Pembaruan iOS 26 menghapus IOC utama spyware Pegasus dan Predator

 (iverify.io)
1 poin oleh GN⁺ 2025-10-27 | 1 komentar | Bagikan ke WhatsApp
  • Dalam pembaruan iOS 26 terbaru, cara penanganan file shutdown.log telah diubah, sehingga jejak infeksi spyware Pegasus dan Predator ikut terhapus
  • Sebelumnya, shutdown.log telah digunakan sebagai bukti forensik kunci untuk mendeteksi malware iOS, tetapi pada versi baru log ditimpa saat reboot
  • Pegasus sejak lama terus mengembangkan teknik penghapusan log dan penyamaran untuk menyembunyikan diri, dan Predator juga dianalisis meninggalkan jejak serupa
  • Perubahan ini menimbulkan kesulitan bagi peneliti keamanan dan investigator forensik untuk memverifikasi apakah suatu perangkat terinfeksi
  • Di saat serangan spyware meningkat, sorotan tertuju pada besarnya dampak kebijakan penanganan log Apple terhadap transparansi keamanan

Peran dan pentingnya shutdown.log

  • File shutdown.log adalah log yang mencatat peristiwa saat proses pemadaman perangkat iOS, dan memberikan petunjuk penting untuk mendeteksi malware
    • Lokasinya ada di jalur Sysdiagnose folder system_logs.logarchiveExtrashutdown.log
    • Selama bertahun-tahun terabaikan dalam analisis malware iOS, tetapi sebenarnya berperan sebagai “saksi diam” yang menyimpan jejak infeksi
  • Ada kasus di mana versi spyware Pegasus yang diungkap pada 2021 meninggalkan jejak infeksi yang jelas (Indicator of Compromise, IOC) di log ini
    • Hal ini memungkinkan peneliti keamanan mengidentifikasi perangkat yang terinfeksi
    • Setelah itu, pengembang Pegasus yaitu NSO Group terus menyempurnakan tekniknya untuk menghindari deteksi

Strategi penghindaran Pegasus yang makin berkembang

  • Sekitar 2022, Pegasus mulai menyembunyikan jejak dengan menghapus shutdown.log itu sendiri sepenuhnya
    • Namun, bahkan dalam proses penghapusan itu masih tertinggal jejak halus, sehingga justru log yang “terlalu bersih” secara tidak wajar digunakan sebagai petunjuk infeksi
    • Pola ini ditemukan dalam banyak kasus, sehingga penghapusan log itu sendiri dianggap sebagai indikator infeksi
  • Setelah itu, diperkirakan Pegasus mengadopsi mekanisme yang memantau pemadaman perangkat secara real-time dan menghapus log sepenuhnya
    • Para peneliti menemukan banyak kasus pada perangkat yang diketahui terinfeksi di mana shutdown.log kosong atau dihapus bersama IOC lain
    • Akibatnya, file log yang diinisialisasi ulang secara tidak wajar digunakan sebagai indikator heuristik untuk mengidentifikasi perangkat mencurigakan

Jejak serupa pada spyware Predator

  • Spyware Predator yang diamati pada 2023 juga tampak belajar dari kasus Pegasus
    • Predator memantau shutdown.log dan melakukan tindakan yang meninggalkan jejaknya sendiri
    • Pola log yang mirip dengan Pegasus ditemukan, sehingga kemiripan teknis antara kedua spyware pun disorot

Perubahan di iOS 26 dan dampaknya

  • Di iOS 26, shutdown.log diubah agar ditimpa (overwrite) setiap kali reboot
    • Pada versi sebelumnya, log dari setiap waktu pemadaman ditambahkan secara kumulatif (append), sehingga catatan lama tetap tersimpan
    • Kini, setiap kali perangkat dinyalakan ulang, log lama dihapus sepenuhnya dan digantikan dengan log baru
  • Perubahan ini menyebabkan bukti infeksi Pegasus dan Predator yang selama ini ada terhapus secara otomatis
    • Belum jelas apakah ini desain yang disengaja oleh Apple, atau sebuah bug
    • Mungkin ditujukan untuk kebersihan sistem atau peningkatan performa, tetapi berdampak fatal pada analisis forensik
  • Belakangan ini eksekutif puncak, figur publik, dan lainnya juga menjadi target serangan spyware, sehingga penghapusan log pada saat ini memicu kekhawatiran besar di komunitas keamanan

