37C3 Vorspannmusik Herald: Unser nächster Vortrag Einführung in die Small Smartphone Malware Forensics sorry für den Versprecher wird gehalten von Viktor Schlüter und Janik Besendorf. Die beiden sind beim Digital Security Lab von Reporter ohne Grenzen. Bitte begrüßt die beiden zu ihrem Vortrag. Applaus Viktor: Ja vielen Dank! Hallo hört man mich? Janik: Ja jetzt vielen Dank für die schöne Vorstellung es freut uns dass so viele gekommen sind und der Raum voll geworden ist. Er ist Viktor ich bin Janik in unserem Talk geht's um Smartphone Malware Forensic also wie man Malware das ist jegliche Schadsoftware seines Staatstrojaner, Stalker-ware, Adware auf Smartphones finden kann. Und genau ist ein Einführungsvortrag ja und dazu erzählen wir euch jetzt was. Wir arbeiten beim Digital Security Lab bei Reporter ohne Grenzen. Wir wurden vor eineinhalb Jahren gegründet. Wir beschäftigen uns mit der IT Sicherheit von JournalistInnen weltweit, wir bieten z.B auch IT Sicherheitstrainings an und was wir hauptsächlich machen ist wir analysieren digitale Angriffe auf JournalistInnen, das sind z.B Accountübernahmen aber der Hauptfokus sind Angriffe mit Staatstrojanern auch bekannt als Spyware und da machen wir Forschung dazu und man kann sich an uns wenden, wenn man der Meinung ist, man ist vielleicht zu einem Angriff ausgesetzt worden und dann führen wir eine forensische Analyse durch und Schreiben gegebenfalls ein Bericht dazu und warum das wichtig ist, ist eben weil digital Angriffe meistens im Verborgenen bleiben. Also wenn jemand einen Staatstrojaner auf eurem Smartphone installiert dann merkt ihr das normalerweise nicht, das ist ja auch das Ziel davon, ähnlich wie bei einer Telefonüberwachung das merkt ihr auch nicht und deswegen ist es umso wichtiger dass forensische Analysen stattfinden dass man sowas nachweist um es zu dokumentieren, zu veröffentlichen und die Angreifer dann zur Verantwortung zu ziehen. Das waren z.B erst kürzlich möglich bei einem Fall in Aserbaidschan, wo wir einen Pegasus Angriff bei einer Journalistin nachweisen konnten. Das ist natürlich nicht der einzige solche Angriffe davon gibt's jede Menge, hier sind aus den letzten drei Jahren einige Pressemitteilungen von Staatstrojanerangriffen über Pegasus Predator, wer das herstellt, wie das heißt ist am Ende zweitrangig. Ein Bericht ist von gestern in Indien, wo JournalistInnen und OppositionspolitikerInnen angegriffen wurden mit Pegasus, das war eine Recherche von Amnesty Tech wo wir auch mithelfen konnten. Genau und als nächstes erzählt euch Viktor etwas zu den Besonderheiten von Smartphone Forensic. V: Test test cool hallo ja wie Ihr vielleicht gesehen habt wir haben die Folien auf Englisch gemacht damit es für die Leute die die Übersetzung gucken leichter ist, aber erzählen es auf Deutsch. Ich hoffe auch ich für meinen Teil werd nicht zu viel in so englischdeutsch cauder Welsch rutschen, ja. Es gibt ein paar Grundlagen die wir dachten, die vielleicht sinnvoll sind, wenn wir sie erzählen und hier zusammenfassen. Zum einen Computer forensics so das klassische Spiel wie man es kennt und Smartphone Malware forensic funktionieren relativ unterschiedlich oder es gibt so ein paar einfach größere Unterschiede, wie die Spiele funktionieren. Viele von euch haben vielleicht schon von dem klassischen Modus gehört, das ist so, man hat einen Server und da ist was passiert und da ist eine Festplatte drin und davon zieht man sich ein Image und also von physisch von allen Blocks auf Blog ebene und das lädt man dann in forensic Software rein und dann guckt man sich das Dateisystem an und schaut was da passiert ist. Was man generell mit Smartphones macht und vor allem auch was wir mit Smartphones machen ist anders, erstens weil moderne Smartphone Betriebssysteme alle eigentlich filebased encryption haben, das heißt auf physischer Ebene ist das gar nicht mehr interessant, weil jede Datei mit einem anderen Schlüssel verschlüsselt ist und wenn der Schlüssel weg ist kann man auch die Datei nicht mehr rankommen, das heißt gelöschte Dateien ist sowieso nicht. Dann ist die nächste Sache, dass Smartphones gar keine Funktion haben zu sagen hier ist übrigens das gesamte Dateisystem, also hier sind alle Dateien, die in meinem Speicher gerade liegen. Es gibt Menschen die tun das die Arbeiten für Strafverfolgungs- Behörden und die benutzen dafür Exploits, das ist aber richtig Kacke, weil das macht die Welt unsicherer weil das ist auch Teil von diesem Exploits verkaufen sowas Spiel. Zwei große Firmen eine heißt der Celebrite die das anbieten, das machen wir auf gar keinen Fall, wir nennen das zivile Forensic also in ein ein vernehmen mit den Menschen denen die Geräte gehören und wenn man das aus so einer zivilgesellschaftlichen Richtung machen möchte muss man sich mit dem zufrieden geben, was aus dem Handy rauskommt. Und das sind dann so Diagnoseinformationen und da kommt die Besonderheit dass man natürlich überhaupt nicht überprüfen kann ob das jetzt stimmt, weil man muss einfach den Informationen vertrauen die aus dem Handy rauspzeln und technisch gesehen wäre es natürlich möglich dass Schadsoftware auf dem Handy aktiv ist die diese Informationen verändert. Das heißt auch das muss man einfach auf dem Schirm haben, das wäre möglich. Dann ist eine wichtige Sache, oft wird so getan als wäre Malware and Spyware verschiedene Sachen oder es wäre so Malware Spyware das kleine Geschwisterkind von der Malware und weniger schlimm, bisschen so wie Quellen TKÜ und online Durchsuchung und das eine ist ja nur auf die Messenger Nachrichten zugreifen, das ist natürlich Quatsch, sobald man als Schadsoftware in der Lage sein möchte auf irgendetwas zuzugreifen was das Betriebssystem nicht erlaubt hat, musst du Systemprivilegien haben, musst du auf alles Zugriff haben können und das ist auch der Fall. Das heißt Spyware ist auch immer Malware und Spyware, lasst euch niemand von niemand irgendwas anderes erzählen, Spyware ist auch immer in der Lage beliebige zu verändern, beliebige Dateien zu löschen, beliebige Dateien neu hinzuzufügen, das hat riesig große Konsequenzen eigentlich für die Strafverfolgung, weil man gar nicht richtig zeigen kann dass ein Handy was mit Spyware gehackt wurde nicht auch noch irgendwelche anderen Spuren, irgendwelche anderen Dateien hinterlegt wurden das würde man vermutlich auch gar nicht finden sobald man ein Handy kompromittiert hat, hat man das vollständig kompromittiert und man kann eigentlich nichts mehr vertrauen, was an Dateien darum liegt. Das Einzige weshalb man überhaupt dann Spyware finden kann, ist dass es natürlich auch sehr viel fleißig und sehr viel Arbeit erfordert alle Spuren zu vernichten, die man als Spyware hinterlässt und das ist glücklicherweise nicht der Fall. Man kann unterscheiden in zwei Arten von Malware und hier ist leider irgendwas interessantes passiert, weil da ist da muss eigentlich eine Kröte sein, vielleicht da da ist die Kröte genau. Ich weiß nicht was mit der Folie aber jedenfalls es gibt zwei Arten von Malware, solche mit Exploits und solche ohne Exploits. Und das Interessante daran ist nur Malware mit Exploits kann aus der Sandbox raushüpfen. Das kann man sich vorstellen, ok wow, das kann man sich vorstellen wie Tierchen die in Plastikeimern sind und zwar das eine Tier kann aus dem Plastikeimer raushüpfen nämlich die Kröte, das andere