37C3 Vorspannmusik
Herald: Unser nächster Vortrag Einführung
in die Small Smartphone Malware Forensics
sorry für den Versprecher wird gehalten
von Viktor Schlüter und Janik Besendorf.
Die beiden sind beim Digital Security Lab
von Reporter ohne Grenzen. Bitte begrüßt
die beiden zu ihrem Vortrag.
Applaus
Viktor: Ja vielen Dank! Hallo hört man
mich?
Janik: Ja jetzt vielen Dank für die schöne
Vorstellung es freut uns dass so viele
gekommen sind und der Raum voll geworden
ist. Er ist Viktor ich bin Janik in
unserem Talk geht's um Smartphone Malware
Forensic also wie man Malware das ist
jegliche Schadsoftware seines
Staatstrojaner, Stalkerware, Adware auf
Smartphones finden kann. Und genau ist ein
Einführungsvortrag ja und dazu erzählen
wir euch jetzt was. Wir arbeiten beim
Digital Security Lab bei Reporter ohne
Grenzen. Wir wurden vor eineinhalb Jahren
gegründet. Wir beschäftigen uns mit der IT
Sicherheit von JournalistInnen weltweit,
wir bieten z.B auch IT
Sicherheitstrainings an und was wir
hauptsächlich machen ist wir analysieren
digitale Angriffe auf JournalistInnen, das
sind z.B Accountübernahmen aber der
Hauptfokus sind Angriffe mit
Staatstrojanern auch bekannt als Spyware
und da machen wir Forschung dazu und man
kann sich an uns wenden, wenn man der
Meinung ist, man ist vielleicht zu einem
Angriff ausgesetzt worden und dann führen
wir eine forensische Analyse durch und
Schreiben gegebenfalls ein Bericht dazu
und warum das wichtig ist, ist eben weil
digital Angriffe meistens im Verborgenen
bleiben. Also wenn jemand einen
Staatstrojaner auf eurem Smartphone
installiert dann merkt ihr das
normalerweise nicht, das ist ja auch das
Ziel davon, ähnlich wie bei einer
Telefonüberwachung das merkt ihr auch
nicht und deswegen ist es umso wichtiger
dass forensische Analysen stattfinden dass
man sowas nachweist um es zu
dokumentieren, zu veröffentlichen und die
Angreifer dann zur Verantwortung zu
ziehen. Das waren z.B erst kürzlich
möglich bei einem Fall in Aserbaidschan,
wo wir einen Pegasus Angriff bei einer
Journalistin nachweisen konnten. Das ist
natürlich nicht der einzige solche
Angriffe davon gibt's jede Menge, hier
sind aus den letzten drei Jahren einige
Pressemitteilungen von
Staatstrojanerangriffen über Pegasus
Predator, wer das herstellt, wie das heißt
ist am Ende zweitrangig. Ein Bericht ist
von gestern in Indien, wo JournalistInnen
und OppositionspolitikerInnen angegriffen
wurden mit Pegasus, das war eine Recherche
von Amnesty Tech wo wir auch mithelfen
konnten. Genau und als nächstes erzählt
euch Viktor etwas zu den Besonderheiten
von Smartphone Forensic.
V: Test test cool hallo ja wie Ihr
vielleicht gesehen habt wir haben die
Folien auf Englisch gemacht damit es für
die Leute die die Übersetzung gucken
leichter ist, aber erzählen es auf
Deutsch. Ich hoffe auch ich für meinen
Teil werd nicht zu viel in so
englischdeutsch cauder Welsch rutschen, ja.
Es gibt ein paar Grundlagen die wir
dachten, die vielleicht sinnvoll sind,
wenn wir sie erzählen und hier
zusammenfassen. Zum einen Computer
forensics so das klassische Spiel wie man
es kennt und Smartphone Malware forensic
funktionieren relativ unterschiedlich oder
es gibt so ein paar einfach größere
Unterschiede, wie die Spiele
funktionieren. Viele von euch haben
vielleicht schon von dem klassischen Modus
gehört, das ist so, man hat einen Server
und da ist was passiert und da ist eine
Festplatte drin und davon sieht man sich
ein Image und also von physisch von allen
Blocks auf blogebene und das lädt man dann
forensic Software rein und dann guckt man
sich das Dateisystem an und schaut was da
passiert ist. Was man generell mit
Smartphones macht und vor allem auch was
wir mit Smartphones machen ist anders,
erstens weil moderne Smartphone
Betriebssysteme alle eigentlich filebased
encryption haben, das heißt auf physischer
Ebene ist das gar nicht mehr interessant,
weil jede Datei mit einem anderen
Schlüssel verschlüsselt ist und wenn der
Schlüssel weg ist kann man auch die Datei
nicht mehr rankommen, das heißt gelöschte
Dateien ist sowieso nicht. Dann ist die
nächste Sache, dass Smartphones gar keine
Funktion haben zu sagen hier ist übrigens
das gesamte Dateisystem, also hier sind
alle Dateien, die in meinem Speicher
gerade liegen. Es gibt Menschen die tun
das die Arbeiten für
Strafverfolgungsbehörden und die benutzen
dafür Exploits, das ist aber richtig
Kacke, weil das macht die Welt unsicherer
weil das ist auch Teil von diesem Exploits
verkaufen sowas Spiel. Zwei große Firmen
eine heißt der celebrite die das anbieten,
das machen wir auf gar keinen Fall, wir
nennen das zivile Forensik also in ein ein
vernehmen mit den Menschen denen die
Geräte gehören und wenn man das aus so
einer zivilgesellschaftlichen Richtung
machen möchte muss man sich mit dem
zufrieden geben, was aus dem Handy
rauskommt. Und das sind dann so
Diagnoseinformationen und da kommt die
Besonderheit dass man natürlich überhaupt
nicht überprüfen kann ob das jetzt stimmt,
weil man muss einfach den Informationen
vertrauen die aus dem Handy rauspzeln und
technisch gesehen wäre es natürlich
möglich dass Schadsoftware auf dem Handy
aktiv ist die diese Informationen
verändert. Das heißt auch das muss man
einfach auf dem Schirm haben, das wäre
möglich. Dann ist eine wichtige Sache, oft
wird so getan als wäre Malware and Spyware
verschiedene Sachen oder es wäre so
Malware Spyware das kleine Geschwisterkind
von der Malware und weniger schlimm,
bisschen so wie Quellen TKÜ und online
Durchsuchung und das eine ist ja nur auf
die Messenger Nachrichten zugreifen, das
ist natürlich Quatsch, sobald man als
Schadsoftware in der Lage sein möchte auf
irgendetwas zuzugreifen was das
Betriebssystem nicht erlaubt hat, musst du
Systemprivilegien haben, musst du auf
alles Zugriff haben können und das ist
auch der Fall. Das heißt Spyware ist auch
immer Malware und Spyware, lasst euch
niemand von niemand irgendwas anderes
erzählen, Spyware ist auch immer in der
Lage beliebige zu verändern, beliebige
Dateien zu löschen beliebige Dateien neu
hinzuzufügen, das hat riesig große
Konsequenzen eigentlich für die
Strafverfolgung, weil man gar nicht
richtig zeigen kann dass ein Handy was mit
Spyware gehackt wurde nicht auch noch
irgendwelche anderen Spuren, irgendwelche
anderen Dateien hinterlegt wurden das
würde man vermutlich auch gar nicht finden
sobald man ein Handy kompromittiert hat,
hat man das vollständig kompromittiert und
man kann eigentlich nichts mehr vertrauen,
was an Dateien darum liegt. Das Einzige
weshalb man überhaupt dann Spyware finden
kann, ist dass es natürlich auch sehr viel
fleißig und sehr viel Arbeit erfordert
alle Spuren zu vernichten, die man als
Spyware hinterlässt und das ist
glücklicherweise nicht der Fall. Man kann
unterscheiden in zwei Arten von malware
und hier ist leider irgendwas
interessantes passiert, weil da ist da
muss eigentlich eine Kröte sein,
vielleicht da da ist die Kröte genau. Ich
weiß nicht was mit der Folie aber
jedenfalls es gibt zwei Arten von Malware,
solche mit Exploits und solche ohne
Exploits. Und das Interessante daran ist
nur Malware mit Exploits kann aus der
Sandbox raushüpfen. Das kann man sich
vorstellen, ok wow, das kann man sich
vorstellen wie Tierchen die in
Plastikeimern sind und zwar das eine Tier
kann aus dem Plastikeimer raushüpfen
nämlich die Kröte, das andere kann es
nicht die Schildkröte. Und zwar dieser
Plastikeimer ist die Sandbox und nur wenn
man aus der Sandbox raushüpfen kann, ist
man in in der Lage auf Information Daten
Systemressourcen zuzugreifen, was dir das
Smartphone Betriebssystem eigentlich nicht
erlaubt. Und die Dinge, die raushüpfen
können das ist eben die die Spyware, die
zu Spionage Zwecken von staatlichen
Akteuren benutzt wird und das Interessante
ist hier diese Eploits sind sehr sehr
teuer. Also wenn man so eine Exploit chain
für Smartphone Betriebssystem ist in der
Größenordnung von mehreren Millionen Euro
teuer, das heißt das ist eine Sache das
passiert in diesem Kontext von staatliche
Überwachung, staatliche Akteure, das ist
aber eigentlich nichts was man jetzt
erwarten würde im Kontext von Stockerware.