IOC Pegasus 2022 pada versi sebelum iOS 26

  • Pada versi sebelum iOS 26, IOC tertentu untuk infeksi Pegasus 2022 dapat dikonfirmasi
    • Jika jalur /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking ada di dalam shutdown.log, kemungkinan infeksi tinggi
    • NSO Group menggunakan strategi menyamar sebagai nama proses sistem biasa untuk menghindari deteksi
    • Karena itu, deteksi lama yang berbasis nama proses eksplisit menjadi lebih sulit

Analisis korelasi log pada iOS 18 ke bawah

  • Pada iOS 18 ke bawah, status infeksi dapat dinilai dengan membandingkan log containermanagerd dan shutdown.log
    • Log containermanagerd mencatat peristiwa boot dan menyimpan data selama beberapa minggu
    • Ketidaksesuaian antara kedua log (misalnya, banyak peristiwa boot tetapi sedikit log shutdown) mengindikasikan kemungkinan penyembunyian yang disengaja
    • Dengan cara ini, jejak aktivitas spyware dapat dilacak secara tidak langsung

Langkah yang disarankan sebelum pembaruan

  • Sebelum memperbarui ke iOS 26, disarankan mengambil langkah berikut
    • Segera buat dan simpan Sysdiagnose untuk mempertahankan shutdown.log saat ini dan bukti terkait
    • Hingga Apple memperbaiki masalah log yang ditimpa, menunda pembaruan adalah pilihan yang disarankan
  • Langkah-langkah ini sangat penting untuk mencegah hilangnya bukti infeksi secara permanen dan mengamankan data untuk analisis forensik di masa mendatang

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-27
Komentar Hacker News

  • Bingung karena artikel tidak mendefinisikan apa itu IOC
    IOC adalah singkatan dari Indicators Of Compromise. Di artikel, istilah ini memang ditulis lengkap sekali, tetapi lewat begitu saja tanpa tanda kurung. Saya bagikan kalau-kalau ada yang, seperti saya, belum tahu

    • Terima kasih. IOC yang saya tahu cuma Komite Olimpiade Internasional
    • Di militer AS, IOC dipakai untuk Initial Operational Capability. Dibedakan dari FOC (Full Operational Capability). Lihat tautan penjelasan istilah
    • Singkatan atau akronim itu tidak efisien kalau tidak didefinisikan dengan jelas, dan menciptakan tembok antara orang yang paham dan yang tidak
      Dulu saya sangat benci ketika di Facebook “ISO” mulai dipakai dengan arti “in search of”. Soalnya jadi membingungkan dengan ISO, Organisasi Internasional untuk Standardisasi.
      Di perusahaan kami, ada aturan untuk hanya memakai singkatan yang maknanya masih bisa ditebak orang awam dan tidak mudah disalahartikan sebagai arti lain
    • Ada yang melempar lelucon “Help stamp out TLAs” untuk menyindir penyalahgunaan TLA (three-letter acronym). Juga membagikan tautan ASS.md terkait
    • Singkatan tiga huruf (TLA) hanya punya 17.576 kombinasi yang mungkin

  • Fakta bahwa Apple memosisikan diri sebagai perusahaan privasi pada akhirnya cuma pemasaran merek
    Saat ICE mengontrak Paragon dan memakai spyware zero-click, Apple justru menghapus jejak forensik penting yang bisa mendeteksi pengawasan yang disponsori negara. Ditambah lobi emas-tunai Cook, mereka sedang berlomba ke dasar bahkan di antara big tech

    • Saat saya bekerja di Apple 10 tahun lalu, suasana internalnya tidak seperti itu. Kalau memang ada perubahan seperti ini, kemungkinan besar ini hal yang baru terjadi.
      Kemungkinan besar ini bug, dan hampir pasti bukan fitur yang ditambahkan belakangan atas permintaan pemerintah. Di masa lalu pun, dalam kasus San Bernardino dengan FBI, Apple tidak bekerja sama
    • Saya melihat Apple ke depan juga akan gagal memperkuat keamanan iPhone melawan perusahaan spyware
    • Apple memang menjalankan program bug bounty dan SDR, tetapi saya ragu apakah ini benar-benar soal keyakinan atau sekadar mencegah kerusakan merek.
      Mereka bisa berbuat lebih banyak, tetapi perusahaan mana pun sulit sepenuhnya melawan tekanan politik
    • Apple sejak awal memang piawai dalam pemasaran yang menyesatkan. Mulai dari kepedulian lingkungan palsu, kebijakan anti-perbaikan, sampai janji privasi yang bohong.
      Kalau benar-benar butuh keamanan, GrapheneOS jauh lebih bisa dipercaya

