1 00:00:00,000 --> 00:00:13,347 37C3 Vorspannmusik 2 00:00:13,347 --> 00:00:19,840 Herald: Unser nächster Vortrag Einführung in die Small Smartphone Malware Forensics 3 00:00:19,840 --> 00:00:25,000 sorry für den Versprecher wird gehalten von Viktor Schlüter und Janik Besendorf. 4 00:00:25,000 --> 00:00:30,720 Die beiden sind beim Digital Security Lab von Reporter ohne Grenzen. Bitte begrüßt 5 00:00:30,720 --> 00:00:42,792 die beiden zu ihrem Vortrag. Applaus 6 00:00:42,792 --> 00:00:46,920 Viktor: Ja vielen Dank! Hallo hört man mich? 7 00:00:46,920 --> 00:00:51,080 Janik: Ja jetzt vielen Dank für die schöne Vorstellung es freut uns dass so viele 8 00:00:51,080 --> 00:00:55,080 gekommen sind und der Raum voll geworden ist. Er ist Viktor ich bin Janik in 9 00:00:55,080 --> 00:00:59,570 unserem Talk geht's um Smartphone Malware Forensic also wie man Malware das ist 10 00:00:59,570 --> 00:01:05,760 jegliche Schadsoftware seines Staatstrojaner, Stalker-ware, Adware auf 11 00:01:05,760 --> 00:01:15,440 Smartphones finden kann. Und genau ist ein Einführungsvortrag ja und dazu erzählen 12 00:01:15,440 --> 00:01:18,640 wir euch jetzt was. Wir arbeiten beim Digital Security Lab bei Reporter ohne 13 00:01:18,640 --> 00:01:24,620 Grenzen. Wir wurden vor eineinhalb Jahren gegründet. Wir beschäftigen uns mit der IT 14 00:01:24,620 --> 00:01:28,320 Sicherheit von JournalistInnen weltweit, wir bieten z.B auch IT 15 00:01:28,320 --> 00:01:32,320 Sicherheitstrainings an und was wir hauptsächlich machen ist wir analysieren 16 00:01:32,320 --> 00:01:38,200 digitale Angriffe auf JournalistInnen, das sind z.B Accountübernahmen aber der 17 00:01:38,200 --> 00:01:42,920 Hauptfokus sind Angriffe mit Staatstrojanern auch bekannt als Spyware 18 00:01:42,920 --> 00:01:48,120 und da machen wir Forschung dazu und man kann sich an uns wenden, wenn man der 19 00:01:48,120 --> 00:01:52,240 Meinung ist, man ist vielleicht zu einem Angriff ausgesetzt worden und dann führen 20 00:01:52,240 --> 00:01:56,840 wir eine forensische Analyse durch und Schreiben gegebenfalls ein Bericht dazu 21 00:01:56,840 --> 00:02:02,440 und warum das wichtig ist, ist eben weil digital Angriffe meistens im Verborgenen 22 00:02:02,440 --> 00:02:06,240 bleiben. Also wenn jemand einen Staatstrojaner auf eurem Smartphone 23 00:02:06,240 --> 00:02:09,040 installiert dann merkt ihr das normalerweise nicht, das ist ja auch das 24 00:02:09,040 --> 00:02:12,360 Ziel davon, ähnlich wie bei einer Telefonüberwachung das merkt ihr auch 25 00:02:12,360 --> 00:02:17,400 nicht und deswegen ist es umso wichtiger dass forensische Analysen stattfinden dass 26 00:02:17,400 --> 00:02:21,720 man sowas nachweist um es zu dokumentieren, zu veröffentlichen und die 27 00:02:21,720 --> 00:02:26,680 Angreifer dann zur Verantwortung zu ziehen. Das waren z.B erst kürzlich 28 00:02:26,680 --> 00:02:36,640 möglich bei einem Fall in Aserbaidschan, wo wir einen Pegasus Angriff bei einer 29 00:02:36,640 --> 00:02:41,760 Journalistin nachweisen konnten. Das ist natürlich nicht der einzige solche 30 00:02:41,760 --> 00:02:45,800 Angriffe davon gibt's jede Menge, hier sind aus den letzten drei Jahren einige 31 00:02:45,800 --> 00:02:49,920 Pressemitteilungen von Staatstrojanerangriffen über Pegasus 32 00:02:49,920 --> 00:02:56,520 Predator, wer das herstellt, wie das heißt ist am Ende zweitrangig. Ein Bericht ist 33 00:02:56,520 --> 00:03:01,840 von gestern in Indien, wo JournalistInnen und OppositionspolitikerInnen angegriffen 34 00:03:01,840 --> 00:03:07,400 wurden mit Pegasus, das war eine Recherche von Amnesty Tech wo wir auch mithelfen 35 00:03:07,400 --> 00:03:12,920 konnten. Genau und als nächstes erzählt euch Viktor etwas zu den Besonderheiten 36 00:03:12,920 --> 00:03:19,320 von Smartphone Forensic. V: Test test cool hallo ja wie Ihr 37 00:03:19,320 --> 00:03:22,160 vielleicht gesehen habt wir haben die Folien auf Englisch gemacht damit es für 38 00:03:22,160 --> 00:03:25,600 die Leute die die Übersetzung gucken leichter ist, aber erzählen es auf 39 00:03:25,600 --> 00:03:29,720 Deutsch. Ich hoffe auch ich für meinen Teil werd nicht zu viel in so 40 00:03:29,720 --> 00:03:35,320 