Auf der anderen Seite genau gibt es
Malware die keine exploits hat und damit
auch fein ist und keine haben möchte und
die mehr darüber lebt dass sie über andere
Zwecke über andere Wege auf dem Handy
installiert wird und sich einfach damit
zufrieden gibt was das Betriebssystem
anbietet an Möglichkeiten. Kröte wieder
weg. Da ist sie rausgehüpft. Es geben vier
Arten von Malware gehen dann auch mit
dieser Unterscheidung, also das eine sind
die mit Exploits das andere sind die ohne
Exploits und dann haben wir Sachen für iOS
und für Android und dadurch, dass das IOS
und das Android Betriebssystem ziemlich
unterschiedlich ist, gibt es da auch keine
Kompabilität, sondern das ist wirklich
also die Spiele Malware zu entwickeln für
die eine Plattform und die andere
Plattform funktionieren relativ
unterschiedlich, weil die Plattformen
einfach ein bisschen verschieden sind und
deshalb gehen so ein bisschen vier Arten
von Malware auf. Genau, die obere Linie
das sind die Schildkröten, die können
nicht aus Sandboxes raushüpfen, die sind
da darauf angewiesen als aus der Sicht der
Malware, was das Betriebssystem Ihnen
erlaubt. Und das sieht so aus, dass bei
iPhones gibt es kein Zeit loading
zumindest aktuell zeitloading bedeutet,
dass man selber Apps installieren kann
ohne dass die aus dem AppStore kommen,
also dass man selber eine Programmdatei in
der Hand haben kann und sagen kann liebes
Handy installiere die bitte. Das geht bei
iPhones nicht. Alle Apps müssen durch den
AppStore durch. Und da gibt es auch
Anforderungen und so und die was eine App
maximal können darf das ist auch
einigermaßen eingeschränkt und es ist
aktuell zumindest auch nicht möglich ein
iPhone zu routen also genau, also die
Systemprivilegien, die sich jetzt
Mechanismen auser Kraft zu setzen und
Vollzugriff auf das ganze Handy zu
erhalten, was natürlich aus der Sicht von
so stockaway auch sehr interessant ist.
Bei Android hingegen ist das so das
Siteloading also das Installieren von
eigenen Apps, das geht. Es gibt ein paar
mehr Permissions könnte man jetzt auch
drüber streiten, was man so als App können
darf. Die ganzen interessanten Sachen muss
man natürlich als App aber auch Anfragen
von hey darf ich das bitte tun und es ist
in vielen Fällen auch möglich das Handy zu
Routen allerdings aber erst meistens
nachdem man die Inhalte von dem Handy
gelöscht hat. Also es ist jetzt nicht so
interessant ein Handy zu routen um
irgendwie auf das ganze Dateisystem
zuzugreifen, was da drauf ist, sondern es
ist im Fall von Stalkerware es ist eine
Möglichkeit dass TäterInnen das Handy erst
Routen und dann das Stalkerware drauf
installieren und die dann Rootzugriff hat.
In der Version mit Exploit sieht das ein
bisschen anders aus da ist es auf iOS
Geräten, es es passiert es immer wieder
mal dass Spyware detektiert wird, erkannt
wird, bewiesen werden kann dass ein
Angriff mit zweiware??? erfolgt ist. Es
ist relativ komplex an die binary
ranzukommen, an die an die eigentliche
Programmdatei von der Malware. Ich weiß
nicht wer von euch in dem Operation
Triangulation Vortrag war, das waren so
gefühlte 20 Schritte von stages und
Sicherheitsmechanismen und irgendwelchen
anderen Sachen bis dann final die
eigentliche Datei auf dem Handy gelandet
ist. Vermutlich weil die verhindern
wollten dass Leute die eigentliche Spyware
haben und analysieren können rauskriegen
können, ja was tut sie denn jetzt
eigentlich. Und dadurch dass das alles so
ein bisschen im Verborgenen passiert,
diese Exploits werden gehandelt auf einem
Grau- bis Schwarz-markt und vor allem
dadurch dass Leute, die mit Exploits
Geräte angegriffen haben und
kompromittiert haben, technisch gesehen in
der Lage sind alles mögliche an diesem
Gerät zu manipulieren und zu verändern. Es
es ein relativ komplexes und
undurchsichtiges Feld indem man auch jetzt
keinen Anspruch hat als analysierende
Stelle alles finden zu können, das ist was
anderes bei bei Systemen, wo man bestimmte
Annahmen bestimmte Integritätsmaßnahmen
vertrauen kann sagen kann, ok wenn da was
wäre würde man es sicher da und daran
sehen. Das gilt hier nicht mehr ween man
davon ausgehen muss dass Leute vollständig
das System kompromittiert haben und
theoretisch alles verändern können. Das
heißt letztlich ist es eine Art von Katz
und Mausspiel von Leute schreiben
stockerware schreiben also staatlich
finanzierte Unternehmen schreiben
komplexes Spyware, kaufen Exploits ein,
melden die nicht, sondern benutzen sie um
Menschen aus der Zivilgesellschaft zu
hacken und dann gibt es NGOs, die finden
das und dann passiert es aber manchmal
dass die Unternehmen dann wieder
rauskriegen: ei ja woran haben die das
erkannt? und dann verändern Sie das oder
sind besser darin werden besser darin
Spuren zu verwischen, und dann es geht
immer weiter und es zieht immer weiter
diese Kreise und natürlich ist auch das,
was wir hier heute erzählen, nicht alles
das was wir wissen und es ist auf gar
keinen Fall alles das was überhaupt an
Spuren existiert da draußen, das muss man
schon so zueinander abgrenzen. Eine
weitere Sache die wichtig ist zu erwähnen,
wir sind wir haben nicht wahnsinnig viel
Expertise was Stalking und Antistalking
angeht also Stalkerware und Antistalking
und hier sind zwei sehr gute Websites, die
wir euch empfehlen können, falls ihr davon
selber betroffen seid, falls ihr mal
Menschen helfen wollt, die davon betroffen
sind das ist der Ort an dem wir das
weiterleiten würden. Wir fanden es
trotzdem vielleicht eine gute Idee, dass
hier diese ganze Stockerware Komponente
technisch mit reinzunehmen, weil natürlich
technisch gesehen das schon
Gemeinsamkeiten hat, wie diese Apps
funktionieren, was sie so tun, wie sie
versuchen zu funktionieren und deshalb
versuchen wir hier einfach einen
technischen Überblick zu geben, wie man
diese Sachen erkennen würde und wie die
funktionieren. Und jetzt erklärt euch
Janiik ein bisschen was zu Methodik.