kann es nicht die Schildkröte. Und zwar dieser Plastikeimer ist die Sandbox und nur wenn man aus der Sandbox raushüpfen kann, ist man in in der Lage auf Information Daten Systemressourcen zuzugreifen, was dir das Smartphone Betriebssystem eigentlich nicht erlaubt. Und die Dinge, die raushüpfen können das ist eben die die Spyware, die zu Spionage Zwecken von staatlichen Akteuren benutzt wird und das Interessante ist hier diese Eploits sind sehr sehr teuer. Also wenn man so eine Exploit chain für Smartphone Betriebssystem ist in der Größenordnung von mehreren Millionen Euro teuer, das heißt das ist eine Sache das passiert in diesem Kontext von staatliche Überwachung, staatliche Akteure, das ist aber eigentlich nichts was man jetzt erwarten würde im Kontext von Stalker-ware. Auf der anderen Seite genau gibt es Malware die keine Exploits hat und damit auch fein ist und keine haben möchte und die mehr darüber lebt dass sie über andere Zwecke über andere Wege auf dem Handy installiert wird und sich einfach damit zufrieden gibt was das Betriebssystem anbietet an Möglichkeiten. Kröte wieder weg. Da ist sie rausgehüpft. Es geben vier Arten von Malware gehen dann auch mit dieser Unterscheidung, also das eine sind die mit Exploits das andere sind die ohne Exploits und dann haben wir Sachen für iOS und für Android und dadurch, dass das IOS und das Android Betriebssystem ziemlich unterschiedlich ist, gibt es da auch keine Kompabilität, sondern das ist wirklich also die Spiele Malware zu entwickeln für die eine Plattform und die andere Plattform funktionieren relativ unterschiedlich, weil die Plattformen einfach ein bisschen verschieden sind und deshalb gehen so ein bisschen vier Arten von Malware auf. Genau, die obere Linie das sind die Schildkröten, die können nicht aus Sandboxes raushüpfen, die sind da darauf angewiesen als aus der Sicht der Malware, was das Betriebssystem Ihnen erlaubt. Und das sieht so aus, dass bei iPhones gibt es kein Zeit loading zumindest aktuell zeitloading bedeutet, dass man selber Apps installieren kann ohne dass die aus dem AppStore kommen, also dass man selber eine Programmdatei in der Hand haben kann und sagen kann liebes Handy installiere die bitte. Das geht bei iPhones nicht. Alle Apps müssen durch den AppStore durch. Und da gibt es auch Anforderungen und so und die was eine App maximal können darf das ist auch einigermaßen eingeschränkt und es ist aktuell zumindest auch nicht möglich ein iPhone zu routen also genau, also die Systemprivilegien, die sich jetzt Mechanismen auser Kraft zu setzen und Vollzugriff auf das ganze Handy zu erhalten, was natürlich aus der Sicht von so Stalker-ware auch sehr interessant ist. Bei Android hingegen ist das so das Siteloading also das Installieren von eigenen Apps, das geht. Es gibt ein paar mehr Permissions könnte man jetzt auch drüber streiten, was man so als App können darf. Die ganzen interessanten Sachen muss man natürlich als App aber auch Anfragen von hey darf ich das bitte tun und es ist in vielen Fällen auch möglich das Handy zu Routen allerdings aber erst meistens nachdem man die Inhalte von dem Handy gelöscht hat. Also es ist jetzt nicht so interessant ein Handy zu routen um irgendwie auf das ganze Dateisystem zuzugreifen, was da drauf ist, sondern es ist im Fall von Stalker-ware es ist eine Möglichkeit dass TäterInnen das Handy erst Routen und dann das Stalker-ware drauf installieren und die dann Rootzugriff hat. In der Version mit Exploit sieht das ein bisschen anders aus da ist es auf iOS Geräten, es es passiert es immer wieder mal dass Spyware detektiert wird, erkannt wird, bewiesen werden kann dass ein Angriff mit Spyware erfolgt ist. Es ist relativ komplex an die binary ranzukommen, an die an die eigentliche Programmdatei von der Malware. Ich weiß nicht wer von euch in dem Operation Triangulation Vortrag war, das waren so gefühlte 20 Schritte von stages und Sicherheitsmechanismen und irgendwelchen anderen Sachen bis dann final die eigentliche Datei auf dem Handy gelandet ist. Vermutlich weil die verhindern wollten dass Leute die eigentliche Spyware haben und analysieren können rauskriegen können, ja was tut sie denn jetzt eigentlich. Und dadurch dass das alles so ein bisschen im Verborgenen passiert, diese Exploits werden gehandelt auf einem Grau- bis Schwarz-markt und vor allem dadurch dass Leute, die mit Exploits Geräte angegriffen haben und kompromittiert haben, technisch gesehen in der Lage sind alles mögliche an diesem Gerät zu manipulieren und zu verändern. Es es ein relativ komplexes und undurchsichtiges Feld indem man auch jetzt keinen Anspruch hat als analysierende Stelle alles finden zu können, das ist was anderes bei bei Systemen, wo man bestimmte Annahmen bestimmte Integritätsmaßnahmen vertrauen kann sagen kann, ok wenn da was wäre würde man es sicher da und daran sehen. Das gilt hier nicht mehr wenn man davon ausgehen muss dass Leute vollständig das System kompromittiert haben und theoretisch alles verändern können. Das heißt letztlich ist es eine Art von Katz und Mausspiel von Leute schreiben Stalker-ware schreiben also staatlich finanzierte Unternehmen schreiben komplexes Spyware, kaufen Exploits ein, melden die nicht, sondern benutzen sie um Menschen aus der Zivilgesellschaft zu hacken und dann gibt es NGOs, die finden das und dann passiert es aber manchmal dass die Unternehmen dann wieder rauskriegen: oh ja woran haben die das erkannt? und dann verändern Sie das oder sind besser darin werden besser darin Spuren zu verwischen, und dann es geht immer weiter und es zieht immer weiter diese Kreise und natürlich ist auch das, was wir hier heute erzählen, nicht alles das was wir wissen und es ist auf gar keinen Fall alles das was überhaupt an Spuren existiert da draußen, das muss man schon so zueinander abgrenzen. Eine weitere Sache die wichtig ist zu erwähnen, wir sind wir haben nicht wahnsinnig viel Expertise was Stalking und Antistalking angeht also Stalker-ware und Antistalking und hier sind zwei sehr gute Websites, die wir euch empfehlen können, falls ihr davon selber betroffen seid, falls ihr mal Menschen helfen wollt, die davon betroffen sind. Das ist der Ort an dem wir das weiterleiten würden. Wir fanden es trotzdem vielleicht eine gute Idee, dass hier diese ganze Stockerware Komponente technisch mit reinzunehmen, weil natürlich technisch gesehen das schon Gemeinsamkeiten hat, wie diese Apps funktionieren, was sie so tun, wie sie versuchen zu funktionieren und deshalb versuchen wir hier einfach einen technischen Überblick zu geben, wie man diese Sachen erkennen würde und wie die funktionieren. Und jetzt erklärt euch Janiik ein bisschen was zu Methodik. J: Genau zur Methodik also wir haben ja schon gelernt, wir können jetzt leider nicht einfach den flashpeicher aus unserem Smartphone auslöten, den wieder woanders dran löten und alles auslesen. Natürlich meistens kann ich ein Smartphone per USB oder Lightning oder über WiFi an den Laptop anschließen und ein Backup machen oder ähnliche Sachen und das ist auch was wir hauptsächlich tun, aber bevor wir zu solchen Sachen kommen würde ich euch erstmal sagen, nimmt einfach das Gerät mal in die Hand entsperrt ist und es geht ja meistens bei Überwachung um Messenger, weil man ist ja von der klassischen Telekommunikationsüberwachung, wo man einfach bei der Telekom z.B sagt hör mal