- Trong bản cập nhật iOS 26 mới nhất, cách xử lý tệp
shutdown.log đã thay đổi, dẫn đến việc các dấu vết lây nhiễm của spyware Pegasus và Predator bị xóa
- Trước đây,
shutdown.log được dùng như bằng chứng pháp chứng cốt lõi để phát hiện malware trên iOS, nhưng ở phiên bản mới, log bị ghi đè khi khởi động lại
- Pegasus từ trước đến nay đã liên tục phát triển các kỹ thuật xóa log và che giấu, và Predator cũng được phân tích là để lại các dấu vết tương tự
- Thay đổi này làm dấy lên vấn đề rằng các nhà nghiên cứu bảo mật và điều tra viên pháp chứng sẽ khó xác minh thiết bị có bị lây nhiễm hay không
- Trong bối cảnh các cuộc tấn công bằng spyware đang gia tăng, tác động của chính sách xử lý log của Apple đối với tính minh bạch bảo mật đang được đặc biệt chú ý
Vai trò và tầm quan trọng của shutdown.log
- Tệp
shutdown.log là log ghi lại các sự kiện xảy ra trong quá trình tắt máy của thiết bị iOS, cung cấp manh mối quan trọng cho việc phát hiện malware
- Vị trí:
system_logs.logarchive → Extra → shutdown.log trong thư mục Sysdiagnose
- Dù trong nhiều năm bị bỏ qua trong phân tích malware iOS, trên thực tế nó đóng vai trò như một "nhân chứng thầm lặng" để lại dấu vết lây nhiễm
- Có trường hợp phiên bản spyware Pegasus được công bố năm 2021 để lại dấu hiệu lây nhiễm rõ ràng (Indicator of Compromise, IOC) trong log này
- Nhờ đó, các nhà nghiên cứu bảo mật có thể nhận diện thiết bị bị lây nhiễm
- Sau đó, NSO Group, công ty phát triển Pegasus, đã liên tục cải tiến kỹ thuật để né tránh phát hiện
Chiến lược né tránh ngày càng tinh vi của Pegasus
- Khoảng năm 2022, Pegasus bắt đầu che giấu dấu vết bằng cách xóa hoàn toàn chính
shutdown.log
- Tuy nhiên, ngay cả trong quá trình xóa vẫn còn lại những dấu vết rất nhỏ, nên một "log sạch bất thường" lại trở thành đầu mối cho lây nhiễm
- Mẫu hình này được phát hiện trong nhiều trường hợp, khiến việc xóa log tự thân trở thành một chỉ dấu lây nhiễm
- Sau đó, Pegasus được cho là đã đưa vào cơ chế giám sát việc tắt thiết bị theo thời gian thực và xóa log triệt để
- Các nhà nghiên cứu xác nhận nhiều trường hợp trên các thiết bị được biết là đã nhiễm, nơi
shutdown.log trống hoặc bị xóa cùng với các IOC khác
- Kết quả là tệp log bị khởi tạo lại bất thường được dùng như chỉ báo heuristic để nhận diện thiết bị đáng ngờ
Dấu vết tương tự của spyware Predator
- Spyware Predator được quan sát vào năm 2023 dường như cũng đã học theo trường hợp của Pegasus
- Predator theo dõi
shutdown.log và thực hiện hành vi để lại dấu vết riêng của nó
- Các mẫu log tương tự Pegasus đã được phát hiện, làm nổi bật sự tương đồng kỹ thuật giữa hai spyware
Thay đổi trong iOS 26 và tác động
- Trong iOS 26, cách xử lý đã được thay đổi để
shutdown.log bị ghi đè (overwrite) sau mỗi lần khởi động lại
- Ở các phiên bản trước, log của mỗi lần tắt máy được nối thêm (append), nên các bản ghi cũ vẫn được giữ lại
- Giờ đây, mỗi lần thiết bị khởi động lại, log cũ bị xóa hoàn toàn và được thay bằng log mới
- Sự thay đổi này dẫn đến việc các bằng chứng lây nhiễm Pegasus và Predator trước đó bị xóa tự động
- Chưa rõ đây là thiết kế có chủ đích của Apple hay là lỗi
- Dù có thể nhằm cải thiện vệ sinh hệ thống hoặc hiệu năng, nó vẫn gây tác động nghiêm trọng đến phân tích pháp chứng
- Gần đây, cả lãnh đạo cấp cao và người nổi tiếng cũng trở thành mục tiêu của spyware, nên việc xóa log ở thời điểm này đang gây lo ngại lớn trong cộng đồng bảo mật
IOC của Pegasus 2022 trên các phiên bản trước iOS 26
- Trên các phiên bản trước iOS 26, có thể xác nhận IOC cụ thể của lây nhiễm Pegasus 2022
- Nếu đường dẫn
/private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking xuất hiện trong shutdown.log, khả năng lây nhiễm là cao
- NSO Group đã sử dụng chiến lược ngụy trang bằng tên tiến trình hệ thống thông thường để tránh bị phát hiện
- Vì vậy, việc phát hiện cũ dựa trên tên tiến trình tường minh trở nên khó khăn hơn
Phân tích tương quan log trên iOS 18 trở xuống
- Trên iOS 18 trở xuống, có thể đánh giá tình trạng lây nhiễm bằng cách đối chiếu log
containermanagerd với shutdown.log
- Log
containermanagerd ghi lại các sự kiện khởi động và giữ dữ liệu trong vài tuần
- Sự không khớp giữa hai log (ví dụ: nhiều sự kiện khởi động nhưng ít log tắt máy) cho thấy khả năng che giấu có chủ đích
- Nhờ đó, có thể gián tiếp truy vết dấu hiệu hoạt động của spyware
Khuyến nghị trước khi cập nhật
- Trước khi cập nhật lên iOS 26, nên thực hiện các biện pháp sau
- Tạo và lưu Sysdiagnose ngay lập tức để bảo toàn
shutdown.log hiện tại và các bằng chứng liên quan
- Nên hoãn cập nhật cho đến khi Apple khắc phục vấn đề ghi đè log
- Các biện pháp này là thiết yếu để ngăn mất vĩnh viễn bằng chứng lây nhiễm và lưu giữ dữ liệu cho các phân tích pháp chứng trong tương lai
1 bình luận
Ý kiến Hacker News
Tôi thấy khó hiểu vì bài viết không định nghĩa IOC là gì
IOC là viết tắt của Indicators Of Compromise. Bài có viết đầy đủ một lần nhưng lướt qua mà không đặt trong ngoặc. Chia sẻ để phòng khi có ai đó cũng không biết như tôi
Trước đây tôi rất ghét khi trên Facebook người ta bắt đầu dùng “ISO” với nghĩa “in search of”. Nó dễ gây nhầm với tổ chức tiêu chuẩn hóa quốc tế ISO.