J: Genau zur Methodik also wir haben ja
schon gelernt, wir können jetzt leider
nicht einfach den flashpeicher aus unserem
Smartphone auslöten, den wieder woanders
dran löten und alles auslesen. Natürlich
meistens kann ich ein Smartphone per USB
oder Lightning oder über WiFi an den
Laptop anschließen und ein Backup machen
oder ähnliche Sachen und das ist auch was
wir hauptsächlich tun, aber bevor wir zu
solchen Sachen kommen würde ich euch
erstmal sagen, nimmt einfach das Gerät mal
in die Hand entsperrt ist und es geht ja
meistens bei Überwachung um Messenger,
weil man ist ja von der klassischen
Telekommunikationsüberwachung, wo man
einfach bei der Telekom z.B sagt hör mal
bitte den Anruf mit und leite den hier
weiter an die Polizei und dann hören wir
mit. Zu dieser sogenannten
Quellentelekommunikationsüberwachung also
eigentlich dem komprimentieren von Geräten
übergegangen, weil man dann vor
Verschlüsselung die ja jetzt eigentlich in
fast jedem Messenger implementiert ist wie
in WhatsApp in Signal teilweise in
telegram und anderen. Genau weil we das da
gibt kann man eben nicht mehr einfach die
Nachrichten ausleiten, genau und deswegen
würde ich erstmal alle diese Messenger
Apps aufmachen denn diese Messenger Apps
die haben alle eine Funktion dass man die
Nachrichten nicht nur am Smartphone lesen
kann, sondern auch an seinem Laptop, an
seinem Desktopcomputer und dass man die da
verbinden kann, und das ist tatsächlich
der einfachste Weg um diese Nachrichten
ausleiten zu können, weil das ist ja eine
Funktion die zum Nachrichten ausleiten
gebaut ist. Natürlich ist sie dafür
gedacht, dass man das nur selber macht
aber wenn man z.B eine Zeit lang keinen
Zugriff auf sein Gerät hatte, weil man bei
einer Grenzkontrolle sein Passwort
rausgeben musste oder weil vielleicht
Sicherheitsbehörden in die eigene Wohnung
eingedrungen sind, wo man seine Geräte da
hatte und dies geschafft haben das
Passwort zu umgehen, oder eben in dem
Stalking Fall eben ja Menschen, die einem
irgendwie nahe Zugriff auf das Gerät
haben, können diese Funktion natürlich
benutzen, sie mit Ihrem Laptop verbinden
und die Nachrichten mitlesen. Das kann man
aber zum Glück einfach nachschauen in
diesen Apps. Ich habe hier ein paar
Screenshots mitgebracht von iOS WhatsApp,
iOS Signal und Signal auf Android. Da geht
ja die Einstellung von euren Apps geht auf
Link Devices und dann seht ihr da welche
Geräte verbunden sind genau. Da sollten
dann eure drin stehen und wenn nicht dann
könnt ihr da auch Geräte die verbunden
sind entfernen. Das ist tatsächlich auch
eine Methode, die die deutsche Polizei
nachweislich nutzt. Der Link hier unten
ist ein Artikel von netzpolitik.org, wo
ein internes Dokument der deutschen
Polizei veröffentlicht wurde, die eben
genau beschreiben, dass Sie diese Funktion
benutzen um Messenger wie WhatsApp und
Signal abzuhören. Genau wenn wir jetzt
aber übergehen zu wir schließen so ein
Smartphone an unsere Computer an, dann
gibt es ein Tool was wir sehr viel
benutzen, was wir euch auch sehr nah legen
können, das ist MVT das mobile
verification Toolkit, das wurde entwickelt
von Amnesty Tech 2021 im Rahmen des
Pegasus Projekts. Das Pegasus Projekt sagt
vielleicht vielen was, da wurde 2021 eine
Liste an tausenden Handynummern geleakt,
die Alle angegriffen wurden mit der
SpyPegasus und Amnesty Tech und andere
haben da eben forensische Analysen
durchgeführt von Leuten die sie
identifiziert haben, die auf dieser Liste
standen und dazu auch tooling entwickelt
und dieses tooling am Ende auch
veröffentlicht. Und das ist eben MVT, MVT
hat verschiedene Möglichkeiten z.B kann es
iPhone Backups analysieren, die man mit
iTunes oder auch mit Software auf Linux
vorher erstellt hat. Analysieren das past
da vor allem SQLite Datenbank oder plist
Dateien solche Sachen und bereitet die auf
zu strukturierten JSON Format, die man
viel schöner lesen kann als wenn man das
handisch macht, und bei Android
funktioniert das über die ADB
Schnittstelle Android Debugging Bridge, wo
man auch eben auf gewisse Daten von
Android Smartphones zugreifen kann, z.B
welche Apps sind da installiert. Das
erzählen wir euch aber alles später im
Detail, wie man das händisch macht und wie
MVT das erleichtert. Genau wie sieht das
aus auf iOS? Das ist jetzt sind die
Schritte für Linux es gibt eine super
Toolchain auf Linux für Apple Geräte und
wie man über USB Lightning auf die
zugreift und das ist lip mobile device wo
das alles nachgebaut wird was sonst in
iTunes passiert und das stellt eben z.B
dieses Tool iDevice Backup 2 zur
Verfügung. Ja wie bereits schon bisschen
angesprochen, theoretisch kann man die
Geräte jailbreaken und dann eben auf mehr
Dateien zugreifen, weil so ein Backup von
dem iPhone inkludiert nicht alles z.B sind
Signal Nachrichten nicht enthalten und
auch gewisse Systemdateien z.B
irgendwelche System Binaries sind da nicht
enthalten, weil die braucht man nicht um
das wiederherzustellen, weil die sind auf
einem iPhone wo man Backup
wiederherstellen will natürlich schon
drauf, das würden wir euch aber nicht
empfehlen, wenn ihr nicht wirklich genau
wisst was ihr tut, weil ihr macht dadurch
auch euer Gerät unsicherer ja und
manipuliert vielleicht auch vorher das
Gerät bezüglich Spuren die ihr nachher
vielleicht entdecken wollt. Was ihr auf
jeden Fall aber machen solltet ist als
erstes mit dem Tool Idevice Backup die
Verschlüsselung eures Backups
einzuschalten, denn Apple speichert mehr
Dateien, wenn ihr ein verschlüsseltes
Backup anlegt, als wenn ihr nicht
verschlüsseltes Backup anliegt also das
reasoning dahinter ist einfach dass Apple
sich nicht sicher ist wie die Nutzer in
ihre Backups speichern und da könnten
natürlich dann vielleicht andere Leute
drauf Zugriff haben und deswegen sind sie
da vorsichtiger was sie alles in die
Backups packen wenn man sein Backup nicht
verschlüsselt. Deswegen wenn wir ein
Backup machen, machen wir immer die
Verschlüsselung an das Passwort was man
dann dafür wählt ist natürlich egal muss
man sich merken und sollte man danach,
wenn man das dem Nutzer der Nutzerin
zurückgibt wieder auf was Gutes setzen. Ja
genau dann macht man einfach sein Backup,
das Backup ist ja jetzt verschlüsselt, MVT
bietet zum Glück auch ein Tool an um diese
Backups wieder zu entschlüsseln, hier ist
der Befehl, könnt ihr nachher auf den
Folien einfach nachlesen und dann kann man
MVT noch mal sagen, ja jetzt nimm dies
verschlüsselte Backup und analysier das
einmal pas alle SQL Datenbanken und
schreibt mir das schön sauber auf und
genau. Ähnlich auf Android hier gilt das
gleiche man könnte die Geräte Rooten, es
ist bei Android aber so dass meistens wenn
man die Geräte rootet muss man die ganzen
Daten die darauf sind löschen und erst
dann erlaubt der Bootloaders ein gewisse
Änderung vorzunehmen mit denen man
üblicherweise Geräte auf Android rootet,
manchmal gibt's auf Android auch exploids
mit denen es möglich ist Rootprivilegien
zu erlangen und dann könnte man natürlich
auch auf weitere Dateien wie System
Binaries zugreifen, das ist aber wieder
was das macht man nur wenn man weiß was
man tut und das geht auch wirklich nur
sehr selten auf sehr wenig Geräten.
Deswegen extrahiert man meistens Dateien
mit MVT über diese ADB Schnittstelle, wie
erwähnt, hier ist das Command das zu tun.