bitte den Anruf mit und leite den hier weiter an die Polizei und dann hören wir mit. Zu dieser sogenannten Quellentelekommunikationsüberwachung also eigentlich dem komprimentieren von Geräten übergegangen, weil man dann vor Verschlüsselung die ja jetzt eigentlich in fast jedem Messenger implementiert ist wie in WhatsApp in Signal teilweise in Telegram und Anderen. Genau weil we das da gibt kann man eben nicht mehr einfach die Nachrichten ausleiten, genau und deswegen würde ich erstmal alle diese Messenger Apps aufmachen denn diese Messenger Apps die haben alle eine Funktion dass man die Nachrichten nicht nur am Smartphone lesen kann, sondern auch an seinem Laptop, an seinem Desktopcomputer und dass man die da verbinden kann, und das ist tatsächlich der einfachste Weg um diese Nachrichten ausleiten zu können, weil das ist ja eine Funktion die zum Nachrichten ausleiten gebaut ist. Natürlich ist sie dafür gedacht, dass man das nur selber macht aber wenn man z.B eine Zeit lang keinen Zugriff auf sein Gerät hatte, weil man bei einer Grenzkontrolle sein Passwort rausgeben musste oder weil vielleicht Sicherheitsbehörden in die eigene Wohnung eingedrungen sind, wo man seine Geräte da hatte und dies geschafft haben das Passwort zu umgehen, oder eben in dem Stalking Fall eben ja Menschen, die einem irgendwie nahe Zugriff auf das Gerät haben, können diese Funktion natürlich benutzen, sie mit Ihrem Laptop verbinden und die Nachrichten mitlesen. Das kann man aber zum Glück einfach nachschauen in diesen Apps. Ich habe hier ein paar Screenshots mitgebracht von iOS WhatsApp, iOS Signal und Signal auf Android. Da geht ja die Einstellung von euren Apps geht auf Link Devices und dann seht ihr da welche Geräte verbunden sind genau. Da sollten dann eure drin stehen und wenn nicht dann könnt ihr da auch Geräte die verbunden sind entfernen. Das ist tatsächlich auch eine Methode, die die deutsche Polizei nachweislich nutzt. Der Link hier unten ist ein Artikel von netzpolitik.org, wo ein internes Dokument der deutschen Polizei veröffentlicht wurde, die eben genau beschreiben, dass Sie diese Funktion benutzen um Messenger wie WhatsApp und Signal abzuhören. Genau wenn wir jetzt aber übergehen zu wir schließen so ein Smartphone an unsere Computer an, dann gibt es ein Tool was wir sehr viel benutzen, was wir euch auch sehr nah legen können, das ist MVT das mobile verification Toolkit, das wurde entwickelt von Amnesty Tech 2021 im Rahmen des Pegasus Projekts. Das Pegasus Projekt sagt vielleicht vielen was, da wurde 2021 eine Liste an tausenden Handynummern geleakt, die Alle angegriffen wurden mit der SpyPegasus und Amnesty Tech und andere haben da eben forensische Analysen durchgeführt von Leuten die sie identifiziert haben, die auf dieser Liste standen und dazu auch tooling entwickelt und dieses tooling am Ende auch veröffentlicht. Und das ist eben MVT, MVT hat verschiedene Möglichkeiten z.B kann es iPhone Backups analysieren, die man mit iTunes oder auch mit Software auf Linux vorher erstellt hat. Analysieren das past da vor allem SQLite Datenbank oder plist Dateien solche Sachen und bereitet die auf zu strukturierten JSON Format, die man viel schöner lesen kann als wenn man das handisch macht, und bei Android funktioniert das über die ADB Schnittstelle Android Debugging Bridge, wo man auch eben auf gewisse Daten von Android Smartphones zugreifen kann, z.B welche Apps sind da installiert. Das erzählen wir euch aber alles später im Detail, wie man das händisch macht und wie MVT das erleichtert. Genau wie sieht das aus auf iOS? Das ist jetzt sind die Schritte für Linux es gibt eine super Toolchain auf Linux für Apple Geräte und wie man über USB Lightning auf die zugreift und das ist libImobiledevice wo das alles nachgebaut wird was sonst in iTunes passiert und das stellt eben z.B dieses Tool iDevice Backup 2 zur Verfügung. Ja wie bereits schon bisschen angesprochen, theoretisch kann man die Geräte jailbreaken und dann eben auf mehr Dateien zugreifen, weil so ein Backup von dem iPhone inkludiert nicht alles z.B sind Signal Nachrichten nicht enthalten und auch gewisse Systemdateien z.B irgendwelche System Binaries sind da nicht enthalten, weil die braucht man nicht um das wiederherzustellen, weil die sind auf einem iPhone wo man Backup wiederherstellen will natürlich schon drauf, das würden wir euch aber nicht empfehlen, wenn ihr nicht wirklich genau wisst was ihr tut, weil ihr macht dadurch auch euer Gerät unsicherer ja und manipuliert vielleicht auch vorher das Gerät bezüglich Spuren die ihr nachher vielleicht entdecken wollt. Was ihr auf jeden Fall aber machen solltet ist als erstes mit dem Tool Idevice Backup die Verschlüsselung eures Backups einzuschalten, denn Apple speichert mehr Dateien, wenn ihr ein verschlüsseltes Backup anlegt, als wenn ihr nicht verschlüsseltes Backup anliegt also das reasoning dahinter ist einfach dass Apple sich nicht sicher ist wie die Nutzer in ihre Backups speichern und da könnten natürlich dann vielleicht andere Leute drauf Zugriff haben und deswegen sind sie da vorsichtiger was sie alles in die Backups packen wenn man sein Backup nicht verschlüsselt. Deswegen wenn wir ein Backup machen, machen wir immer die Verschlüsselung an das Passwort was man dann dafür wählt ist natürlich egal muss man sich merken und sollte man danach, wenn man das dem Nutzer der Nutzerin zurückgibt wieder auf was Gutes setzen. Ja genau dann macht man einfach sein Backup, das Backup ist ja jetzt verschlüsselt, MVT bietet zum Glück auch ein Tool an um diese Backups wieder zu entschlüsseln, hier ist der Befehl, könnt ihr nachher auf den Folien einfach nachlesen und dann kann man MVT noch mal sagen, ja jetzt nimm dies verschlüsselte Backup und analysier das einmal parse alle SQL Datenbanken und schreibt mir das schön sauber auf und genau. Ähnlich auf Android hier gilt das Gleiche man könnte die Geräte Rooten, es ist bei Android aber so dass meistens wenn man die Geräte rootet muss man die ganzen Daten die darauf sind löschen und erst dann erlaubt der Bootloaders ein gewisse Änderung vorzunehmen mit denen man üblicherweise Geräte auf Android rootet, manchmal gibt's auf Android auch exploits mit denen es möglich ist Rootprivilegien zu erlangen und dann könnte man natürlich auch auf weitere Dateien wie System Binaries zugreifen, das ist aber wieder was das macht man nur wenn man weiß was man tut und das geht auch wirklich nur sehr selten auf sehr wenig Geräten. Deswegen extrahiert man meistens Dateien mit MVT über diese ADB Schnittstelle, wie erwähnt, hier ist das Command das zu tun. Das schreibt euch dann die Ergebnisse in den Ordner eurer Wahl. Was man bei Android zum Glück auch machen kann ist die Dateien der Apps die APK Dateien, die kann man auch herunterladen und MVT erleichtert einem das hier ist auch wieder das Command dafür und man kann die sogar auf Virustotal hochladen, das ist ein Dienst im Internet der ganz viele verschiedene Virenscanner benutzt und euch dann anzeigt bei wie vielen das als Virus erkannt wurde. Genau jetzt ist es so, es gibt zwei unterschiedliche Arten wie man Malware finden kann, wir nennen das primäre und sekundäre Funde, das was jetzt z.B bei Operation Triangulation gesehen habt ist ein primärer Fund, weil man hat wirklich die gesamte Exploit chain nachvollziehen können und man hat am Ende oder auch in