Ở công ty tôi, có quy định chỉ dùng những chữ viết tắt mà người bình thường cũng có thể đoán được nghĩa, và không dễ bị hiểu sang nghĩa khác
Việc Apple tự định vị mình là một công ty vì quyền riêng tư rốt cuộc chỉ là marketing thương hiệu
Trong lúc ICE ký hợp đồng với Paragon để dùng spyware zero-click, Apple lại xóa các dấu vết pháp chứng then chốt có thể phát hiện hoạt động giám sát do nhà nước hậu thuẫn. Tính cả cả vận động hành lang bằng tiền mặt và vàng của Cook, họ đang chạy đua xuống đáy ngay cả trong nhóm Big Tech
Khả năng cao đây là bug, chứ gần như không thể là tính năng được thêm muộn theo yêu cầu của chính phủ. Trong vụ San Bernardino trước đây với FBI, Apple cũng không hợp tác
Họ có thể làm nhiều hơn, nhưng không công ty nào có thể hoàn toàn chống lại áp lực chính trị
Nếu cần bảo mật thực sự thì GrapheneOS đáng tin hơn nhiều
Trong các hệ thống quy mô lớn, một thay đổi nhỏ cũng sẽ thành vấn đề với ai đó
Apple có thể khôi phục tính năng để xoa dịu cộng đồng iVerify, nhưng về lâu dài spyware sẽ chỉ ẩn mình tinh vi hơn.
Giờ cần những chiến lược vượt ra ngoài các artifact pháp chứng đơn giản
Niềm tin rằng “iPhone là an toàn” rốt cuộc chỉ là niềm tin vào hộp đen. Khi bug vẫn liên tục được phát hiện trên iOS 26, sao các tính năng bảo mật lại phải là ngoại lệ?
IOC dựa trên log shutdown
Trên iOS 26, mỗi lần khởi động thì
shutdown.loglại bị ghi đè mới, khiến lịch sử trước đó biến mất.Điều này dẫn đến việc dấu vết nhiễm Pegasus hoặc Predator bị xóa sạch hoàn toàn
Việc Apple xóa log shutdown có thể là một biện pháp bảo mật để ngăn kẻ tấn công phân tích điều kiện crash hoặc hành vi thiết bị
Nhưng nếu thực sự nghiêm túc với quyền riêng tư, thì người dùng cũng phải có quyền xem xét sâu thiết bị của chính mình
Cuối cùng kiểu biện pháp này chỉ là hạn chế người dùng bình thường
Apple luôn biện minh cho việc tăng kiểm soát bằng danh nghĩa quyền riêng tư
Bản beta iOS 26 không có thay đổi này. Hy vọng sẽ sớm được sửa
Như được giải thích trong video YouTube,
shutdown.logtừng ghi lại danh sách tiến trình đang chạy nên rất hữu ích cho việc phát hiện IOC.Cũng có lời khuyên rằng nếu coi trọng bảo mật thì hãy khởi động lại máy mỗi ngày
Tôi từng nghi ngờ có ai đó bên trong Apple cố tình để lại lỗ hổng cho hacker Israel
Ở Mỹ thì có thể nhanh chóng bị lãng quên, nhưng tại thị trường châu Á và châu Âu họ sẽ mất niềm tin.
Có lẽ khả dĩ hơn là chính phủ đã gây áp lực hoặc lôi kéo một số lập trình viên nội bộ của Apple
Ngay cả tác giả bài viết cũng không cho rằng Apple cố tình ngăn việc phát hiện spyware
Họ khuyên nên tạm hoãn cập nhật iOS 26 và chờ đến khi Apple sửa
Nếu bạn không phải mục tiêu cấp quốc gia thì việc trì hoãn cập nhật là không hợp lý
Một bài viết tốt nên cung cấp danh sách thuật ngữ và từ viết tắt ở đầu bài.
Nếu không có thì không đáng đọc
Tôi thấy thật vô lý khi pháp chứng trên iPhone chỉ có thể thực hiện qua backup archive
Nên cho phép system extension (EL1+) như trên macOS để có thể giám sát bảo mật
Quyền truy cập ở mức cao rất nguy hiểm