Das schreibt euch dann die Ergebnisse in
den Ordner eurer Wahl. Was man bei Android
zum Glück auch machen kann ist die Dateien
der Apps die APK Dateien, die kann man
auch herunterladen und MVT erleichtert
einem das hier ist auch wieder das Command
dafür und man kann die sogar auf
Virustotal hochladen, das ist ein Dienst
im Internet der ganz viele verschiedene
Virenscanner benutzt und euch dann anzeigt
bei wie vielen das als Virus erkannt
wurde. Genau jetzt ist es so, es gibt zwei
unterschiedliche Arten wie man Malware
finden kann, wir nennen das primäre und
sekundäre Funde, das was jetzt z.B bei
Operation Triangulation gesehen habt ist
ein primärer Fund, weil man hat wirklich
die gesamte Exploit chain nachvollziehen
können und man hat am Ende oder auch in
anderen cases hat man dann auch wirklich
die Binaries gefunden und konnte genau
sehen welche Funktionalität war eingebaut
in diesem Staatstrojaner, das ist leider
nicht immer möglich was es dann oft gibt
sind sekundäre Funde und hier sieht man
dann z.B wenn es jemand anders mal
geschafft hat so ein Pegasus irgendwo zu
entdecken, hat er dann den Prozessnamen
meistens in den Bericht geschrieben und
dann kann man eben später sich darauf
berufen, wenn jetzt irgendwas einen sehr
dubiosen Prozessnamen hat, den es
eigentlich von der legitimen App nicht
gibt den wer anders nachgewiesen hat, dass
das Malware ist und man findet das dann
weiß man auch, ah das ist jetzt mit hoher
Wahrscheinlichkeit das Gleiche. Dieses
Prinzip basiert auf diesen indicators of
compromise oder kurz IOCs, hier ist noch
mal kurz eine Definition indicators of
compromise in der Computer forensic sind
eben Artefakte im Netzwerk oder ein
Betriebssystem, die eben sagen wenn man
die findet dann hat man mit hoher
Wahrscheinlichkeit hier solche Malware
gefunden. Hier sind drei Listen von
solchen IOCs, die wir euch empfehlen
würden, die sind auch in MVT alle
automatisch includiert aber wenn ihr da
mal selber z.B nachgucken wollt sind
welche zu stalkerware oder eben auch zu
spyware. Was man sonst noch machen kann
ist eine Trafficanalyse und zwar muss ja
eine Spy immer irgendwie Traffic
transmitten über WLAN über Mobilfunk und
das kann man sich auch angucken. Da gibt's
ein cooles Tool das heißt tinycheck, das
wurde mal von Kaspersky entwickelt für
Frauenhäuser um da eben speziell Spyware
zu finden. Das läuft optional auf dem
Raspberry Pi, muss man aber nicht machen
macht dann dediziertes WiFi auf, da kann
man sich mit verbinden, dann wird der
Traffic mitgeschnitten und es wird z.B
geguckt ob bekannte command and control
Server im Traffic auftauchen oder ob man
auf irgendwelchen Webseiten von diesen
spyware Herstellern war. Genau und jetzt
erzählt euch Viktor was zu iOS Forensik.
V: Ja also ihr erinnert euch an die vier
Felder und wir gehen jetzt im Prinzip
diese vier Felder zusammen ab. Wir starten
im ersten Feld und zwar ohne Exploits also
stalkerware auf iPhone iOS Geräten, dieses
Feld ist relativ hellgrau weil da gibt's
gar nicht so viel, weil aktuell gibt es
wie ich schon gesagt habe kein Exploit
kein jailbreak der funktioniert für iOS
Geräte und deshalb ist es gar nicht so
attraktiv als dockerware sich da
einzunisten weil man diese ganzen Sachen
von ich habe Zugriff auf Messenger, ich
habe Zugriff auf die Daten von anderen
Apps, das geht gar nicht so ohne Weiteres.
Was natürlich möglich ist, ist dass Geräte
gejailbreaked sind die älter als 15.7 sind
und das kann ich schon mal dazu sagen, ich
glaube es gibt Anzeichen dass es einen
neuen jailbreak geben wird aus der Exploit
chain, die in dieser Operation
Triangulation Sache gefunden wurde, das
heißt vielleicht ist das in Zukunft wieder
möglich aber meistens dann auch nur eher
die veralteten Geräte und nicht die
aktuellen Geräte zu jailbreaken. Und wenn
man kein Jailbreak hat, dann ist genau es
ein bisschen schwierig als stalkerware App
weil man muss durch die Checks von dem
AppStore gehen, man kann nur durch den
AppStore installiert werden und z.B bei
einem iPhone muss man gibt so notification
so ein orangenen Punkt und so ein grünen
Punkt die anzeigen ob gerade das Mikro
oder die Kamera an ist oder ich glaub auch
die Location Services und das ist dann
natürlich nicht mehr so stealthy. Und das
genau das kann man auch irgendwie in so
privacy Report Sachen dann nachgucken und
natürlich hat man auch überhaupt keinen
Zugriff auf die Daten von anderen Apps.
Was es aber gibt, das haben wir schon
gesehen, wir haben irgendwann noch selber
mal ein bisschen geguckt wie das so
funktioniert, es gibt stalckerware
Anbieter die z.B so iCloud Paser
geschrieben haben. Also da können dann
TäterInnen können irgendwie das das iCloud
Passwort von Menschen besorgen und dann
gibt es so stalkerware Services, die sich
dann damit in diesem iCloud Konto einladen
und alles runterladen was in dem iCloud
Konto gespeichert ist. Das sind z.B so
Sachen wie Notizen, Kontakte, ich weiß
nicht mehr nicht also das ist so es ist so
halb viel, aber genau das das geht auf das
geht auf jeden Fall und das kann sein das
heißt es ist immer auch keine schlechte
Idee, wenn man mit so eine Situation in
Kontakt kommt das iCloud password zu
ändern oder zu gucken dass das sicher ist,
weil darüber können auch Informationen
verloren gehen. Jetzt kann es aber
natürlich trotzdem sein dass Leute es
schaffen an den Checks vom App Store
vorbei eine App zu schmuggeln und dann
wären die folgenden Sachen die Dinge die
man sich angucken würde sinnvollerweise.
Wir gehen davon aus ihr habt ein Backup
gemacht und das liegt irgendwo und in
diesem Backup schaut ihr jetzt
verschiedene Dateien an. Eine der Dateien
bei der sich lohnt sie sich anzuschauen
sind die transparency consent and control
locks, die legen am folgenden Pfad und da
ist die Tabelle namens Access interessant,
weil in dieser Tabelle steht drin wann
welche App welche Berechtigungen
angefordert hat. Also wann W ich ab gesagt
hat hallo darf ich bitte das Mikro
benutzen? darf ich bitte die Kamera
benutzen? steht da drin inklusive einem
Timestamp. Diesen Timestamp kriegt ihr
dann auch relativ schnell in ein
menschenlesbares Format, wenn ihr es
händisch machen wollt, aber das macht doch
alles MVT für euch. Also ich habe jetzt
bei diesen ganzen Folien, ich habe euch
einmal gezeigt wie man das RAW mit einem
SQLight Paser machen würde, wenn man
richtig wild drauf ist, aber da gibt's
eigentlich also MVT macht das gleiche und
MVT macht das gut. Jedenfalls das ist die
Datenbank die sich MVT anguckt, so sieht
das in MVT aus, da steht dann Signal hat
gefragt kann ich das Mikro benutzen an
diesem Zeitpunkt. Die nächste Sache die
man sich angucken kann sind die data usage
Logs. Ich weiß auch wieder nicht wer von
euch in dem Operation Triangulation Talk
drin war, auch da hat das eine Rolle
gespielt, da haben sie nähmlich vergessen
diese Logs zu löschen. Die interessanten
Tabellen hier heißen ZLIVEUSAGE und
Zprocess und in diesen zwei Tabellen steht
drin wann welche App über Mobilfunk Daten
runtergeladen hat, genau genommen sogar
ich glaube welcher Prozess und das ist
halt spannend weil auch Dinge die kein
Prozess waren sondern irgendeine Exploit
stage oder sowas tauchen da potenziell
auf. Diese tolle Query die man sich
natürlich merkt und so kurz mal
runterspult die macht euch glücklich weil
sie aus dieser Datenbank die die Sachen
rausholt, diese zwei verschiedenen
Tabellen miteinander joint und dann kommen
da schönere Daten raus, aber natürlich
habe ich mir die auch nicht ausgedacht
sondern die ist einfach aus der MVT
Codebase kopiert und deshalb ich empfehle
auch euch nicht zu versuchen das händisch
zu passen sondern genau das aus der MVT
codebase zu kopieren oder MVT zu benutzen.