englischdeutsch cauder Welsch rutschen, ja. Es gibt ein paar Grundlagen die wir 41 00:03:35,320 --> 00:03:38,240 dachten, die vielleicht sinnvoll sind, wenn wir sie erzählen und hier 42 00:03:38,240 --> 00:03:44,000 zusammenfassen. Zum einen Computer forensics so das klassische Spiel wie man 43 00:03:44,000 --> 00:03:48,720 es kennt und Smartphone Malware forensic funktionieren relativ unterschiedlich oder 44 00:03:48,720 --> 00:03:51,960 es gibt so ein paar einfach größere Unterschiede, wie die Spiele 45 00:03:51,960 --> 00:03:56,720 funktionieren. Viele von euch haben vielleicht schon von dem klassischen Modus 46 00:03:56,720 --> 00:04:01,120 gehört, das ist so, man hat einen Server und da ist was passiert und da ist eine 47 00:04:01,120 --> 00:04:05,560 Festplatte drin und davon zieht man sich ein Image und also von physisch von allen 48 00:04:05,560 --> 00:04:10,120 Blocks auf Blog ebene und das lädt man dann in forensic Software rein und dann guckt man 49 00:04:10,120 --> 00:04:16,600 sich das Dateisystem an und schaut was da passiert ist. Was man generell mit 50 00:04:16,600 --> 00:04:20,120 Smartphones macht und vor allem auch was wir mit Smartphones machen ist anders, 51 00:04:20,120 --> 00:04:25,640 erstens weil moderne Smartphone Betriebssysteme alle eigentlich filebased 52 00:04:25,640 --> 00:04:30,200 encryption haben, das heißt auf physischer Ebene ist das gar nicht mehr interessant, 53 00:04:30,200 --> 00:04:33,520 weil jede Datei mit einem anderen Schlüssel verschlüsselt ist und wenn der 54 00:04:33,520 --> 00:04:37,160 Schlüssel weg ist kann man auch die Datei nicht mehr rankommen, das heißt gelöschte 55 00:04:37,160 --> 00:04:42,080 Dateien ist sowieso nicht. Dann ist die nächste Sache, dass Smartphones gar keine 56 00:04:42,080 --> 00:04:46,880 Funktion haben zu sagen hier ist übrigens das gesamte Dateisystem, also hier sind 57 00:04:46,880 --> 00:04:51,480 alle Dateien, die in meinem Speicher gerade liegen. Es gibt Menschen die tun 58 00:04:51,480 --> 00:04:54,120 das die Arbeiten für Strafverfolgungs- Behörden und die benutzen 59 00:04:54,120 --> 00:04:57,880 dafür Exploits, das ist aber richtig Kacke, weil das macht die Welt unsicherer 60 00:04:57,880 --> 00:05:04,280 weil das ist auch Teil von diesem Exploits verkaufen sowas Spiel. Zwei große Firmen 61 00:05:04,280 --> 00:05:10,480 eine heißt der Celebrite die das anbieten, das machen wir auf gar keinen Fall, wir 62 00:05:10,480 --> 00:05:15,000 nennen das zivile Forensic also in ein ein vernehmen mit den Menschen denen die 63 00:05:15,000 --> 00:05:19,040 Geräte gehören und wenn man das aus so einer zivilgesellschaftlichen Richtung 64 00:05:19,040 --> 00:05:22,720 machen möchte muss man sich mit dem zufrieden geben, was aus dem Handy 65 00:05:22,720 --> 00:05:27,360 rauskommt. Und das sind dann so Diagnoseinformationen und da kommt die 66 00:05:27,360 --> 00:05:33,480 Besonderheit dass man natürlich überhaupt nicht überprüfen kann ob das jetzt stimmt, 67 00:05:33,480 --> 00:05:38,320 weil man muss einfach den Informationen vertrauen die aus dem Handy rauspzeln und 68 00:05:38,320 --> 00:05:41,400 technisch gesehen wäre es natürlich möglich dass Schadsoftware auf dem Handy 69 00:05:41,400 --> 00:05:45,520 aktiv ist die diese Informationen verändert. Das heißt auch das muss man 70 00:05:45,520 --> 00:05:51,480 einfach auf dem Schirm haben, das wäre möglich. Dann ist eine wichtige Sache, oft 71 00:05:51,480 --> 00:05:55,160 wird so getan als wäre Malware and Spyware verschiedene Sachen oder es wäre so 72 00:05:55,160 --> 00:05:59,520 Malware Spyware das kleine Geschwisterkind von der Malware und weniger schlimm, 73 00:05:59,520 --> 00:06:03,920 bisschen so wie Quellen TKÜ und online Durchsuchung und das eine ist ja nur auf 74 00:06:03,920 --> 00:06:09,280 die Messenger Nachrichten zugreifen, das ist natürlich Quatsch, sobald man als 75 00:06:09,280 --> 00:06:13,520 Schadsoftware in der Lage sein möchte auf irgendetwas zuzugreifen was das 76 00:06:13,520 --> 00:06:17,960 Betriebssystem nicht erlaubt hat, musst du Systemprivilegien haben, musst du auf 77 00:06:17,960 --> 00:06:23,080 alles Zugriff haben können und das ist auch der