine yeni günlük yazılıyor
  • Bu değişiklik, mevcut Pegasus ve Predator bulaşma kanıtlarının otomatik olarak silinmesine yol açıyor
    • Apple’ın bunu bilinçli bir tasarım tercihi olarak mı yaptığı, yoksa bunun bir hata mı olduğu net değil
    • Amaç sistem temizliği veya performans iyileştirmesi olabilir; ancak adli bilişim analizleri üzerinde yıkıcı bir etki yaratıyor
  • Son dönemde üst düzey yöneticiler ve ünlüler gibi kişiler de casus yazılım saldırılarının hedefi olurken, bu aşamada günlüklerin silinmesi güvenlik topluluğunda büyük kaygı yaratıyor

iOS 26 öncesi sürümlerde Pegasus 2022 IOC’leri

  • iOS 26 öncesi sürümlerde Pegasus 2022 bulaşmasına ait belirli IOC’ler doğrulanabiliyordu
    • shutdown.log içinde /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking yolunun bulunması, yüksek bulaşma olasılığına işaret ediyor
    • NSO Group, tespitten kaçınmak için yaygın sistem süreç adları gibi görünme stratejisi kullandı
    • Bu nedenle önceki açık süreç adı tabanlı tespitler zorlaştı

iOS 18 ve altı sürümlerde günlük korelasyon analizi

  • iOS 18 ve altı sürümlerde, containermanagerd günlükleri ile shutdown.log karşılaştırılarak bulaşma değerlendirmesi yapılabiliyordu
    • containermanagerd günlükleri açılış olaylarını kaydeder ve verileri haftalar boyunca saklar
    • İki günlük arasındaki tutarsızlıklar (ör. açılış olayları çokken kapanış günlüklerinin az olması) kasıtlı gizleme olasılığına işaret eder
    • Bu yöntemle casus yazılım faaliyetlerinin izleri dolaylı olarak takip edilebiliyordu

Güncelleme öncesi önerilen adımlar

  • iOS 26 güncellemesinden önce şu adımların atılması öneriliyor
    • Mevcut shutdown.log ve ilgili kanıtları korumak için hemen Sysdiagnose oluşturup kaydetmek
    • Apple günlük üzerine yazma sorununu düzeltene kadar güncellemeyi ertelemek
  • Bu adımlar, bulaşma kanıtlarının kalıcı olarak kaybolmasını önlemek ve gelecekteki adli bilişim analizleri için veri sağlamak açısından kritik önem taşıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-27
Hacker News yorumu

  • Makalede IOC’nin ne olduğu tanımlanmadığı için kafam karıştı
    IOC, Indicators Of Compromise kısaltmasıdır. Makalede bir kez açık yazılmış ama parantez içinde belirtilmeden geçilmiş. Benim gibi bilmeyen biri olabilir diye paylaşıyorum

    • Teşekkürler. Benim bildiğim tek IOC, Uluslararası Olimpiyat Komitesi idi
    • ABD ordusunda IOC, Initial Operational Capability anlamında kullanılıyor. FOC (Full Operational Capability) ile ayrılır. Şu terim açıklaması bağlantısına bakabilirsiniz
    • Kısaltmalar ya da akronimler açıkça tanımlanmadığında verimsiz oluyor ve bilenlerle bilmeyenler arasında duvar örüyor
      Eskiden Facebook’ta “ISO”nun “in search of” anlamında kullanılmaya başlamasından gerçekten nefret etmiştim. Çünkü Uluslararası Standardizasyon Örgütü ISO ile karışıyordu.
      Bizim şirkette, yalnızca sıradan insanların da anlamını tahmin edebileceği ve başka bir anlama çekilmeyecek kısaltmaların kullanılmasına izin veriliyor
    • TLA(three-letter acronym) kullanımının aşırıya kaçmasını bitirelim anlamında “Help stamp out TLAs” diye bir şaka yapıyor. Bununla ilgili ASS.md bağlantısını da paylaşıyor
    • Üç harfli kısaltmaların (TLA) mümkün kombinasyon sayısı sadece 17.576

  • Apple’ın kendisini bir gizlilik şirketi olarak konumlandırması sonuçta sadece marka pazarlamasından ibaretmiş
    ICE, Paragon ile sözleşme yapıp zero-click casus yazılım kullanırken Apple, devlet destekli gözetimi tespit etmeyi sağlayan kritik adli bilişim izlerini silip atıyor. Cook’un altın ve nakit lobiciliğini de ekleyince, büyük teknoloji şirketleri arasında dibe oynuyor