Und wenn man das dann mit MVT ausführt,
dann sieht das so aus, dann sagt euch MVT
wann es das erste Mal benutzt wurde, ich
glaube wann es das letzte Mal benutzt
wurde und was die Bundle ID ist von der
Sache, die das also was was der Process
Name ist und was die Bundle ID ist und
genau. Das Bundle IDs sind sowas wie der
eindeutige Name von Apps. Das heißt damit
kann man rauskriegen okay wer hat die
eigentlich Daten benutzt. Eine weitere
Sache die man sich angucken kann und die
ist sehr interessant vor allem wenn man
davon ausgeht dass alle Apps die auf dem
Handy sind, Apps sind die installiert
sind, weil man davon ausgeht, dass niemand
irgendein Exploit hatte ist die Liste der
installierten Applikationen, applications
Apps, die ist in der info.plist Datei drin
die liegt auch topl Level in eurem Backup
drin und diese Datei kann man mit plist
util parsen, das ist auch ein Tool was
glaube ich auch in den Packs App Store
package Stores von den meisten Linux
Distributionen drin ist. plist ist so ein
ganz komisches Format was sich das Apple
Universum ausgedacht hat und ich glaube da
kommen XML Dateien raus, wenn man das in
normale Formate überführt hat. Da steht
dann auch drin die Bundle IDs von den Apps
die installiert sind und teilweise auch
der Name und wenn ihr euch jetzt fragt na
was ist denn jetzt das genau für ein Ding
im App Store, dann kann ich euch als Tipp
verraten dass zumindest aktuell auf der
website also wenn man im Browser im App
Store sich eine App anguckt bei Apple,
dann kommt im und da auf view source
klickt oder sich irgendwie den Sourcecode
anguckt dann kommt da der Bandel ID Name
vor. Das heißt das ist der der Mechanismus
mit dem ihr, ihr habt eine Bandel ID
irgendwo gelesen und wollt wissen was ist
den das genau für ein Ding, mit dem ihr
das zueinander connecten könnt und dann
kann man auch möglicherweise die Person
Fragen, hey pass mal auf, hast du das
schon mal gesehen, kommt das von Dir hast
du das runtergeladen? und damit kann man
klären wenn da interessante merkwürdige
weirde Dinge auftauchen wo die jetzt
hergekommen sind und ob die da sein
sollen. Ja genau die weitere Sache ist
dass in in in MVT bereits wie Janik schon
gesagt hat eigentlich eine Liste von sehr
sehr vielen IOCs und anderen Merkmalen von
Stalkerware bereits drin steckt von frei
tollen freiwilligen Menschen, die das
Pflegen und ich glaube so automatisierte
Skripte haben die das immer neu generieren
und auch die Malware Samples hochladen
davon, das heißt mein Bauchgefühl wäre
ohne jetzt allzu viel empirische Daten zu
haben, man hat relativ gute Chancen mit
mit MVT Stalkerware zu finden zu
detektieren einfach, weil es da sehr lange
IOC Listen gibt ja. Und sehr viel davon
schon verzeichnet ist und das auch
glücklicherweise alles automatisch
passiert, also ihr müsst nicht das dann
selber runterladen und sagen ja hier bitte
diese Stalkerware Liste, sondern wenn ihr
aus dem gitrepo von MVT MVT installiert
oder aus den Python packages und MVT
ausführt, dann macht das das alles
automatisch und benutzt Check gegen dieses
Stalkerware Indikatoren. Ja wir kommen zum
State-Sponsored Spyware Teil zu den Sachen
mit Exploits da gibt es natürlich die
Sachen die wir schon gesagt haben und noch
ein paar mehr z.B ist es lohnenswert sich
anzugucken welche Einträge die Safari
History hat, weil man kann da eigentlich
zwei Sachen finden. Das eine ist man kann
Exploit URLs finden von One Click Exploits
vielleicht wart ihr in dem packasis
Predator Files Vortrag von donica gestern
glaube ich. Da hat er z.B erzählt dass in
den meisten Fällen die Intelexa Software
nur mit One Click Exploits installiert
werden kann, weil die Browser Exploits
haben und. Da hat man z.B dann eine Chance
wenn sie das nicht gelöscht haben die URL
zu finden von dem Server der die Website
ausgeliefert hat, die den JavaScript
Exploit vermutlich hatte , die andere
Sache die man da finden kann sind Spuren
von Redirects und Redirects würden
passieren wenn man eine Network injection
Attacke hatte. Das sieht ungefähr so auch
aus auch das hat donak gestern in dem
Vortrag angerissen, ist auch ein Foto von
denen. Das würde nämlich so passieren dass
ein Handy eine HTTP Verbindung zu
irgendeinem Server aufbaut und irgendwo
auf der Route auf der Strecke entweder ein
insy Catcher oder eine Kiste bei dem
Internet Provider bei dem Telco Provider
dann sehr schnell als Antwort auf diesen
HTTP Request ein Redirect zurückschickt
der sagt nee pass mal auf was du suchst
ist nicht mehr bei dieser legitimen Seite
sondern bei unserer schönen shady URL wo
du gleich ein Exploit runterladen wirst
und das Handy ist dann so ah ja okay gut
ist ja nicht mehr da ist jetzt hier und
quasi lädt sich dann die andere Sache
runter, und was man dafür braucht ist dass
man als Mittelstation muss man relativ
schnell diesen Redirect schicken können,
das heißt es ist einfach spannend hier auf
der Folie ist das zu gucken z.B kam
einfach insanely schnell nach dem Aufruf
von irgendeiner URL ein Redirect, also
irgendwie Millisekunde später oder weniger
oder also einfach sehr sehr schnell wo man
so überlegt ist das jetzt plausibel, dass
der andere Server schon geantwortet hat?
Das wären z.B Dinge die man da finden
könnte. Was man auch finden kann ist dass
Leute sich nicht gescheit anstellen beim
Löschen von Daten aus Datenbanken. Was z.B
passieren kann und davon hat in diesem
citizen Lab Report wird davon erzählt, ist
das zu einem Zeitpunkt Pegasus in der data
usage SQLite Datenbank die ich euch schon
gezeigt habe Prozesseinträge nur in der
einen Tabelle aber nicht in der anderen
Tabelle gelöscht haben und das ist eine
Sache das würde das Handy nie tun, weil
das immer entweder in beiden Tabellen oder
gar nicht auftaucht, das heißt man kann da
einfach gucken Mensch finden wir
eigentlich Prozesseinträge mit
Datentransferspuren in der einen aber
nicht in der anderen Tabelle und wenn ja
dann ist das ein sehr eindeutiges Zeichen,
weil das halt in der freien Wildbahn sehr
selten passiert und mit dieser Version von
Pegasus dann eben doch. Und das ist z.B
auch eine Sache mit der man ja eine Chance
hat zu feststellen zu können, ok hier ist
was komisches passiert. Genau die data
usage ist natürlich auch hier relevant das
habe ich gerade schon erzählt ja. Das ist
jetzt z.B der mdns responder das sind
aufgelöste DNS queries, da würde man auch
andere Prozesse das also es ist auch es
erfordert W ich auch sagen so ein bisschen
Übung sich da reinzulesen und so ein
bisschen auch ein Gefühl davon zu kriegen
was ist normal und was ist komisch. Es ist
total empfehlenswert auch einfach mal von
Friends oder einfach mal selber ab und zu
sowas zu machen, bei sich selber drauf zu
gucken um so ein Gefühl dafür zu kriegen
und einfach da mal so durchzuscrollen, was
sind denn gutartige Sachen die so einfach
die ganze Zeit auf iPhones passieren dann
kriegt man ein bisschen auch ein Gefühl
dafür für welche Dinge vielleicht erstmal
weird aussehen aber einfach die ganze Zeit
passieren und einfach gutartig sind, weil
sie von vom iPhone selber kommen. Was man
auch tun kann ist sich die timestamps von
den Dateien im im Backup anzugucken, das
würde man machen indem man erstmal das
Backup entschlüsselt der Schritt taucht
auch auf in Janiks Liste dann sieht das
erstmal so aus ohne doch genau wenn es ja
dann sieht es erstmal so aus das Backup.