Fall. Das heißt Spyware ist auch 78 00:06:23,080 --> 00:06:26,520 immer Malware und Spyware, lasst euch niemand von niemand irgendwas anderes 79 00:06:26,520 --> 00:06:30,520 erzählen, Spyware ist auch immer in der Lage beliebige zu verändern, beliebige 80 00:06:30,520 --> 00:06:36,040 Dateien zu löschen, beliebige Dateien neu hinzuzufügen, das hat riesig große 81 00:06:36,040 --> 00:06:38,160 Konsequenzen eigentlich für die Strafverfolgung, weil man gar nicht 82 00:06:38,160 --> 00:06:42,040 richtig zeigen kann dass ein Handy was mit Spyware gehackt wurde nicht auch noch 83 00:06:42,040 --> 00:06:45,640 irgendwelche anderen Spuren, irgendwelche anderen Dateien hinterlegt wurden das 84 00:06:45,640 --> 00:06:49,040 würde man vermutlich auch gar nicht finden sobald man ein Handy kompromittiert hat, 85 00:06:49,040 --> 00:06:53,360 hat man das vollständig kompromittiert und man kann eigentlich nichts mehr vertrauen, 86 00:06:53,360 --> 00:06:58,400 was an Dateien darum liegt. Das Einzige weshalb man überhaupt dann Spyware finden 87 00:06:58,400 --> 00:07:02,320 kann, ist dass es natürlich auch sehr viel fleißig und sehr viel Arbeit erfordert 88 00:07:02,320 --> 00:07:06,720 alle Spuren zu vernichten, die man als Spyware hinterlässt und das ist 89 00:07:06,720 --> 00:07:17,120 glücklicherweise nicht der Fall. Man kann unterscheiden in zwei Arten von Malware 90 00:07:17,120 --> 00:07:21,800 und hier ist leider irgendwas interessantes passiert, weil da ist da 91 00:07:21,800 --> 00:07:25,840 muss eigentlich eine Kröte sein, vielleicht da da ist die Kröte genau. Ich 92 00:07:25,840 --> 00:07:29,320 weiß nicht was mit der Folie aber jedenfalls es gibt zwei Arten von Malware, 93 00:07:29,840 --> 00:07:34,000 solche mit Exploits und solche ohne Exploits. Und das Interessante daran ist 94 00:07:34,000 --> 00:07:38,520 nur Malware mit Exploits kann aus der Sandbox raushüpfen. Das kann man sich 95 00:07:38,520 --> 00:07:45,600 vorstellen, ok wow, das kann man sich vorstellen wie Tierchen die in 96 00:07:45,600 --> 00:07:50,600 Plastikeimern sind und zwar das eine Tier kann aus dem Plastikeimer raushüpfen 97 00:07:50,600 --> 00:07:55,000 nämlich die Kröte, das andere kann es nicht die Schildkröte. Und zwar dieser 98 00:07:55,000 --> 00:07:58,880 Plastikeimer ist die Sandbox und nur wenn man aus der Sandbox raushüpfen kann, ist 99 00:07:58,880 --> 00:08:04,880 man in in der Lage auf Information Daten Systemressourcen zuzugreifen, was dir das 100 00:08:04,880 --> 00:08:09,760 Smartphone Betriebssystem eigentlich nicht erlaubt. Und die Dinge, die raushüpfen 101 00:08:09,760 --> 00:08:15,040 können das ist eben die die Spyware, die zu Spionage Zwecken von staatlichen 102 00:08:15,040 --> 00:08:19,480 Akteuren benutzt wird und das Interessante ist hier diese Eploits sind sehr sehr 103 00:08:19,480 --> 00:08:26,160 teuer. Also wenn man so eine Exploit chain für Smartphone Betriebssystem ist in der 104 00:08:26,160 --> 00:08:31,040 Größenordnung von mehreren Millionen Euro teuer, das heißt das ist eine Sache das 105 00:08:31,040 --> 00:08:35,200 passiert in diesem Kontext von staatliche Überwachung, staatliche Akteure, das ist 106 00:08:35,200 --> 00:08:40,160 aber eigentlich nichts was man jetzt erwarten würde im Kontext von Stalker-ware. 107 00:08:40,160 --> 00:08:44,480 Auf der anderen Seite genau gibt es Malware die keine Exploits hat und damit 108 00:08:44,480 --> 00:08:48,680 auch fein ist und keine haben möchte und die mehr darüber lebt dass sie über andere 109 00:08:48,680 --> 00:08:53,480 Zwecke über andere Wege auf dem Handy installiert wird und sich einfach damit 110 00:08:53,480 --> 00:08:59,680 zufrieden gibt was das Betriebssystem anbietet an Möglichkeiten. Kröte wieder 111 00:08:59,680 --> 00:09:07,600 weg. Da ist sie rausgehüpft. Es geben vier Arten von Malware gehen dann auch mit 112 00:09:07,600 --> 00:09:10,680 dieser Unterscheidung, also das eine sind die mit Exploits das andere sind die ohne 113 00:09:10,680 --> 00:09:15,160 Exploits und dann haben wir Sachen für iOS und für Android und dadurch, dass das IOS 114 00:09:15,160 --> 00:09:19,960 und das Android Betriebssystem ziemlich unterschiedlich