    • 10 yıl önce Apple’da çalışırken içerideki hava böyle değildi. Böyle bir değişim olduysa muhtemelen yeni bir şeydir.
      Büyük ihtimalle bu bir bugdır; devlet talebiyle sonradan eklenen bir özellik olması pek olası görünmüyor. Geçmişte FBI ile yaşanan San Bernardino olayında da Apple işbirliği yapmamıştı
    • Apple’ın bundan sonra da casus yazılım şirketlerine karşı iPhone güvenliğini güçlendirmekte başarısız olacağını düşünüyorum
    • Apple bug bounty ve SDR programı yürütüyor ama bunun gerçekten bir inanç mı yoksa sadece markanın zarar görmesini önleme çabası mı olduğu belirsiz.
      Daha fazlasını yapabilirler ama hiçbir şirketin siyasi baskıya tamamen direnmesi kolay değil
    • Apple en başından beri aldatıcı pazarlama konusunda iyiydi. Sahte çevrecilik, onarılamayan ürün politikası, boş gizlilik vaatleri gibi.
      Gerçekten güvenlik istiyorsanız GrapheneOS çok daha güvenilir

  • Büyük sistemlerde küçük bir değişiklik bile birileri için sorun yaratır
    Apple, iVerify topluluğunu yatıştırmak için bu özelliği geri getirebilir ama uzun vadede casus yazılımlar daha sinsi şekilde gizlenecektir.
    Artık sadece adli bilişim artifaktlarına dayanmayan bir strateji gerekiyor

    • Pegasus ve Predator gibi iOS açıkları geniş ölçüde biliniyor ama Apple’ın bu tür tespit yöntemlerini kontrol etmemesi dar görüşlülük.
      “iPhone güvenlidir” inancı sonuçta sadece kara kutu güveninden ibaret. iOS 26’da bug’lar bulunmaya devam ederken güvenlik özellikleri neden istisna olsun?
    • xkcd 1172 ve xkcd 1053 alıntılanarak bu durumla dalga geçiliyor

  • IOC, shutdown log temellidir
    iOS 26’da her açılışta shutdown.log yeniden yazılıyor ve önceki kayıtlar kayboluyor.
    Bu da Pegasus ya da Predator bulaşma izlerinin tamamen silinmesi sonucunu doğuruyor

  • Apple’ın shutdown logunu silmesi, saldırganların çökme koşullarını veya cihaz davranışını analiz etmesini engellemeye yönelik bir güvenlik önlemi olabilir
    Ama gizliliği ciddiye alıyorsanız, kullanıcının kendi cihazını derinlemesine inceleme hakkı da olmalı

    • Araştırma aşamasındaki saldırganlar zaten root erişimi elde edip daha fazla bilgi alabilir.
      Sonuçta bu tür önlemler yalnızca sıradan kullanıcıyı kısıtlıyor
    • Cihazın sahibi olmak, üreticinin istenen her özelliği sunmak zorunda olduğu anlamına gelmez
    • shutdown log erişimine kıyasla çalışan süreçleri görme yetkisi daha da kısıtlı.
      Apple her zaman gizliliği bahane ederek kontrolü artırmayı meşrulaştırıyor

  • iOS 26 beta sürümünde böyle bir değişiklik yoktu. Umarım yakında düzeltilir
    YouTube videosunda açıklandığı gibi, shutdown.log çalışan süreçlerin listesini kaydediyordu ve IOC tespitinde işe yarıyordu.
    Güvenliğe önem veriyorsanız her gün yeniden başlatmanız öneriliyor

  • Apple içinde birilerinin İsrailli hackerlar için bilerek açık bıraktığından şüpheleniyordum

    • Olası ama iPhone Apple’ın ana ürünü olduğu için böyle bir karar yıkıcı kayıplara yol açardı.
      ABD içinde çabuk unutulabilir ama Asya ve Avrupa pazarlarında güven kaybı yaratırdı.
      Daha gerçekçi olasılık, devletin Apple içindeki geliştiricilere baskı yapmış ya da onları devşirmiş olmasıdır
    • Bari jailbreak için açık bırakıyor olsalar keşke
    • İsrail işin içine girince her Ar-Ge organizasyonunun bir komplo grubu gibi görünmesi ilginç /s

  • Makalenin yazarları da Apple’ın bilerek casus yazılım tespitini engellemeye çalıştığını düşünmüyor
    iOS 26 güncellemesini bir süre erteleyip Apple düzeltene kadar beklemeyi öneriyorlar

    • Ama çoğu kullanıcı için IOC’den çok genel bug düzeltmeleri daha önemli.
      Devlet düzeyinde bir hedef değilseniz güncellemeyi ertelemek mantıksız

  • İyi bir makale, metnin başında terim ve kısaltma listesi vermeli.
    Bu yoksa okumaya değmez

  • iPhone adli bilişiminin sadece yedek arşivleri üzerinden mümkün olması bana saçma geliyor
    macOS’taki gibi **sistem uzantıları(EL1+)**na izin verilip güvenlik izleme yapılabilmeli

    • Bir güvenlik araştırmacısı olarak, böyle bir özellik aslında casus yazılım şirketleri için hediye olurdu.
      Yüksek ayrıcalıklı erişim risklidir
    • Tam bellek dökümü de buna eklenirse root açıklarını bulmak kolaylaşır; bu yüzden Apple buna asla izin vermez
    • iVerify çalışanının CCC’de yaptığı sunumda, macOS’taki gibi iOS’ta da EDR mekanizmalarının açığa çıkarılması önerilmişti
    • Bellek içi exploit’leri kurcalamaya çalışmak başlı başına gereksiz risk /s