anderen cases hat man dann auch wirklich die Binaries gefunden und konnte genau sehen welche Funktionalität war eingebaut in diesem Staatstrojaner, das ist leider nicht immer möglich was es dann oft gibt sind sekundäre Funde und hier sieht man dann z.B wenn es jemand anders mal geschafft hat so ein Pegasus irgendwo zu entdecken, hat er dann den Prozessnamen meistens in den Bericht geschrieben und dann kann man eben später sich darauf berufen, wenn jetzt irgendwas einen sehr dubiosen Prozessnamen hat, den es eigentlich von der legitimen App nicht gibt den wer anders nachgewiesen hat, dass das Malware ist und man findet das dann weiß man auch, ah das ist jetzt mit hoher Wahrscheinlichkeit das Gleiche. Dieses Prinzip basiert auf diesen indicators of compromise oder kurz IOCs, hier ist noch mal kurz eine Definition indicators of compromise in der Computer forensic sind eben Artefakte im Netzwerk oder ein Betriebssystem, die eben sagen wenn man die findet dann hat man mit hoher Wahrscheinlichkeit hier solche Malware gefunden. Hier sind drei Listen von solchen IOCs, die wir euch empfehlen würden, die sind auch in MVT alle automatisch includiert aber wenn ihr da mal selber z.B nachgucken wollt sind welche zu Stalker-ware oder eben auch zu spyware. Was man sonst noch machen kann ist eine Trafficanalyse und zwar muss ja eine Spyware immer irgendwie Traffic transmitten über WLAN über Mobilfunk und das kann man sich auch angucken. Da gibt's ein cooles Tool das heißt tinycheck, das wurde mal von Kaspersky entwickelt für Frauenhäuser um da eben speziell Spyware zu finden. Das läuft optional auf dem Raspberry Pi, muss man aber nicht machen macht dann dediziertes WiFi auf, da kann man sich mit verbinden, dann wird der Traffic mitgeschnitten und es wird z.B geguckt ob bekannte command and control Server im Traffic auftauchen oder ob man auf irgendwelchen Webseiten von diesen spyware Herstellern war. Genau und jetzt erzählt euch Viktor was zu iOS Forensik. V: Ja also ihr erinnert euch an die vier Felder und wir gehen jetzt im Prinzip diese vier Felder zusammen ab. Wir starten im ersten Feld und zwar ohne Exploits also Stalker-ware auf iPhone iOS Geräten, dieses Feld ist relativ hellgrau weil da gibt's gar nicht so viel, weil aktuell gibt es wie ich schon gesagt habe kein Exploit kein jailbreak der funktioniert für iOS Geräte und deshalb ist es gar nicht so attraktiv als Stalker-ware sich da einzunisten weil man diese ganzen Sachen von ich habe Zugriff auf Messenger, ich habe Zugriff auf die Daten von anderen Apps, das geht gar nicht so ohne Weiteres. Was natürlich möglich ist, ist dass Geräte gejailbreaked sind die älter als 15.7 sind und das kann ich schon mal dazu sagen, ich glaube es gibt Anzeichen dass es einen neuen jailbreak geben wird aus der Exploit chain, die in dieser Operation Triangulation Sache gefunden wurde, das heißt vielleicht ist das in Zukunft wieder möglich aber meistens dann auch nur eher die veralteten Geräte und nicht die aktuellen Geräte zu jailbreaken. Und wenn man kein Jailbreak hat, dann ist genau es ein bisschen schwierig als Stalker-ware App weil man muss durch die Checks von dem AppStore gehen, man kann nur durch den AppStore installiert werden und z.B bei einem iPhone muss man gibt so notification so ein orangenen Punkt und so ein grünen Punkt die anzeigen ob gerade das Mikro oder die Kamera an ist oder ich glaub auch die Location Services und das ist dann natürlich nicht mehr so stealthy. Und das genau das kann man auch irgendwie in so privacy Report Sachen dann nachgucken und natürlich hat man auch überhaupt keinen Zugriff auf die Daten von anderen Apps. Was es aber gibt, das haben wir schon gesehen, wir haben irgendwann noch selber mal ein bisschen geguckt wie das so funktioniert, es gibt Stalker-ware Anbieter die z.B so iCloud Paser geschrieben haben. Also da können dann TäterInnen können irgendwie das das iCloud Passwort von Menschen besorgen und dann gibt es so Stalker-ware Services, die sich dann damit in diesem iCloud Konto einladen und alles runterladen was in dem iCloud Konto gespeichert ist. Das sind z.B so Sachen wie Notizen, Kontakte, ich weiß nicht mehr nicht also das ist so es ist so halb viel, aber genau das das geht auf das geht auf jeden Fall und das kann sein das heißt es ist immer auch keine schlechte Idee, wenn man mit so eine Situation in Kontakt kommt das iCloud password zu ändern oder zu gucken dass das sicher ist, weil darüber können auch Informationen verloren gehen. Jetzt kann es aber natürlich trotzdem sein dass Leute es schaffen an den Checks vom App Store vorbei eine App zu schmuggeln und dann wären die folgenden Sachen die Dinge die man sich angucken würde sinnvollerweise. Wir gehen davon aus ihr habt ein Backup gemacht und das liegt irgendwo und in diesem Backup schaut ihr jetzt verschiedene Dateien an. Eine der Dateien bei der sich lohnt sie sich anzuschauen sind die transparency consent and control locks, die legen am folgenden Pfad und da ist die Tabelle namens Access interessant, weil in dieser Tabelle steht drin wann welche App welche Berechtigungen angefordert hat. Also wann Welche gesagt hat hallo darf ich bitte das Mikro benutzen? Darf ich bitte die Kamera benutzen? steht da drin inklusive einem Timestamp. Diesen Timestamp kriegt ihr dann auch relativ schnell in ein menschenlesbares Format, wenn ihr es händisch machen wollt, aber das macht doch alles MVT für euch. Also ich habe jetzt bei diesen ganzen Folien, ich habe euch einmal gezeigt wie man das RAW mit einem SQLight Paser machen würde, wenn man richtig wild drauf ist, aber da gibt's eigentlich also MVT macht das gleiche und MVT macht das gut. Jedenfalls das ist die Datenbank die sich MVT anguckt, so sieht das in MVT aus, da steht dann Signal hat gefragt kann ich das Mikro benutzen an diesem Zeitpunkt. Die nächste Sache die man sich angucken kann sind die data usage Logs. Ich weiß auch wieder nicht wer von euch in dem Operation Triangulation Talk drin war, auch da hat das eine Rolle gespielt, da haben sie nähmlich vergessen diese Logs zu löschen. Die interessanten Tabellen hier heißen ZLIVEUSAGE und Zprocess und in diesen zwei Tabellen steht drin wann welche App über Mobilfunk Daten runtergeladen hat, genau genommen sogar ich glaube welcher Prozess und das ist halt spannend weil auch Dinge die kein Prozess waren sondern irgendeine Exploit stage oder sowas tauchen da potenziell auf. Diese tolle Query die man sich natürlich merkt und so kurz mal runterspult die macht euch glücklich weil sie aus dieser Datenbank die die Sachen rausholt, diese zwei verschiedenen Tabellen miteinander joint und dann kommen da schönere Daten raus, aber natürlich habe ich mir die auch nicht ausgedacht sondern die ist einfach aus der MVT Codebase kopiert und deshalb ich empfehle auch euch nicht zu versuchen das händisch zu passen sondern genau das aus der MVT codebase zu kopieren oder MVT zu benutzen. Und wenn man das dann mit MVT ausführt, dann sieht das so aus, dann sagt euch MVT wann es das erste Mal benutzt wurde, ich glaube wann es das letzte Mal benutzt wurde und was die Bundle ID ist von der Sache, die das also was was der Process Name ist und was die Bundle ID ist und genau. Das Bundle IDs sind sowas wie der eindeutige Name von Apps. Das heißt damit kann man rauskriegen okay wer hat die eigentlich Daten benutzt. Eine weitere