ist, gibt es da auch keine 115 00:09:19,960 --> 00:09:24,880 Kompabilität, sondern das ist wirklich also die Spiele Malware zu entwickeln für 116 00:09:24,880 --> 00:09:27,080 die eine Plattform und die andere Plattform funktionieren relativ 117 00:09:27,080 --> 00:09:31,120 unterschiedlich, weil die Plattformen einfach ein bisschen verschieden sind und 118 00:09:31,120 --> 00:09:38,840 deshalb gehen so ein bisschen vier Arten von Malware auf. Genau, die obere Linie 119 00:09:38,840 --> 00:09:42,240 das sind die Schildkröten, die können nicht aus Sandboxes raushüpfen, die sind 120 00:09:42,240 --> 00:09:46,840 da darauf angewiesen als aus der Sicht der Malware, was das Betriebssystem Ihnen 121 00:09:46,840 --> 00:09:51,840 erlaubt. Und das sieht so aus, dass bei iPhones gibt es kein Zeit loading 122 00:09:51,840 --> 00:09:57,680 zumindest aktuell zeitloading bedeutet, dass man selber Apps installieren kann 123 00:09:57,680 --> 00:10:01,120 ohne dass die aus dem AppStore kommen, also dass man selber eine Programmdatei in 124 00:10:01,120 --> 00:10:04,440 der Hand haben kann und sagen kann liebes Handy installiere die bitte. Das geht bei 125 00:10:04,440 --> 00:10:10,080 iPhones nicht. Alle Apps müssen durch den AppStore durch. Und da gibt es auch 126 00:10:10,080 --> 00:10:15,360 Anforderungen und so und die was eine App maximal können darf das ist auch 127 00:10:15,360 --> 00:10:21,680 einigermaßen eingeschränkt und es ist aktuell zumindest auch nicht möglich ein 128 00:10:21,680 --> 00:10:29,080 iPhone zu routen also genau, also die Systemprivilegien, die sich jetzt 129 00:10:29,080 --> 00:10:32,720 Mechanismen auser Kraft zu setzen und Vollzugriff auf das ganze Handy zu 130 00:10:32,720 --> 00:10:37,640 erhalten, was natürlich aus der Sicht von so Stalker-ware auch sehr interessant ist. 131 00:10:37,640 --> 00:10:41,120 Bei Android hingegen ist das so das Siteloading also das Installieren von 132 00:10:41,120 --> 00:10:46,920 eigenen Apps, das geht. Es gibt ein paar mehr Permissions könnte man jetzt auch 133 00:10:46,920 --> 00:10:51,720 drüber streiten, was man so als App können darf. Die ganzen interessanten Sachen muss 134 00:10:51,720 --> 00:10:57,000 man natürlich als App aber auch Anfragen von hey darf ich das bitte tun und es ist 135 00:10:57,000 --> 00:11:02,080 in vielen Fällen auch möglich das Handy zu Routen allerdings aber erst meistens 136 00:11:02,080 --> 00:11:05,640 nachdem man die Inhalte von dem Handy gelöscht hat. Also es ist jetzt nicht so 137 00:11:05,640 --> 00:11:09,120 interessant ein Handy zu routen um irgendwie auf das ganze Dateisystem 138 00:11:09,120 --> 00:11:14,320 zuzugreifen, was da drauf ist, sondern es ist im Fall von Stalker-ware es ist eine 139 00:11:14,320 --> 00:11:20,400 Möglichkeit dass TäterInnen das Handy erst Routen und dann das Stalker-ware drauf 140 00:11:20,400 --> 00:11:26,120 installieren und die dann Rootzugriff hat. In der Version mit Exploit sieht das ein 141 00:11:26,120 --> 00:11:32,400 bisschen anders aus da ist es auf iOS Geräten, es es passiert es immer wieder 142 00:11:32,400 --> 00:11:39,000 mal dass Spyware detektiert wird, erkannt wird, bewiesen werden kann dass ein 143 00:11:39,000 --> 00:11:45,400 Angriff mit Spyware erfolgt ist. Es ist relativ komplex an die binary 144 00:11:45,400 --> 00:11:51,120 ranzukommen, an die an die eigentliche Programmdatei von der Malware. Ich weiß 145 00:11:51,120 --> 00:11:55,240 nicht wer von euch in dem Operation Triangulation Vortrag war, das waren so 146 00:11:55,240 --> 00:12:01,360 gefühlte 20 Schritte von stages und Sicherheitsmechanismen und irgendwelchen 147 00:12:01,360 --> 00:12:07,200 anderen Sachen bis dann final die eigentliche Datei auf dem Handy gelandet 148 00:12:07,200 --> 00:12:12,160 ist. Vermutlich weil die verhindern wollten dass Leute die eigentliche Spyware 149 00:12:12,160 --> 00:12:14,920 haben und analysieren können rauskriegen können, ja was tut sie denn jetzt 150 00:12:14,920 --> 00:12:22,200 eigentlich. Und dadurch dass das alles so ein bisschen im Verborgenen passiert, 151 00:12:22,200 --> 00:12:28,610 diese Exploits werden gehandelt auf einem Grau- bis Schwarz-markt und