Dieser decrypted Ordner hier der ist da
nicht den habe ich so genannt, aber das
sind erstmal bisschen ungeil, weil iPhone
Backups funktionieren so dass alle Dateien
benannt werden nach ihrem eigenen Hash und
dann werden sie einfach in Ordner
gespeichert die, wo sie gruppiert sind
nach den ersten zwei Stellen von ihrem
eigenen Hash und das das natürlich jetzt
ziemlich ungeil in diesem Ding irgendwie
Dateien zu suchen und sich anzugucken ok,
was hast du für ein Timestamps noch auf
den ersten Blick rauszukriegen, liebe
Datei bist du interessant für mich. Was
man da tun würde wäre das Backup zu
rekonstruieren, das ist mich nicht
besonders schwer die die ursprüngliche
Pfahdstruktur wiederherzustellen, da gibt
es z.B ein Tool, was ich jetzt nicht noch
mal getestet habe vor dem Vortrag (shame
on ME) aber ich glaube es funktioniert,
ich glaube es gibt auch Andere das kriegt
ihr hin das kann man auch in Stunde oder
sowas selber programmieren. Jedenfalls es
gibt die manifest.plist Datei da steht
drin, das sind die Hashes das sind die
eigentlichen Dateinamen und ich glaube
auch der Timestamp und daraus kann man so
ein bisschen den den ursprünglichen
dateipfad wieder rekonstruieren. Wenn man
das gemacht hat hat man einen Ordner wo
die Sachen ihre richtigen timestamps haben
und genau die eigentlichen Dateien sind,
wie sie vom iPhone aus dem iPhone
gepurzelt sind und dann könnte man z.B mit
diesem schönen oneliner sie sortieren nach
dem ich glaube modified Timestamp und dann
genau würde man sehen was z.B in einer
Zeitzone passiert ist in der interessiert
was da los war. Also angenommen weiß ne in
dieser in dieser Range keine Ahnung wurde
das Handy der Person abgenommen oder so
dann könnte man da gucken, sehen wir da
spannende Sachen? Eine weitere Sache nach
dem man gucken kann sind SMS Anhänge, das
waren z.B Punkt gif files in dem forced
entry Exploit vom Citizen das war auch das
citizen Lab analysiert und vorgestellt
hat, da hat man z.B einfach gesehen dass
da 20 .gif Anhänge ganz schnell
hintereinander angekommen sind, ja und
dann sieht man natürlich auch okay das ist
hier irgendwie merkwürdig. Auch in
crashlocks kann man interessante Artefakte
finden auch z.B wenn jetzt irgendwie eine
eine Komponente von eurem Handy ganz oft
hintereinander crasht Vor allem wenn man
das nicht erwarten würde, das ist glaube
ich auch in diesem Force entry Dings
passiert, dass ich glaube z.B der iMessage
Prozess ganz oft gecrasht ist, weil eben
ganz oft Sachen ankamen die manchmal
funktioniert haben und manchmal nicht. Da
kann man dann Spuren finden. Eine weitere
Sache noch und zwar einfach nur so ein
Transfer in diesem Vortrag von Operation
trangulation haben die auch selber gezeigt
dass sie in der data usage und Manifest
alles Dinge die kennt und versteht,
verschiedene Sachen hintereinander gesehen
haben bei der ersten stage von dem Exploit
den sie da beobachtet haben und zwar das
war erstmal dass der iMessage Prozess der
einem Transfer Agent Sachen runterlädt,
eine Datei wird angelegt und dann wird ein
Prozess aktiv den den es da eigentlich
nicht geben sollte und dieses Bündel an
Dinge die hintereinander passieren dann
irgendwie relativ bemerkenswert ist und
identifizieren das Verhalten für diesen
Angriff und genau an an solchen Sammlungen
von Dingen die schnell hintereinander
passieren kann man auch Malware finden.
Und damit gebe ich weiter an Janik der
euch Sachen zu Android zeigt.
J: Genau wir müssen mal schauen, wie
schnell wir das schaffen und ob wir noch
Zeit für Fragen haben aber ansonsten haben
wir auch noch ein Workshop in zwei Stunden
genau. Ja aber zu Android es ist ein
bisschen das Gleiche aber man muss schon
sagen dass Android weniger solche
Logdateien schreibt auf die man zugreifen
kann um die forensisch zu analysieren im
Vergleich zu iOS, einige Sachen sind aber
ähnlich z.B kann ich mir hier auf Android
auch angucken welche Applikationen sind
installiert, das kann ich natürlich auch
auf dem Gerät machen und bei Stalkerware
werde ich da vielleicht auch fündig, man
kann dann auch manchmal Apps verstecken
genau. Wie man es macht wenn man es an den
PC anschließt ist man benutzt ADB und über
adb shell kann man eben commands auf dem
Telefon direkt ausführen das werdet ihr
jetzt eigentlich häufiger sehen in den
Folien und zwar mit dem Tool PM kann man
sich die Packages Listen das -U ist dafür
dass man auch den uninstallierte
Applikationen sieht, das i ist dafür dass
man sieht wer hat diese App installiert
das besonders spannend und das F zeigt
einen auch an wo die Datei liegt dieser
App genau, hier habe ich euch ein
Screenshot gemacht wie das aussieht und
hier sieht man jetzt z.B Installer ist com
Google Android package Installer, das ist
der Standard Installer wenn ihr z.B euch
eine App runterladet mit Chrome auf eurem
Android Telefon da drauf klickt und
installieren klickt, dann sieht das so
aus, das ist also unauffällig für
Staatstrojaner aber für Stalker Wäre
eventuell interessant. Was man bei
Staatsroaner z.B auch manchmal sieht ist
dass da einfach nan steht weil wenn man
ein Exploit hatte und der hat dann
irgendwie geschafft die Applikation zu
installieren oder der hat die eben einfach
dahineschoben wo die Apps sind und das
nicht eingetragen dann steht da nan, was
man manchmal noch sieht sind Systemdateien
von gewissen Herstellern wie hier ist
jetzt was bekanntes von Samsung, da kann
man dann auch nachgucken. Da gibt's noch
weitere Informationen zu es ist leider
alles nicht so schön über dieses Interface
aber man kann hier z.B wenn man wissen
will was sind Systemdateien, was sind
third party Apps und was sind disabled
Apps dann kann man das Filtern mit den
parametern -s -3 und -d und das ist z.B
spannend wenn ich sehe manche Apps sind
disabled das wird z.B mit Systemdateien
gerne System Apps gerne gemacht statt sie
zu deinstallieren dann kann ich hier
gucken wenn z.B so es gibt so bei Samsung
z.B so Security Services die in Apps
laufen und wenn die disabled sind dann ist
das schon so eine Alarmglocke für hier ist
vielleicht Malbare. Genau dann gibt's noch
das Tool Dumpsys und mit dem Tool Dumpsys
kann ich wenn ich ein konkretes package
angebe mir noch weitere Dateien mir
weitere Informationen dazu anschauen und
das ist sind z.B die
installationszeitpunkte. Oft hat man wenn
man Fall analysiert zu Zeitpunkte die
interessant sind wenn jemand eine Grenze
übertreten hat oder wenn das Gerät bei der
Polizei war, weil weil es beschlagnammt
wurde und dann kann ich hier sehen, wann
wurde es installiert, wann wurde es das
letzte Mal geupdated und was ich auch sehe
ist welche Permissions hat es angefragt.