Sache die man sich angucken kann und die ist sehr interessant vor allem wenn man davon ausgeht dass alle Apps die auf dem Handy sind, Apps sind die installiert sind, weil man davon ausgeht, dass niemand irgendein Exploit hatte ist die Liste der installierten Applikationen, applications Apps, die ist in der info.plist Datei drin die liegt auch topl Level in eurem Backup drin und diese Datei kann man mit plist util parsen, das ist auch ein Tool was glaube ich auch in den Packs App Store package Stores von den meisten Linux Distributionen drin ist. plist ist so ein ganz komisches Format was sich das Apple Universum ausgedacht hat und ich glaube da kommen XML Dateien raus, wenn man das in normale Formate überführt hat. Da steht dann auch drin die Bundle IDs von den Apps die installiert sind und teilweise auch der Name und wenn ihr euch jetzt fragt na was ist denn jetzt das genau für ein Ding im App Store, dann kann ich euch als Tipp verraten dass zumindest aktuell auf der website also wenn man im Browser im App Store sich eine App anguckt bei Apple, dann kommt im und da auf view source klickt oder sich irgendwie den Sourcecode anguckt dann kommt da der Bandel ID Name vor. Das heißt das ist der der Mechanismus mit dem ihr, ihr habt eine Bandel ID irgendwo gelesen und wollt wissen was ist den das genau für ein Ding, mit dem ihr das zueinander connecten könnt und dann kann man auch möglicherweise die Person Fragen, hey pass mal auf, hast du das schon mal gesehen, kommt das von Dir hast du das runtergeladen? und damit kann man klären wenn da interessante merkwürdige weirde Dinge auftauchen wo die jetzt hergekommen sind und ob die da sein sollen. Ja genau die weitere Sache ist dass in MVT bereits wie Janik schon gesagt hat eigentlich eine Liste von sehr sehr vielen IOCs und anderen Merkmalen von Stalker-ware bereits drin steckt von frei tollen freiwilligen Menschen, die das Pflegen und ich glaube so automatisierte Skripte haben die das immer neu generieren und auch die Malware Samples hochladen davon, das heißt mein Bauchgefühl wäre ohne jetzt allzu viel empirische Daten zu haben, man hat relativ gute Chancen mit mit MVT Stalker-ware zu finden zu detektieren einfach, weil es da sehr lange IOC Listen gibt ja. Und sehr viel davon schon verzeichnet ist und das auch glücklicherweise alles automatisch passiert, also ihr müsst nicht das dann selber runterladen und sagen ja hier bitte diese Stalker-ware Liste, sondern wenn ihr aus dem gitrepo von MVT MVT installiert oder aus den Python packages und MVT ausführt, dann macht das das alles automatisch und benutzt Check gegen dieses Stalker-ware Indikatoren. Ja wir kommen zum State-Sponsored Spyware Teil zu den Sachen mit Exploits da gibt es natürlich die Sachen die wir schon gesagt haben und noch ein paar mehr z.B ist es lohnenswert sich anzugucken welche Einträge die Safari History hat, weil man kann da eigentlich zwei Sachen finden. Das eine ist man kann Exploit URLs finden von One Click Exploits vielleicht wart ihr in dem Predator Files Vortrag von donncha gestern glaube ich. Da hat er z.B erzählt dass in den meisten Fällen die Intelexa Software nur mit One Click Exploits installiert werden kann, weil die Browser Exploits haben und. Da hat man z.B dann eine Chance wenn sie das nicht gelöscht haben die URL zu finden von dem Server der die Website ausgeliefert hat, die den JavaScript Exploit vermutlich hatte , die andere Sache die man da finden kann sind Spuren von Redirects und Redirects würden passieren wenn man eine Network injection Attacke hatte. Das sieht ungefähr so auch aus auch das hat donncha gestern in dem Vortrag angerissen, ist auch ein Foto von denen. Das würde nämlich so passieren dass ein Handy eine HTTP Verbindung zu irgendeinem Server aufbaut und irgendwo auf der Route auf der Strecke entweder ein insy Catcher oder eine Kiste bei dem Internet Provider bei dem Telco Provider dann sehr schnell als Antwort auf diesen HTTP Request ein Redirect zurückschickt der sagt nee pass mal auf was du suchst ist nicht mehr bei dieser legitimen Seite sondern bei unserer schönen shady URL wo du gleich ein Exploit runterladen wirst und das Handy ist dann so ah ja okay gut ist ja nicht mehr da ist jetzt hier und quasi lädt sich dann die andere Sache runter, und was man dafür braucht ist dass man als Mittelstation muss man relativ schnell diesen Redirect schicken können, das heißt es ist einfach spannend hier auf der Folie ist das zu gucken z.B kam einfach insanely schnell nach dem Aufruf von irgendeiner URL ein Redirect, also irgendwie Millisekunde später oder weniger oder also einfach sehr sehr schnell wo man so überlegt ist das jetzt plausibel, dass der andere Server schon geantwortet hat? Das wären z.B Dinge die man da finden könnte. Was man auch finden kann ist dass Leute sich nicht gescheit anstellen beim Löschen von Daten aus Datenbanken. Was z.B passieren kann und davon hat in diesem citizen Lab Report wird davon erzählt, ist das zu einem Zeitpunkt Pegasus in der data usage SQLite Datenbank die ich euch schon gezeigt habe Prozesseinträge nur in der einen Tabelle aber nicht in der anderen Tabelle gelöscht haben und das ist eine Sache das würde das Handy nie tun, weil das immer entweder in beiden Tabellen oder gar nicht auftaucht, das heißt man kann da einfach gucken Mensch finden wir eigentlich Prozesseinträge mit Datentransferspuren in der einen aber nicht in der anderen Tabelle und wenn ja dann ist das ein sehr eindeutiges Zeichen, weil das halt in der freien Wildbahn sehr selten passiert und mit dieser Version von Pegasus dann eben doch. Und das ist z.B auch eine Sache mit der man ja eine Chance hat zu feststellen zu können, ok hier ist was komisches passiert. Genau die data usage ist natürlich auch hier relevant das habe ich gerade schon erzählt ja. Das ist jetzt z.B der mdns responder das sind aufgelöste DNS queries, da würde man auch andere Prozesse das also es ist auch es erfordert würde ich auch sagen so ein bisschen Übung sich da reinzulesen und so ein bisschen auch ein Gefühl davon zu kriegen was ist normal und was ist komisch. Es ist total empfehlenswert auch einfach mal von Friends oder einfach mal selber ab und zu sowas zu machen, bei sich selber drauf zu gucken um so ein Gefühl dafür zu kriegen und einfach da mal so durchzuscrollen, was sind denn gutartige Sachen die so einfach die ganze Zeit auf iPhones passieren dann kriegt man ein bisschen auch ein Gefühl dafür für welche Dinge vielleicht erstmal weird aussehen aber einfach die ganze Zeit passieren und einfach gutartig sind, weil sie von vom iPhone selber kommen. Was man auch tun kann ist sich die timestamps von den Dateien im im Backup anzugucken, das würde man machen indem man erstmal das Backup entschlüsselt der Schritt taucht auch auf in Janiks Liste dann sieht das erstmal so aus ohne doch genau wenn es ja dann sieht es erstmal so aus das Backup. Dieser decrypted Ordner hier der ist da nicht den habe ich so genannt, aber das sind erstmal bisschen ungeil, weil iPhone Backups funktionieren so dass alle Dateien benannt werden nach ihrem eigenen Hash und dann werden sie einfach in Ordner gespeichert die, wo sie gruppiert sind nach den ersten zwei Stellen von ihrem eigenen Hash und das das natürlich jetzt ziemlich ungeil in diesem Ding irgendwie Dateien zu suchen und sich anzugucken ok, was hast du für ein