vor allem 152 00:12:28,610 --> 00:12:35,080 dadurch dass Leute, die mit Exploits Geräte angegriffen haben und 153 00:12:35,080 --> 00:12:39,000 kompromittiert haben, technisch gesehen in der Lage sind alles mögliche an diesem 154 00:12:39,000 --> 00:12:44,320 Gerät zu manipulieren und zu verändern. Es es ein relativ komplexes und 155 00:12:44,320 --> 00:12:50,080 undurchsichtiges Feld indem man auch jetzt keinen Anspruch hat als analysierende 156 00:12:50,080 --> 00:12:56,120 Stelle alles finden zu können, das ist was anderes bei bei Systemen, wo man bestimmte 157 00:12:56,120 --> 00:13:00,880 Annahmen bestimmte Integritätsmaßnahmen vertrauen kann sagen kann, ok wenn da was 158 00:13:00,880 --> 00:13:04,800 wäre würde man es sicher da und daran sehen. Das gilt hier nicht mehr wenn man 159 00:13:04,800 --> 00:13:09,080 davon ausgehen muss dass Leute vollständig das System kompromittiert haben und 160 00:13:09,080 --> 00:13:13,520 theoretisch alles verändern können. Das heißt letztlich ist es eine Art von Katz 161 00:13:13,520 --> 00:13:19,040 und Mausspiel von Leute schreiben Stalker-ware schreiben also staatlich 162 00:13:19,040 --> 00:13:24,280 finanzierte Unternehmen schreiben komplexes Spyware, kaufen Exploits ein, 163 00:13:24,280 --> 00:13:28,320 melden die nicht, sondern benutzen sie um Menschen aus der Zivilgesellschaft zu 164 00:13:28,320 --> 00:13:35,840 hacken und dann gibt es NGOs, die finden das und dann passiert es aber manchmal 165 00:13:35,840 --> 00:13:38,640 dass die Unternehmen dann wieder rauskriegen: oh ja woran haben die das 166 00:13:38,640 --> 00:13:43,480 erkannt? und dann verändern Sie das oder sind besser darin werden besser darin 167 00:13:43,480 --> 00:13:47,440 Spuren zu verwischen, und dann es geht immer weiter und es zieht immer weiter 168 00:13:47,440 --> 00:13:53,400 diese Kreise und natürlich ist auch das, was wir hier heute erzählen, nicht alles 169 00:13:53,400 --> 00:13:58,120 das was wir wissen und es ist auf gar keinen Fall alles das was überhaupt an 170 00:13:58,120 --> 00:14:04,240 Spuren existiert da draußen, das muss man schon so zueinander abgrenzen. Eine 171 00:14:04,240 --> 00:14:10,160 weitere Sache die wichtig ist zu erwähnen, wir sind wir haben nicht wahnsinnig viel 172 00:14:10,160 --> 00:14:15,480 Expertise was Stalking und Antistalking angeht also Stalker-ware und Antistalking 173 00:14:15,480 --> 00:14:19,400 und hier sind zwei sehr gute Websites, die wir euch empfehlen können, falls ihr davon 174 00:14:19,400 --> 00:14:22,240 selber betroffen seid, falls ihr mal Menschen helfen wollt, die davon betroffen 175 00:14:22,240 --> 00:14:27,640 sind. Das ist der Ort an dem wir das weiterleiten würden. Wir fanden es 176 00:14:27,640 --> 00:14:33,240 trotzdem vielleicht eine gute Idee, dass hier diese ganze Stockerware Komponente 177 00:14:33,240 --> 00:14:37,360 technisch mit reinzunehmen, weil natürlich technisch gesehen das schon 178 00:14:37,360 --> 00:14:40,320 Gemeinsamkeiten hat, wie diese Apps funktionieren, was sie so tun, wie sie 179 00:14:40,320 --> 00:14:43,960 versuchen zu funktionieren und deshalb versuchen wir hier einfach einen 180 00:14:43,960 --> 00:14:48,560 technischen Überblick zu geben, wie man diese Sachen erkennen würde und wie die 181 00:14:48,560 --> 00:14:54,520 funktionieren. Und jetzt erklärt euch Janiik ein bisschen was zu Methodik. 182 00:14:54,520 --> 00:15:01,000 J: Genau zur Methodik also wir haben ja schon gelernt, wir können jetzt leider 183 00:15:01,000 --> 00:15:06,480 nicht einfach den flashpeicher aus unserem Smartphone auslöten, den wieder woanders 184 00:15:06,480 --> 00:15:13,560 dran löten und alles auslesen. Natürlich meistens kann ich ein Smartphone per USB 185 00:15:13,560 --> 00:15:18,200 oder Lightning oder über WiFi an den Laptop anschließen und ein Backup machen 186 00:15:18,200 --> 00:15:25,080 oder ähnliche Sachen und das ist auch was wir hauptsächlich tun, aber bevor wir zu 187 00:15:25,080 --> 00:15:29,360 solchen Sachen kommen würde ich euch erstmal sagen, nimmt einfach das Gerät mal 188 00:15:29,360 --> 00:15:34,520 in die Hand entsperrt ist und es geht ja meistens bei Überwachung um Messenger, 