  • Dalam sistem berskala besar, perubahan kecil pun akan jadi masalah bagi seseorang
    Apple mungkin bisa membalikkan fitur ini untuk menenangkan komunitas iVerify, tetapi dalam jangka panjang spyware justru akan bersembunyi dengan lebih canggih.
    Sekarang dibutuhkan strategi yang melampaui sekadar artefak forensik

    • Celah iOS seperti Pegasus dan Predator sudah sangat dikenal, jadi pandangan Apple yang tidak mengendalikan metode deteksi seperti ini terasa picik.
      Keyakinan bahwa “iPhone aman” pada akhirnya cuma kepercayaan kotak hitam. Di iOS 26 bug terus ditemukan, jadi apakah fitur keamanannya benar-benar pengecualian?
    • Mengutip xkcd 1172 dan xkcd 1053 untuk menyindir situasi ini

  • IOC didasarkan pada log shutdown
    Di iOS 26, setiap kali boot, shutdown.log ditimpa ulang sehingga catatan sebelumnya hilang.
    Akibatnya, jejak infeksi Pegasus atau Predator terhapus sepenuhnya

  • Menghapus log shutdown mungkin merupakan langkah keamanan dari Apple agar penyerang tidak bisa menganalisis kondisi crash atau perilaku perangkat
    Tetapi kalau mereka serius soal privasi, pengguna juga harus punya hak untuk memeriksa perangkat mereka secara mendalam

    • Penyerang pada tahap riset pada akhirnya tetap bisa melakukan root dan mendapatkan informasi yang lebih banyak.
      Jadi langkah seperti ini pada akhirnya hanya membatasi pengguna biasa
    • Memiliki perangkat bukan berarti pabrikan wajib menyediakan semua fungsi yang diinginkan pemiliknya
    • Dibanding hak akses ke log shutdown, hak untuk melihat proses yang sedang berjalan justru lebih dibatasi.
      Apple selalu membenarkan penguatan kontrol atas nama privasi

  • Di beta iOS 26, perubahan seperti ini belum ada. Semoga segera diperbaiki
    Seperti dijelaskan dalam video YouTube, shutdown.log merekam daftar proses yang sedang berjalan sehingga berguna untuk mendeteksi IOC.
    Ada juga saran bahwa kalau Anda memprioritaskan keamanan, lakukan reboot setiap hari

  • Saya sudah lama curiga ada orang di dalam Apple yang sengaja menyisakan celah demi peretas Israel

    • Mungkin saja, tetapi iPhone adalah produk inti Apple, jadi keputusan seperti itu akan menimbulkan kerugian yang fatal.
      Di AS mungkin akan cepat dilupakan, tetapi di pasar Asia dan Eropa mereka akan kehilangan kepercayaan.
      Kemungkinan yang lebih realistis justru pemerintah menekan atau merekrut pengembang internal Apple
    • Saya malah berharap kalau celah itu sengaja dibiarkan untuk jailbreak
    • Menarik bagaimana setiap kali Israel terlibat, semua organisasi R&D langsung terlihat seperti kelompok konspirasi /s

  • Para penulis artikel juga tidak menganggap Apple sengaja mencoba menghalangi deteksi spyware
    Mereka menyarankan menunda update iOS 26 sementara sampai Apple memperbaikinya

    • Namun bagi kebanyakan pengguna, perbaikan bug umum jauh lebih penting daripada IOC.
      Kalau Anda bukan target tingkat negara, menunda update adalah tindakan yang tidak rasional

  • Artikel yang baik seharusnya menyediakan daftar istilah dan singkatan di awal isi.
    Kalau tidak ada itu, tidak layak dibaca

  • Saya merasa tidak masuk akal kalau forensik iPhone hanya mungkin lewat arsip cadangan
    Seperti di macOS, seharusnya ada izin untuk ekstensi sistem (EL1+) agar pemantauan keamanan dimungkinkan

    • Sebagai peneliti keamanan, fitur seperti itu justru akan jadi hadiah bagi perusahaan spyware.
      Akses dengan hak istimewa tinggi itu berbahaya
    • Jika mencakup dump memori penuh, itu akan mempermudah pencarian celah root, jadi Apple tidak akan pernah mengizinkannya
    • Dalam presentasi staf iVerify di CCC, ada usulan agar iOS juga mengekspos mekanisme EDR seperti macOS
    • Upaya untuk menyentuh exploit di memori itu sendiri adalah risiko yang tidak perlu /s