Genau was auch spannend ist sind die
sogenannten intens die Intens sind sowas
wie Hooks die Apps notifying wenn gewisse
Dinge im System passieren und da gibt's
verschiedene Beispiele z.B Wenn es eine
ausgehende SMS gibt wenn es eine
eingehende SMS gibt das hat legitime
Anwendungsfälle z.B eine eingehende SMS
ist interessant für so Smsverifizierung
bei Apps bei Signal bei Whatsapp wird die
App dann benachrichtigt und wenn sie die
Permission hat, kann sie die dann auch
abfragen und die Verifikation machen. Was
ist auch auch gibt es Boot complete, das
kann interessant sein wann schaltet jemand
sein Handy aus wann schaltet das wieder
ein z.B wenn Leute von der Demo ihr Handy
ausmachen und dann wieder anmachen, dann
kann ich das hier auch finden. Und das
sind die anderen die ich hier euch
gelistet hab, outgoing SMS, SMS data
received, new outgoing call, das sind
alles welche die Pegasus nachweislich
benutzt hat um notified zu werden, wenn
z.B neuer Anruf startet und dann ein
Prozess zu starten der diesen Anruf
aufzeichnet und dann ausleitet, also das
ist auch besonders spannend, wenn die App
diese Dinge diese Intens anmeldet beim
Betriebssystem. Genau das alles ist wieder
das Gleiche wie bei AOS macht auch MVT für
euch und dann kriegt ihr so ein aus eine
Ausgabe in der Jason Datei und da müsst
ihr nicht diese ganzen commands eingeben
und das wird alles schön gruppiert für
euch. Ihr seht dann welche App ist das was
der package Name von wem wurde es
installiert, ist sie disabled oder nicht,
ist es eine System app, ist es eine third
party App, welche Permissions hat sie, wo
liegen die Dateien dazu, das also super
hilfreich. Und was man eben auch machen
kann bei Android ist APKs runterladen hier
ist noch mal der manuelle weg ich würde
mir erst wie eben alle packages anzeigen
lassen dann würde ich mir den Pfad
anzeigen lassen zu der zu der App und dann
kann ich mit ADP pull kann man beliebige
Dateien herunterladen von Android Telefon
und die krieg ich dann so eben auch ist
ein komischer Pfad aber kann man einfach
copypasten und dann habt ihr die APK und
dann könnt ihr die natürlich reversen,
APKs sind einfach nur zipdateien die sind
dann auch noch signiert aber im Prinzip
kann man die auspacken und dann liegt da
kompiliertes Java oder kotlin drin. Was
man aber auch machen kann ist die bei
Virustotal hochzuladen, da hat MVT tooling
für euch, da müsst ihr euch einmal ein API
key besorgen zu Virustotal und dann könnt
ihr die hochladen und dann kriegt ihr hier
eine schöne Tabelle welche Apps welches
Ergebnis bei Virustotal hatten und hier
seht ihr jetzt in dem Beispiel den
packagen den ich zensiert habe weil wir
später ein Workshop da könnt ihr diese
Stalkerware auf dem Android Telefon finden
die wurde jetzt bei 39 von 76 wir
Virusscannern bei Virustotal eben als
malicious erkannt und da kann man dann
schon aus davon ausgehen das das ist.
Genau dann gibt bei Virustotal noch die
accessibility Services. Die accessibility
Service sind ja Apps die man sich
installieren kann für Barrierefreiheit,
was eigentlich ein richtig cooles Feature
ist und auch dass das so modular ist, weil
man je nachdem welche Hilfen man braucht
um sein Telefon barrierefrei oder arm
nutzen zu können da gewisse Apps
runterladen kann und die dann aktivieren
und deaktivieren kann, aber damit sowas
funktioniert haben diese accessibility
Services so Berechtigungen dass die alles
auf eurem Bildschirm lesen en können und
auch z.B Buttons klicken können. Und dann
können diese Apps z.B auch verhindern wenn
ihr in die Einstellung geht und
deinstallieren drückt, dann kann das das
Lesen kriegt das mit und klickt dann für
euch direkt auf abbrechen und dann könnt
ihr nicht auf ja ok ich bin mir sicher
bitte die installieren klicken das
natürlich blöd genau und das wurde in der
Vergangenheit eben auch für Spyware und
Stalkereare verwendet. Google weiß das
aber natürlich auch und ist ja immer
restriktiver was was das angeht und ab
Android 13 geht das z.B. nur noch wenn die
Apps aus dem PlayStore kommen. Das könnt
ihr euch auch händisch angucken, hier ist
ein Beispiel aber gibt's auch mit MVT, ist
viel einfacher, könnt euch angucken ich
beeile mich jetzt ein bisschen. Prozesse
könnt euch auch angucken, das ist vor
allem interessant wenn es state-Sponsored-
Spyware ist und keine einfache
Stalkerware. Ihr könnt tatsächlich einfach
PS ausführen wie ihr das auf einem Linux
System auch macht und dann kriegt ihr die
Prozessnamen. Genau gibt's auch wieder ein
Package bei MVT ja genau und jetzt kurz
noch zu den Arten von Exploits die es
gibt. Man unterscheidet Zero click
Exploits das sind Exploit die
funktionieren ohne Zutun des Opfers also
man muss nicht irgendwie in der SMS auf
den Link klicken damit der Exploit
getriggert wird und da kann man sich dann
überlegen, wo findet man sowas haben wir
auch schon anderen vortragen gehört
Basebands sind interessant, also die
mobilfunk Schnittstelle eures Telefons
gewisse Messenger, also es könnte
natürlich Exploits geben in WhatsApp,
iMessage, Signal hat man auch alles schon
gesehen im Browser alles was irgendwie
Daten ja beliebige Daten irgendwo aus dem
Internet zieht und dann verarbeitet.
Bluetooth und WiFi wären auch interessant
ist mir jetzt nichts bekannt aber auch
möglich. Das Andere sind eben One Click
Exploits wo ich also irgendwas anklicken
muss, das ist meistens ein Link und den
kann ich dann aber auch finden z.B in der
WhatsApp history z.B z.B MVT auch ein
Feature was alle WhatsApp Nachrichten vom
Telefon zieht und dann nach den Links
Filter damit ihr nur die Links angucken
könnt, weil es sind sonst zu viele
Nachrichten und außerdem wollt ihr die ja
nicht lesen, ihr wollt ja nur
Malewarefinden und da ist das dann auch
sehr hilfreich. Ja, um Schluss nur noch
ein kurzer Aufruf bitte meldet eure
Sicherheitslücken, wenn ihr die irgendwo
findet, verkauft die nicht irgendwie bei
zerodium oder an die nSo-Group oder an die
intellex Alliance und macht damit das
Internet sicherer für uns alle genau.
Applaus
Herald: Das war doch ein sehr schöner
Aufruf zum Schluss, ich wäre jetzt dafür
zu den Fragen überzugehen wenn es für euch
ok ist und wir haben auch schon die ersten
Leute da stehen da hinten am Mikrofon 2.
Frage: Hi ihr habt eben die accessibility
Services erwähnt beim Android das ja ab
Version 13 nicht mehr oder nur
eingeschränkt verfügbar sind für Apps aus
dem App Store und da frage ich mich jetzt,
dass weil Google ja immer sehr fahrlässig
ja immer fahrlässiger umgeht mit sehen
APS, wie soll das dann mit afdroid
funktionieren? Mit anderen App Stores und
wie soll das a) einmal compliant sein mit
EU Regulation aber auf der anderen Seite
wie stelle ich mir das jetzt vor wenn ich
jetzt z.B sowas wie Password Manager habe
und die aus afdroid BZI wie bitorn dann
bin ich erstmal aufgeschmissen ab Android
13 so wie ich das jetzt verstehe. Antwort:
Also ich bin mir nicht ganz sicher wie das
funktioniert, ich habe auch schon gelesen
es gibt Workarounds dafür wenn man als
User dann explizit noch mal hier und da
klickt kann man es wieder aktivieren das
müsste man wirklich noch mal nachgucken
und wenn du dir jetzt z.B vielleicht auch
eine Custom Firmware installierst kannst
du natürlich da auch Andere AppStores
freischalten als den PlayStore, damit die
Apps die dadurch installiert werden diese
Möglichkeit auch kriegen, bei Password-
Managern gibt's aber eine Lösung ja also
genau ich habe auch Bitwarden und es gibt
da die Funktion autofill die auch dafür
funktioniert und da kannst du Formulare
aus en also explizit nur um Formulare
auszufüllen gibt diese autofilfunktion und
dann brauchst du nicht die größeren
Permissions der accessibility Services.
Mit EU Regulierungen kenne ich mich leider
nicht aus, tut mir leid.
Entschuldigung ich habe noch eine Sache
dazwischen und zwar was wir glaube ich gar
nicht so explizit erwähnt haben es gibt
fast einen zweiten Teil zu dem was wir
hier gerade machen in einer Stunde in
genau 14:15 Uhr stage H, da oben steht ja
genau nur dass ihr das mal gehört habt und
wir haben praktische Aufgaben zum selber
machen ausprobieren vorbereitet und
mitgebracht und eventuell falls wir auch
hier nicht dazu kommen alle Fragen zu
beantworten ist da noch mal Raum und Zeit
für Weiteres.
Herald: Genau aber wir machen jetzt weiter
mit dem Signal Angel weil die
Internetfragen können nicht so einfach
später gestellt werden, also lieber Signal
Angel.
Frage vom Signal Angel: Ja das Internet
möchte einmal wissen ob Telefone mit
alternativen Betriebssystemen wie Grafin
OS z.B sicherer sind und ob es da auch
nachgewiesene Angriffe gab.