189 00:15:34,520 --> 00:15:39,400 weil man ist ja von der klassischen Telekommunikationsüberwachung, wo man 190 00:15:39,400 --> 00:15:43,240 einfach bei der Telekom z.B sagt hör mal bitte den Anruf mit und leite den hier 191 00:15:43,240 --> 00:15:48,000 weiter an die Polizei und dann hören wir mit. Zu dieser sogenannten 192 00:15:48,000 --> 00:15:53,320 Quellentelekommunikationsüberwachung also eigentlich dem komprimentieren von Geräten 193 00:15:53,320 --> 00:15:57,440 übergegangen, weil man dann vor Verschlüsselung die ja jetzt eigentlich in 194 00:15:57,440 --> 00:16:01,680 fast jedem Messenger implementiert ist wie in WhatsApp in Signal teilweise in 195 00:16:01,680 --> 00:16:09,080 Telegram und Anderen. Genau weil we das da gibt kann man eben nicht mehr einfach die 196 00:16:09,080 --> 00:16:14,400 Nachrichten ausleiten, genau und deswegen würde ich erstmal alle diese Messenger 197 00:16:14,400 --> 00:16:19,240 Apps aufmachen denn diese Messenger Apps die haben alle eine Funktion dass man die 198 00:16:19,240 --> 00:16:24,160 Nachrichten nicht nur am Smartphone lesen kann, sondern auch an seinem Laptop, an 199 00:16:24,160 --> 00:16:29,720 seinem Desktopcomputer und dass man die da verbinden kann, und das ist tatsächlich 200 00:16:29,720 --> 00:16:34,160 der einfachste Weg um diese Nachrichten ausleiten zu können, weil das ist ja eine 201 00:16:34,160 --> 00:16:37,600 Funktion die zum Nachrichten ausleiten gebaut ist. Natürlich ist sie dafür 202 00:16:37,600 --> 00:16:40,320 gedacht, dass man das nur selber macht aber wenn man z.B eine Zeit lang keinen 203 00:16:40,320 --> 00:16:44,520 Zugriff auf sein Gerät hatte, weil man bei einer Grenzkontrolle sein Passwort 204 00:16:44,520 --> 00:16:49,600 rausgeben musste oder weil vielleicht Sicherheitsbehörden in die eigene Wohnung 205 00:16:49,600 --> 00:16:52,960 eingedrungen sind, wo man seine Geräte da hatte und dies geschafft haben das 206 00:16:52,960 --> 00:16:58,440 Passwort zu umgehen, oder eben in dem Stalking Fall eben ja Menschen, die einem 207 00:16:58,440 --> 00:17:02,840 irgendwie nahe Zugriff auf das Gerät haben, können diese Funktion natürlich 208 00:17:02,840 --> 00:17:07,720 benutzen, sie mit Ihrem Laptop verbinden und die Nachrichten mitlesen. Das kann man 209 00:17:07,720 --> 00:17:10,880 aber zum Glück einfach nachschauen in diesen Apps. Ich habe hier ein paar 210 00:17:10,880 --> 00:17:19,880 Screenshots mitgebracht von iOS WhatsApp, iOS Signal und Signal auf Android. Da geht 211 00:17:19,880 --> 00:17:22,920 ja die Einstellung von euren Apps geht auf Link Devices und dann seht ihr da welche 212 00:17:22,920 --> 00:17:27,760 Geräte verbunden sind genau. Da sollten dann eure drin stehen und wenn nicht dann 213 00:17:27,760 --> 00:17:32,720 könnt ihr da auch Geräte die verbunden sind entfernen. Das ist tatsächlich auch 214 00:17:32,720 --> 00:17:38,080 eine Methode, die die deutsche Polizei nachweislich nutzt. Der Link hier unten 215 00:17:38,080 --> 00:17:42,520 ist ein Artikel von netzpolitik.org, wo ein internes Dokument der deutschen 216 00:17:42,520 --> 00:17:46,160 Polizei veröffentlicht wurde, die eben genau beschreiben, dass Sie diese Funktion 217 00:17:46,160 --> 00:17:51,960 benutzen um Messenger wie WhatsApp und Signal abzuhören. Genau wenn wir jetzt 218 00:17:51,960 --> 00:17:57,800 aber übergehen zu wir schließen so ein Smartphone an unsere Computer an, dann 219 00:17:57,800 --> 00:18:02,200 gibt es ein Tool was wir sehr viel benutzen, was wir euch auch sehr nah legen 220 00:18:02,200 --> 00:18:07,840 können, das ist MVT das mobile verification Toolkit, das wurde entwickelt 221 00:18:07,840 --> 00:18:13,720 von Amnesty Tech 2021 im Rahmen des Pegasus Projekts. Das Pegasus Projekt sagt 222 00:18:13,720 --> 00:18:20,520 vielleicht vielen was, da wurde 2021 eine Liste an tausenden Handynummern geleakt, 223 00:18:20,520 --> 00:18:27,800 die Alle angegriffen wurden mit der SpyPegasus und Amnesty Tech und andere 224 00:18:27,800 --> 00:18:31,560 haben da eben forensische Analysen durchgeführt von Leuten die sie 225 00:18:31,560 --> 00:18:36,440 identifiziert haben, die auf dieser Liste standen und dazu auch tooling