Timestamps noch auf den ersten Blick rauszukriegen, liebe Datei bist du interessant für mich. Was man da tun würde wäre das Backup zu rekonstruieren, das ist mich nicht besonders schwer die die ursprüngliche Pfahdstruktur wiederherzustellen, da gibt es z.B ein Tool, was ich jetzt nicht noch mal getestet habe vor dem Vortrag (shame on ME) aber ich glaube es funktioniert, ich glaube es gibt auch Andere das kriegt ihr hin das kann man auch in Stunde oder sowas selber programmieren. Jedenfalls es gibt die manifest.plist Datei da steht drin, das sind die Hashes das sind die eigentlichen Dateinamen und ich glaube auch der Timestamp und daraus kann man so ein bisschen den den ursprünglichen Dateipfad wieder rekonstruieren. Wenn man das gemacht hat hat man einen Ordner wo die Sachen ihre richtigen timestamps haben und genau die eigentlichen Dateien sind, wie sie vom iPhone aus dem iPhone gepurzelt sind und dann könnte man z.B mit diesem schönen oneliner sie sortieren nach dem ich glaube modified Timestamp und dann genau würde man sehen was z.B in einer Zeitzone passiert ist in der interessiert was da los war. Also angenommen weiß ne in dieser in dieser Range keine Ahnung wurde das Handy der Person abgenommen oder so dann könnte man da gucken, sehen wir da spannende Sachen? Eine weitere Sache nach dem man gucken kann sind SMS Anhänge, das waren z.B .gif files in dem forced entry Exploit vom Citizen das war auch das citizen Lab analysiert und vorgestellt hat, da hat man z.B einfach gesehen dass da 20 .gif Anhänge ganz schnell hintereinander angekommen sind, ja und dann sieht man natürlich auch okay das ist hier irgendwie merkwürdig. Auch in crashlocks kann man interessante Artefakte finden auch z.B wenn jetzt irgendwie eine eine Komponente von eurem Handy ganz oft hintereinander crasht, vor allem wenn man das nicht erwarten würde, das ist glaube ich auch in diesem Force entry Dings passiert, dass ich glaube z.B der iMessage Prozess ganz oft gecrasht ist, weil eben ganz oft Sachen ankamen die manchmal funktioniert haben und manchmal nicht. Da kann man dann Spuren finden. Eine weitere Sache noch und zwar einfach nur so ein Transfer in diesem Vortrag von Operation trangulation haben die auch selber gezeigt dass sie in der data usage und Manifest alles Dinge die kennt und versteht, verschiedene Sachen hintereinander gesehen haben bei der ersten stage von dem Exploit den sie da beobachtet haben und zwar das war erstmal dass der iMessage Prozess der einem Transfer Agent Sachen runterlädt, eine Datei wird angelegt und dann wird ein Prozess aktiv den den es da eigentlich nicht geben sollte und dieses Bündel an Dinge die hintereinander passieren dann irgendwie relativ bemerkenswert ist und identifizieren das Verhalten für diesen Angriff und genau an an solchen Sammlungen von Dingen die schnell hintereinander passieren kann man auch Malware finden. Und damit gebe ich weiter an Janik der euch Sachen zu Android zeigt. J: Genau wir müssen mal schauen, wie schnell wir das schaffen und ob wir noch Zeit für Fragen haben aber ansonsten haben wir auch noch ein Workshop in zwei Stunden genau. Ja aber zu Android es ist ein bisschen das Gleiche aber man muss schon sagen dass Android weniger solche Logdateien schreibt auf die man zugreifen kann um die forensisch zu analysieren im Vergleich zu iOS, einige Sachen sind aber ähnlich z.B kann ich mir hier auf Android auch angucken welche Applikationen sind installiert, das kann ich natürlich auch auf dem Gerät machen und bei Stalkerware werde ich da vielleicht auch fündig, man kann dann auch manchmal Apps verstecken genau. Wie man es macht wenn man es an den PC anschließt ist man benutzt ADB und über adb shell kann man eben commands auf dem Telefon direkt ausführen das werdet ihr jetzt eigentlich häufiger sehen in den Folien und zwar mit dem Tool PM kann man sich die Packages Listen das -U ist dafür dass man auch den uninstallierte Applikationen sieht, das i ist dafür dass man sieht wer hat diese App installiert das besonders spannend und das F zeigt einen auch an wo die Datei liegt dieser App genau, hier habe ich euch ein Screenshot gemacht wie das aussieht und hier sieht man jetzt z.B Installer ist com Google Android package Installer, das ist der Standard Installer wenn ihr z.B euch eine App runterladet mit Chrome auf eurem Android Telefon da drauf klickt und installieren klickt, dann sieht das so aus, das ist also unauffällig für Staatstrojaner aber für Stalker-ware eventuell interessant. Was man bei Staatstrojaner z.B auch manchmal sieht ist dass da einfach nan steht weil wenn man ein Exploit hatte und der hat dann irgendwie geschafft die Applikation zu installieren oder der hat die eben einfach dahineschoben wo die Apps sind und das nicht eingetragen dann steht da nan, was man manchmal noch sieht sind Systemdateien von gewissen Herstellern wie hier ist jetzt was bekanntes von Samsung, da kann man dann auch nachgucken. Da gibt's noch weitere Informationen zu es ist leider alles nicht so schön über dieses Interface aber man kann hier z.B wenn man wissen will was sind Systemdateien, was sind third party Apps und was sind disabled Apps dann kann man das Filtern mit den parametern -s -3 und -d und das ist z.B spannend wenn ich sehe manche Apps sind disabled das wird z.B mit Systemdateien gerne System Apps gerne gemacht statt sie zu deinstallieren dann kann ich hier gucken wenn z.B so es gibt so bei Samsung z.B so Security Services die in Apps laufen und wenn die disabled sind dann ist das schon so eine Alarmglocke für hier ist vielleicht Malbare. Genau dann gibt's noch das Tool Dumpsys und mit dem Tool Dumpsys kann ich wenn ich ein konkretes package angebe mir noch weitere Dateien mir weitere Informationen dazu anschauen und das ist sind z.B die installationszeitpunkte. Oft hat man wenn man Fall analysiert zu Zeitpunkte die interessant sind, wenn jemand eine Grenze übertreten hat oder wenn das Gerät bei der Polizei war, weil weil es beschlagnammt wurde und dann kann ich hier sehen, wann wurde es installiert, wann wurde es das letzte Mal geupdated und was ich auch sehe ist welche Permissions hat es angefragt. Genau was auch spannend ist sind die sogenannten intens die Intents sind sowas wie Hooks die Apps notifying wenn gewisse Dinge im System passieren. Und da gibt's verschiedene Beispiele z.B Wenn es eine ausgehende SMS gibt wenn es eine eingehende SMS gibt. Das hat legitime Anwendungsfälle z.B eine eingehende SMS ist interessant für so Smsverifizierung bei Apps bei Signal bei Whatsapp wird die App dann benachrichtigt und wenn sie die Permission hat, kann sie die dann auch abfragen und die Verifikation machen. Was ist auch auch gibt es Boot complete, das kann interessant sein wann schaltet jemand sein Handy aus wann schaltet das wieder ein z.B wenn Leute von der Demo ihr Handy ausmachen und dann wieder anmachen, dann kann ich das hier auch finden. Und das sind die anderen die ich hier euch gelistet hab, outgoing SMS, SMS data received, new outgoing call, das sind alles welche die Pegasus nachweislich benutzt hat um notified zu werden, wenn z.B neuer Anruf startet und dann ein Prozess zu starten der diesen Anruf aufzeichnet und dann ausleitet, also das ist auch besonders spannend, wenn die App diese Dinge diese Intents anmeldet beim Betriebssystem. Genau das alles ist wieder das Gleiche wie bei