iShutdown: módszer az iOS rosszindulatú programok észlelésére
A Kaspersky kutatói azonosítottak egy iShutdown néven összesítet módszert az Apple iOS-eszközökön lévő kémprogramok jeleinek megbízható azonosítására, köztük az olyan híressé vált fenyegetések azonosítására, mint az NSO Group Pegasus, a QuaDream Reign és az Intellexa Predator.
A Kaspersky jelentése szerint a fertőzések nyomokat hagytak a Shutdown.log nevű fájlban, amely egy szöveges rendszernaplófájl, amely minden iOS-eszközön elérhető, és amely minden újraindítási eseményt rögzít a környezeti jellemzőkkel együtt.
Az olyan időigényes módszerekhez képest, mint a forensics eszközök, vagy egy teljes iOS biztonsági mentés, a Shutdown.log fájl lekérése meglehetősen egyszerű. A naplófájl egy sysdiagnose (sysdiag) helyen van tárolva és olyan bejegyzéseket tartalmaz a naplófájlban, amelyek olyan eseteket rögzítettek, amikor a kémprogramhoz kapcsolódó folyamatok, mint az újraindítási késedelmet okoztak. A vizsgálat feltárta egy hasonló fájlrendszeri útvonal jelenlétét, amelyet mindhárom kémprogramcsalád használ – /private/var/db/ a Pegasus és a Reign esetében, és /private/var/tmp/ a Predator esetében -, ami a veszélyeztetettség jelzőjeként szolgál.
A Kaspersky Python szkriptek gyűjteményét is közzétette, amelyekkel kivonható, elemezhető és elemezhető a Shutdown.log, hogy az újraindítási statisztikák kinyerhetők legyenek.