Antwort: Ja natürlich kann man alternative
Betriebssysteme installieren die Wert auf
Sicherheit legen griffinos empfehlen wir
auch häufig JournalistInnen die besonders
bedroht sind. Was genau also und da gibt's
wirklich sehr gute Mechanismen wie z.B mit
dem neuen Pixel memory Tagging Support
wirklich starke Empfehlung das zu benutzen
was man bei iPhones machen kann ist den
Lockdown Mode einschalten wenn ihr bei in
den Einstellungen bei eurem iPhone auf
security geht und ganz nach unten scrollt
auf Deutsch ist das Blockierungsmodus
aktiviert das da steht da noch mal was
genau das verändert aber auch eine gute
Empfehlung. Spyware Angriffe mit Exploits
auf grafinoS sind mir nicht bekannt ich
glaube es gab noch keine das heißt aber
natürlich nicht dass es nicht welche gab,
also es ist natürlich trotzdem möglich
eventuell sind die Exploit chains dann
eben teurer.
Herald: okay dann bitte Mikrofon 1.
Frage: Ja hallo meine Frage schließt genau
dort an, bei grafino gibt's ja diese
Auditor App die auch von denen selbst
bereitgestellt wird, habt ihr damit
irgendwelche Erfahrungen, macht das Sinn,
vertraut ihr auch diesem attention Service
den die selbst betreiben?
Antwort: Genau es gibt diese Auditor App
die eben verifiziert dass dein
Betriebssystem noch dein Betriebssystem
ist und macht das auch über Remote
attestation das heißt du hast eine
kryptographische Challenge die du nur
lösen kannst wenn dein Betriebssystem
nicht manipuliert wurde und du Zugriff auf
gewisse Keys hast und das überprüft ein
externer Service und der schickt dir dann
ja eine E-Mail mit so
Totmannschalterprinzip, wenn das nicht
geklappt hat. Das ist auf jeden Fall eine
coole Lösung, kann ich empfehlen das zu
benutzen wenn du dem Server von griffino
es nicht vertraust kann man ja zum Glück
selber einen betreiben. Wir haben uns auch
z.B mal überlegt so ein zu betreiben und
JournalistInnen anzubieten haben das jetzt
noch nicht umgesetzt aber du kannst ja
auch ein betreiben und auch öffentlich
stellen oder andere Organisationen können
das machen, das ist auf jeden Fall auch
eine gute Methode um mitzukriegen wann man
eventuell so ein Angriff ausgesetzt wurde.
Frage: Cool danke.
Herald: Danke die nächste Frage aus dem
Internet bitte.
Frage: Das Internet möchte noch wissen wie
sich das beim iPhone verhält, wenn die
Methoden die ja hauptsächlich auf dem
Backup und auf Fehlern von Angreifern
beruhen in der Forensik, wenn sich die
Angreifer verbessern und weniger Fehler
machen welche Auswirkung das dann haben
würde?
Antwort: Also na ja das ist das deshalb
gab es eine Folie mit dem Namen Katz und
Mauspiel so ist bis jetzt ist der Zustand
noch nicht eingetreten dass Leute es
geschafft haben völlig spurenfreie Spyware
zu schreiben, aber das Problem ist also
wenn man davon ausgeht Leute haben
beliebig viel Zeit und beliebig viel Geld
um beliebig viele Exploits zu kaufen um
Sicherheitsmechanismen auszubrechen ist es
natürlich technisch möglich dass wir es
irgendwann mit zweibytes zu tun haben die
einfach keine Spuren mehr hinterlässt. So
das würde vielleicht immer noch im
Netzwerk Traffic würde man Sachen sehen
aber auch das kann man ja irgendwie
beliebig kompliziert verstecken, deshalb
ja wir haben kein Anrecht darauf man hat
kein Anrecht darauf etwas finden zu können
und ja bis jetzt geht es aber das ist
ungeklärt und eigentlich eine Sache je
mehr Geld da reingesteckt wird in dieses
Spyunternehmen und vor allem auch je
schlechter die europäischen
Exportkontrollen funktionieren und das
Geld dann da tatsächlich auch reinwandert
ja desto schlechter sieht es eigentlich
aus mit der der Sicherheit von Menschen in
der Zivilgesellschaft. Aber was da
natürlich wünschenswert wäre ist wenn z.B
iPhones auch so ein Remote adustation
Feature hätten, das könnte natürlich eine
Möglichkeit sein ja und aber natürlich
arbeitet Apple auch weiter in Ihrem
Betriebssystem und dann kann es auch sein
dass wieder irgendwo Spuren auftauchen die
es vorher noch nicht gab.
Herald: Mikrofon 3 bitte.
Frage: Hallo guten Morgen, kurze Frage ich
habe letztens glaube ich gelesen dass
Microsoft eingeklagt hat einen neuen Store
auf iOS veröffentlichen zu dürfen, würde
das also wie würde die Frage dazu wie
würde das die Forensik bzw die
Exploitmöglichkeiten von iOS verändern?
Antwort: Ich glaube das hängt vor allem
davon ab wie die das genau umsetzen
würden. Angenommen es gibt dann genau zwei
App Stores vielleicht erstmal nicht so
stark angenommen es gibt Siteloading, dann
gehen diese ganzen Sachen auf
Analysetechniken auf die man auch bei
Android die wir gezeigt haben mit, welche
Apps wurden da jetzt selber installiert.
Es vielleicht fallen diese also es gibt ja
Mechanismen die eigentlich dazu führen
sollen dass nur gutartige und nette Apps
im Apple App Store landen und keine
bösartigen, eventuell gibt's dann ganz
viele, aber das jetzt alles Spekulation,
also ich glaub da muss man einfach gucken
was passiert und wie das genau umgesetzt
wird ja.
Herald: Mikrofon 1 bitte.
Frage: Ja Frage eher an Janiik
wahrscheinlich, was hältst du von dem work
Mode in Android wo man so also manche
verwenden um Apps zu installieren die zu
den man irgendwie gezwungen wird und die
man aber eigentlich nicht mehr angucken
möchte. Kann man das machen oder kann man
sich die Mühe da auch sparen und we was
ich ein zweites Handy nehmen oder gar kein
Handy?
Antwort: Da kann ich dir die Dokumentation
von empfehlen der workmode ist ja nur ein
besonderer sekundärer Benutzermodus also
du hast ja auf Android generell die
Möglichkeit keinen sekundäre Benutzer zu
erstellen und für die z.B auch eigene
Passwörter zu wählen und die haben dann
auch andere Keys für die filebased
encryption das heißt wenn man das eine
Passwort knacken würde, würde man
eventuell nicht auf die sekundären Nutzer
zugreifen was auch ein cooles Feature ist
und z.B auch hilfreich sein kann für
Grenzkontrollen mit so entsperen man dein
Hand und dann entsperst du nur einen
Benutzer nicht den anderen und da könnte
man auch coole Sachen bauen wie z.B mit
einem password was anderes entsperren als
beim anderen ähnlich wie be veracrypt und
der workmode ist ja nur ein Shortcut dass
ich nicht erst den Benutzer wechseln muss
um diese App zu starten sondern ich habe
die App dann automatisch in meinem
primären Benutzerprofil und die startet
sich dann automatisch in in diesem
sekundären Benutzer ja und das ist eine
zusätzliche Isolation also das ja
normalerweise sowieso App Sandbox auf
Android und die Apps können nur
miteinander kommunizieren wenn Sie beide
Zugriff auf den gleichen Datei
Speeicherort haben musst du die Permission
geben oder wenn Sie beide anmelden ich
möchte mit der App kommunizieren die
andere meldet auch an ich möchte mit der
App kommunizieren, dann können Sie so eine
Art Interprozesskommunikation machen und
sowas würdest du unterbinden z.B wenn du
den workmode benutzt. Also dann könnte
nicht die App im workmode auf die anderen
Apps zugreifen ja kann man benutzen auf
jeden Fall für Separierung.
Frage: Gut danke.
Herald: Die Zeit für Fragen ist leider
vorbei ich merke es ist noch großes
Interesse da, ihr seid in einer Stunde im
Workshop verfügbar Halle H, bitte einen
riesen Applaus für Janik Besendorf und
Viktor Schlüter.
Applaus
Abspannmusik
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!