AOS macht auch MVT für euch und dann kriegt ihr so ein aus eine Ausgabe in der Json Datei und da müsst ihr nicht diese ganzen commands eingeben und das wird alles schön gruppiert für euch. Ihr seht dann welche App ist das was der package Name von wem wurde es installiert, ist sie disabled oder nicht, ist es eine System app, ist es eine third party App, welche Permissions hat sie, wo liegen die Dateien dazu, das also super hilfreich. Und was man eben auch machen kann bei Android ist APKs runterladen hier ist noch mal der manuelle weg, ich würde mir erst wie eben alle packages anzeigen lassen dann würde ich mir den Pfad anzeigen lassen zu der zu der App und dann kann ich mit ADP pull kann man beliebige Dateien herunterladen von Android Telefon und die krieg ich dann so eben auch. Ist ein komischer Pfad aber kann man einfach copypasten und dann habt ihr die APK und dann könnt ihr die natürlich reversen, APKs sind einfach nur zipdateien die sind dann auch noch signiert aber im Prinzip kann man die auspacken und dann liegt da kompiliertes Java oder kotlin drin. Was man aber auch machen kann ist die bei Virustotal hochzuladen, da hat MVT tooling für euch, da müsst ihr euch einmal ein API key besorgen zu Virustotal und dann könnt ihr die hochladen und dann kriegt ihr hier eine schöne Tabelle welche Apps welches Ergebnis bei Virustortal hatten und hier seht ihr jetzt in dem Beispiel den Package- name, den ich zensiert habe weil wir später ein Workshop da könnt ihr diese Stalker-ware auf dem Android Telefon finden die wurde jetzt bei 39 von 76 Virusscannern bei Virustotal eben als malicious erkannt und da kann man dann schon aus davon ausgehen dass das ist. Genau dann gibt bei Virustotal noch die accessibility Services. Die accessibility Service sind ja Apps die man sich installieren kann für Barrierefreiheit, was eigentlich ein richtig cooles Feature ist und auch dass das so modular ist, weil man je nachdem welche Hilfen man braucht um sein Telefon barrierefrei oder arm nutzen zu können da gewisse Apps runterladen kann und die dann aktivieren und deaktivieren kann, aber damit sowas funktioniert haben diese accessibility Services so Berechtigungen, dass die alles auf eurem Bildschirm lesen en können und auch z.B Buttons klicken können. Und dann können diese Apps z.B auch verhindern wenn ihr in die Einstellung geht und deinstallieren drückt, dann kann das das Lesen kriegt das mit und klickt dann für euch direkt auf abbrechen und dann könnt ihr nicht auf ja ok ich bin mir sicher bitte deinstallieren klicken das natürlich blöd lächelt genau und das wurde in der Vergangenheit eben auch für Spyware und Stalker-ware verwendet. Google weiß das aber natürlich auch und ist ja immer restriktiver, was was das angeht und ab Android 13 geht das z.B. nur noch wenn die Apps aus dem PlayStore kommen. Das könnt ihr euch auch händisch angucken, hier ist ein Beispiel, aber gibt es auch mit MVT, ist viel einfacher, könnt euch angucken. Ich beeile mich jetzt ein bisschen. Prozesse könnt euch auch angucken, das ist vor allem interessant wenn es state-Sponsored- Spyware ist und keine einfache Stalker-ware. Ihr könnt tatsächlich einfach PS ausführen wie ihr das auf einem Linux System auch macht und dann kriegt ihr die Prozessnamen. Genau gibt's auch wieder ein Package bei MVT ja genau und jetzt kurz noch zu den Arten von Exploits die es gibt. Man unterscheidet Zero click Exploits das sind Exploit die funktionieren ohne Zutun des Opfers also man muss nicht irgendwie in der SMS auf den Link klicken damit der Exploit getriggert wird und da kann man sich dann überlegen, wo findet man sowas? Haben wir auch schon Im Anderen vortragen gehört, Basebands sind interessant, also die mobilfunk Schnittstelle eures Telefons gewisse Messenger, also es könnte natürlich Exploits geben in WhatsApp, iMessage, Signal hat man auch alles schon gesehen im Browser alles was irgendwie Daten ja beliebige Daten irgendwo aus dem Internet zieht und dann verarbeitet. Bluetooth und WiFi wären auch interessant ist mir jetzt nichts bekannt aber auch möglich. Das Andere sind eben One Click Exploits wo ich also irgendwas anklicken muss, das ist meistens ein Link und den kann ich dann aber auch finden z.B in der WhatsApp history z.B z.B MVT auch ein Feature was alle WhatsApp Nachrichten vom Telefon zieht und dann nach den Links Filter damit ihr nur die Links angucken könnt, weil es sind sonst zu viele Nachrichten und außerdem wollt ihr die ja nicht lesen, ihr wollt ja nur Malware finden und da ist das dann auch sehr hilfreich. Ja, zum Schluss nur noch ein kurzer Aufruf, bitte meldet eure Sicherheitslücken, wenn ihr die irgendwo findet, verkauft die nicht irgendwie bei zerodium oder an die nSo-Group oder an die intellex Alliance und macht damit das Internet sicherer für uns alle genau. lachtApplaus Herald: Das war doch ein sehr schöner Aufruf zum Schluss, ich wäre jetzt dafür zu den Fragen überzugehen, wenn es für euch ok ist und wir haben auch schon die ersten Leute da stehen da hinten am Mik 2. Frage: Hi ihr habt eben die accessibility Services erwähnt beim Android das ja ab Version 13 nicht mehr oder nur eingeschränkt verfügbar sind für Apps aus dem App Store und da frage ich mich jetzt, dass weil Google ja immer sehr fahrlässig ja immer fahrlässiger umgeht mit sehen APS, wie soll das dann mit afdroid funktionieren? Mit anderen App Stores und wie soll das a) einmal compliant sein mit EU Regulation aber auf der anderen Seite wie stelle ich mir das jetzt vor wenn ich jetzt z.B so was wie Password Manager habe und die aus afdroid BZI wie bitorn dann bin ich erstmal aufgeschmissen ab Android 13 so wie ich das jetzt verstehe. Antwort: Also ich bin mir nicht ganz sicher wie das funktioniert, ich habe auch schon gelesen es gibt Workarounds dafür, wenn man als User dann explizit noch mal hier und da klickt kann man es wieder aktivieren das müsste man wirklich noch mal nachgucken und wenn du dir jetzt z.B vielleicht auch eine Custom Firmware installierst kannst du natürlich da auch Andere AppStores freischalten als den PlayStore, damit die Apps die dadurch installiert werden diese Möglichkeit auch kriegen, bei Password- Managern gibt's aber eine Lösung ja also genau ich habe auch Bitwarden und es gibt da die Funktion autofill die auch dafür funktioniert und da kannst du Formulare aus en also explizit nur um Formulare auszufüllen gibt diese autofilfunktion und dann brauchst du nicht die größeren Permissions der accessibility Services. Mit EU Regulierungen kenne ich mich leider nicht aus, tut mir leid. V: Entschuldigung ich habe noch eine Sache dazwischen und zwar was wir glaube ich gar nicht so explizit erwähnt haben es gibt fast einen zweiten Teil zu dem was wir hier gerade machen in einer Stunde in J: genau 14:15 Uhr stage H, da oben steht ja V: Genau nur dass ihr das mal gehört habt und wir haben praktische Aufgaben zum selber machen ausprobieren vorbereitet und mitgebracht und eventuell falls wir auch hier nicht dazu kommen alle Fragen zu beantworten ist da noch mal Raum und Zeit für Weiteres. Herald: Genau aber wir machen jetzt weiter mit dem Signal Angel weil die Internetfragen können nicht so einfach später gestellt werden, also lieber Signal Angel. Frage vom Signal Angel: Ja das Internet möchte einmal wissen ob Telefone mit alternativen Betriebssystemen wie GrapheneOS z.B sicherer sind und ob es da auch nachgewiesene Angriffe gab. Antwort: Ja natürlich kann man alternative Betriebssysteme installieren die Wert auf Sicherheit legen GrapheneOS empfehlen wir auch häufig JournalistInnen die besonders bedroht sind. Was genau also und da gibt's wirklich sehr gute Mechanismen wie z.B mit dem neuen Pixel memory Tagging Support wirklich starke Empfehlung das zu benutzen was man bei iPhones machen kann ist den Lockdown Mode einschalten wenn ihr bei in den Einstellungen bei eurem iPhone auf security geht und ganz nach unten scrollt auf Deutsch ist das Blockierungsmodus aktiviert das da steht da noch mal was genau das verändert, aber auch eine gute Empfehlung. Spy-ware Angriffe mit Exploits auf GrapheneOS sind mir nicht bekannt ich glaube es gab noch keine das heißt aber natürlich nicht dass es nicht welche gab, also es ist natürlich trotzdem möglich eventuell sind die Exploit chains dann eben teurer. Herald: okay dann bitte Mik 1. Frage: Ja hallo meine Frage schließt genau dort an, bei griffino gibt's ja diese Auditor App die auch von denen selbst bereitgestellt wird, habt ihr damit irgendwelche Erfahrungen, macht das Sinn, vertraut ihr auch diesem attention Service den die selbst betreiben? Antwort: Genau es gibt diese Auditor App die eben verifiziert dass dein Betriebssystem noch dein Betriebssystem ist und macht das auch über Remote attestation, das heißt du hast eine kryptographische Challenge die du nur lösen kannst wenn dein Betriebssystem nicht manipuliert wurde und du Zugriff auf gewisse Keys hast und das überprüft ein externer Service und der schickt dir dann ja eine E-Mail mit so Totmannschalterprinzip, wenn das nicht geklappt hat. Das ist auf jeden Fall eine coole Lösung, kann ich empfehlen das zu benutzen wenn du dem Server von griffinOS nicht vertraust kann man ja zum Glück selber einen betreiben. Wir haben uns auch z.B mal überlegt so ein zu betreiben und JournalistInnen anzubieten haben das jetzt noch nicht umgesetzt aber du kannst ja auch ein betreiben und auch öffentlich stellen oder andere Organisationen können das machen, das ist auf jeden Fall auch eine gute Methode um mitzukriegen wann man eventuell so ein Angriff ausgesetzt wurde. Frage: Cool danke. Herald: Danke die nächste Frage aus dem Internet bitte. Frage: Das Internet möchte noch wissen wie sich das beim iPhone verhält, wenn die Methoden die ja hauptsächlich auf dem Backup und auf Fehlern von Angreifern beruhen in der Forensik, wenn sich die Angreifer verbessern und weniger Fehler machen welche Auswirkung das dann haben würde? Antwort: Also na ja das ist das deshalb gab es eine Folie mit dem Namen Katz und Mauspiel so ist bis jetzt ist der Zustand noch nicht eingetreten, dass Leute es geschafft haben völlig spurenfreie Spyware zu schreiben, aber das Problem ist also wenn man davon ausgeht Leute haben beliebig viel Zeit und beliebig viel Geld um beliebig viele Exploits zu kaufen um Sicherheitsmechanismen auszubrechen ist es natürlich technisch möglich, dass wir es irgendwann mit zweibytes zu tun haben die einfach keine Spuren mehr hinterlässt. So das würde vielleicht immer noch im Netzwerk Traffic würde man Sachen sehen aber auch das kann man ja irgendwie beliebig kompliziert verstecken, deshalb ja wir haben kein Anrecht darauf man hat kein Anrecht darauf etwas finden zu können und ja bis jetzt geht es aber das ist ungeklärt und eigentlich eine Sache je mehr Geld da reingesteckt wird in dieses Spyunternehmen und vor allem auch je schlechter die europäischen Exportkontrollen funktionieren und das Geld dann da tatsächlich auch reinwandert ja desto schlechter sieht es eigentlich aus mit der der Sicherheit von Menschen in der Zivilgesellschaft. Aber was da natürlich wünschenswert wäre ist wenn z.B iPhones auch so ein Remote adjustation Feature hätten, das könnte natürlich eine Möglichkeit sein ja und aber natürlich arbeitet Apple auch weiter in Ihrem Betriebssystem und dann kann es auch sein dass wieder irgendwo Spuren auftauchen die es vorher noch nicht gab. Herald: Mik 3 bitte. Frage: Hallo guten Morgen, kurze Frage ich habe letztens glaube ich gelesen dass Microsoft eingeklagt hat einen neuen Store auf iOS veröffentlichen zu dürfen, würde das also wie würde die Frage dazu wie würde das die Forensik bzw die Exploitmöglichkeiten von iOS verändern? Antwort: Ich glaube das hängt vor allem davon ab wie die das genau umsetzen würden. Angenommen es gibt dann genau zwei App Stores vielleicht erstmal nicht so stark angenommen es gibt Siteloading, dann gehen diese ganzen Sachen auf Analysetechniken auf die man auch bei Android die wir gezeigt haben mit, welche Apps wurden da jetzt selber installiert. Es vielleicht fallen diese also es gibt ja Mechanismen die eigentlich dazu führen sollen dass nur gutartige und nette Apps im Apple App Store landen und keine bösartigen, eventuell gibt's dann ganz viele, aber das jetzt alles Spekulation, also ich glaub da muss man einfach gucken was passiert und wie das genau umgesetzt wird ja. Herald: Mikrofon 1 bitte. Frage: Ja Frage eher an Janiik wahrscheinlich, was hältst du von dem work Mode in Android wo man so also manche verwenden um Apps zu installieren die zu den man irgendwie gezwungen wird und die man aber eigentlich nicht mehr angucken möchte. Kann man das machen oder kann man sich die Mühe da auch sparen und we was ich ein zweites Handy nehmen oder gar kein Handy? Antwort: Da kann ich dir die Dokumentation von Griffinos empfehlen der workmode ist ja nur ein besonderer sekundärer Benutzermodus also du hast ja auf Android generell die Möglichkeit keinen sekundäre Benutzer zu erstellen und für die z.B auch eigene Passwörter zu wählen und die haben dann auch andere Keys für die filebased encryption das heißt wenn man das eine Passwort knacken würde, würde man eventuell nicht auf die sekundären Nutzer zugreifen was auch ein cooles Feature ist und z.B auch hilfreich sein kann für Grenzkontrollen mit so entsperen man dein Hand und dann entsperst du nur einen Benutzer nicht den anderen und da könnte man auch coole Sachen bauen wie z.B mit einem password was anderes entsperren als beim anderen ähnlich wie be veracrypt und der workmode ist ja nur ein Shortcut dass ich nicht erst den Benutzer wechseln muss um diese App zu starten sondern ich habe die App dann automatisch in meinem primären Benutzerprofil und die startet sich dann automatisch in in diesem sekundären Benutzer ja und das ist eine zusätzliche Isolation also das ja normalerweise sowieso App Sandbox auf Android und die Apps können nur miteinander kommunizieren wenn Sie beide Zugriff auf den gleichen Datei Speeicherort haben musst du die Permission geben oder wenn Sie beide anmelden ich möchte mit der App kommunizieren die andere meldet auch an ich möchte mit der App kommunizieren, dann können Sie so eine Art Interprozesskommunikation machen und sowas würdest du unterbinden z.B wenn du den workmode benutzt. Also dann könnte nicht die App im workmode auf die anderen Apps zugreifen ja kann man benutzen auf jeden Fall für Separierung. Frage: Gut danke. Herald: Die Zeit für Fragen ist leider vorbei ich merke es ist noch großes Interesse da, ihr seid in einer Stunde im Workshop verfügbar Halle H, bitte einen riesen Applaus für Janik Besendorf und Viktor Schlüter. Applaus Abspannmusik Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!