entwickelt 226 00:18:36,440 --> 00:18:41,360 und dieses tooling am Ende auch veröffentlicht. Und das ist eben MVT, MVT 227 00:18:41,360 --> 00:18:47,720 hat verschiedene Möglichkeiten z.B kann es iPhone Backups analysieren, die man mit 228 00:18:47,720 --> 00:18:54,240 iTunes oder auch mit Software auf Linux vorher erstellt hat. Analysieren das past 229 00:18:54,240 --> 00:19:04,880 da vor allem SQLite Datenbank oder plist Dateien solche Sachen und bereitet die auf 230 00:19:04,880 --> 00:19:10,600 zu strukturierten JSON Format, die man viel schöner lesen kann als wenn man das 231 00:19:10,600 --> 00:19:14,280 handisch macht, und bei Android funktioniert das über die ADB 232 00:19:14,280 --> 00:19:19,160 Schnittstelle Android Debugging Bridge, wo man auch eben auf gewisse Daten von 233 00:19:19,160 --> 00:19:22,880 Android Smartphones zugreifen kann, z.B welche Apps sind da installiert. Das 234 00:19:22,880 --> 00:19:27,040 erzählen wir euch aber alles später im Detail, wie man das händisch macht und wie 235 00:19:27,040 --> 00:19:34,480 MVT das erleichtert. Genau wie sieht das aus auf iOS? Das ist jetzt sind die 236 00:19:34,480 --> 00:19:43,080 Schritte für Linux es gibt eine super Toolchain auf Linux für Apple Geräte und 237 00:19:43,080 --> 00:19:47,960 wie man über USB Lightning auf die zugreift und das ist libImobiledevice wo 238 00:19:47,960 --> 00:19:51,880 das alles nachgebaut wird was sonst in iTunes passiert und das stellt eben z.B 239 00:19:51,880 --> 00:19:58,920 dieses Tool iDevice Backup 2 zur Verfügung. Ja wie bereits schon bisschen 240 00:19:58,920 --> 00:20:03,440 angesprochen, theoretisch kann man die Geräte jailbreaken und dann eben auf mehr 241 00:20:03,440 --> 00:20:09,520 Dateien zugreifen, weil so ein Backup von dem iPhone inkludiert nicht alles z.B sind 242 00:20:09,520 --> 00:20:16,200 Signal Nachrichten nicht enthalten und auch gewisse Systemdateien z.B 243 00:20:16,200 --> 00:20:19,520 irgendwelche System Binaries sind da nicht enthalten, weil die braucht man nicht um 244 00:20:19,520 --> 00:20:22,120 das wiederherzustellen, weil die sind auf einem iPhone wo man Backup 245 00:20:22,120 --> 00:20:27,280 wiederherstellen will natürlich schon drauf, das würden wir euch aber nicht 246 00:20:27,280 --> 00:20:31,240 empfehlen, wenn ihr nicht wirklich genau wisst was ihr tut, weil ihr macht dadurch 247 00:20:31,240 --> 00:20:35,960 auch euer Gerät unsicherer ja und manipuliert vielleicht auch vorher das 248 00:20:35,960 --> 00:20:40,200 Gerät bezüglich Spuren die ihr nachher vielleicht entdecken wollt. Was ihr auf 249 00:20:40,200 --> 00:20:43,840 jeden Fall aber machen solltet ist als erstes mit dem Tool Idevice Backup die 250 00:20:43,840 --> 00:20:48,280 Verschlüsselung eures Backups einzuschalten, denn Apple speichert mehr 251 00:20:48,280 --> 00:20:52,530 Dateien, wenn ihr ein verschlüsseltes Backup anlegt, als wenn ihr nicht 252 00:20:52,530 --> 00:20:57,240 verschlüsseltes Backup anliegt also das reasoning dahinter ist einfach dass Apple 253 00:20:57,240 --> 00:21:02,240 sich nicht sicher ist wie die Nutzer in ihre Backups speichern und da könnten 254 00:21:02,240 --> 00:21:05,000 natürlich dann vielleicht andere Leute drauf Zugriff haben und deswegen sind sie 255 00:21:05,000 --> 00:21:07,560 da vorsichtiger was sie alles in die Backups packen wenn man sein Backup nicht 256 00:21:07,560 --> 00:21:10,160 verschlüsselt. Deswegen wenn wir ein Backup machen, machen wir immer die 257 00:21:10,160 --> 00:21:13,160 Verschlüsselung an das Passwort was man dann dafür wählt ist natürlich egal muss 258 00:21:13,160 --> 00:21:17,040 man sich merken und sollte man danach, wenn man das dem Nutzer der Nutzerin 259 00:21:17,040 --> 00:21:22,480 zurückgibt wieder auf was Gutes setzen. Ja genau dann macht man einfach sein Backup, 260 00:21:22,480 --> 00:21:28,120 das Backup ist ja jetzt verschlüsselt, MVT bietet zum Glück auch ein Tool an um diese 261 00:21:28,120 --> 00:21:31,680 Backups wieder zu entschlüsseln, hier ist der Befehl, könnt ihr nachher auf den 262 00:21:31,680 --> 00:21:35,360 Folien einfach nachlesen und dann kann man MVT noch mal sagen, ja jetzt nimm dies 263 00:21:35,360 --> 00:21:40,360 verschlüsselte Backup und analysier das einmal parse alle SQL Datenbanken und 264 00:21:40,360 --> 00:21:48,160 schreibt mir das schön sauber auf und genau. Ähnlich auf Android hier gilt das 265 00:21:48,160 --> 00:21:53,280 Gleiche man könnte die Geräte Rooten, es ist bei Android aber so dass meistens wenn 266 00:21:53,280 --> 00:21:57,680 man die Geräte rootet muss man die ganzen Daten die darauf sind löschen und erst 267 00:21:57,680 --> 00:22:02,440 dann erlaubt der Bootloaders ein gewisse Änderung vorzunehmen mit denen man 268 00:22:02,440 --> 00:22:06,360 üblicherweise Geräte auf Android rootet, manchmal gibt's auf Android auch exploits 269 00:22:06,360 --> 00:22:09,760 mit denen es möglich ist Rootprivilegien zu erlangen und dann könnte man natürlich 270 00:22:09,760 --> 00:22:15,040 auch auf weitere Dateien wie System Binaries zugreifen, das ist aber wieder 271 00:22:15,040 --> 00:22:19,680 was das macht man nur wenn man weiß was man tut und das geht auch wirklich nur 272 00:22:19,680 --> 00:22:25,480 sehr selten auf sehr wenig Geräten. Deswegen extrahiert man meistens Dateien 273 00:22:25,480 --> 00:22:31,080 mit MVT über diese ADB Schnittstelle, wie erwähnt, hier ist das Command das zu tun. 274 00:22:32,720 --> 00:22:37,400 Das schreibt euch dann die Ergebnisse in den Ordner eurer Wahl. Was man bei Android 275 00:22:37,400 --> 00:22:44,120 zum Glück auch machen kann ist die Dateien der Apps die APK Dateien, die kann man 276 00:22:44,120 --> 00:22:48,920 auch herunterladen und MVT erleichtert einem das hier ist auch wieder das Command 277 00:22:48,920 --> 00:22:53,600 dafür und man kann die sogar auf Virustotal hochladen, das ist ein Dienst 278 00:22:53,600 --> 00:22:58,320 im Internet der ganz viele verschiedene Virenscanner benutzt und euch dann anzeigt 279 00:22:58,320 --> 00:23:08,080 bei wie vielen das als Virus erkannt wurde. Genau jetzt ist es so, es gibt zwei 280 00:23:08,080 --> 00:23:11,480 unterschiedliche Arten wie man Malware finden kann, wir nennen das primäre und 281 00:23:11,480 --> 00:23:15,440 sekundäre Funde, das was jetzt z.B bei Operation Triangulation gesehen habt ist 282 00:23:15,440 --> 00:23:19,200 ein primärer Fund, weil man hat wirklich die gesamte Exploit chain nachvollziehen 283 00:23:19,200 --> 00:23:25,240 können und man hat am Ende oder auch in anderen cases hat man dann auch wirklich 284 00:23:25,240 --> 00:23:28,720 die Binaries gefunden und konnte genau sehen welche Funktionalität war eingebaut 285 00:23:28,720 --> 00:23:34,440 in diesem Staatstrojaner, das ist leider nicht immer möglich was es dann oft gibt 286 00:23:34,440 --> 00:23:38,920 sind sekundäre Funde und hier sieht man dann z.B wenn es jemand anders mal 287 00:23:38,920 --> 00:23:44,520 geschafft hat so ein Pegasus irgendwo zu entdecken, hat er dann den Prozessnamen 288 00:23:44,520 --> 00:23:48,880 meistens in den Bericht geschrieben und dann kann man eben später sich darauf 289 00:23:48,880 --> 00:23:52,640 berufen, wenn jetzt irgendwas einen sehr dubiosen Prozessnamen hat, den es 290 00:23:52,640 --> 00:23:55,400 eigentlich von der legitimen App nicht gibt den wer anders nachgewiesen hat, dass 291 00:23:55,400 --> 00:23:58,960 das Malware ist und man findet das dann weiß man auch, ah das ist jetzt mit hoher 292 00:23:58,960 --> 00:24:05,240 Wahrscheinlichkeit das Gleiche. Dieses Prinzip basiert auf diesen indicators of 293 00:24:05,240 --> 00:24:10,760 compromise oder kurz IOCs, hier ist noch mal kurz eine Definition indicators of 294 00:24:10,760 --> 00:24:14,440 compromise in der Computer forensic sind eben Artefakte im Netzwerk oder ein 295 00:24:14,440 --> 00:24:18,360 Betriebssystem, die eben sagen wenn man die findet dann hat man mit hoher 296 00:24:18,360 --> 00:24:23,640 Wahrscheinlichkeit hier solche Malware gefunden. Hier sind drei Listen von 297 00:24:23,640 --> 00:24:27,080 solchen IOCs, die wir euch empfehlen würden, die sind auch in MVT alle 298 00:24:27,080 --> 00:24:30,800 automatisch includiert aber wenn ihr da mal selber z.B nachgucken wollt sind 299 00:24:30,800 --> 00:24:35,800 welche zu Stalker-ware oder eben auch zu spyware. Was man sonst noch machen kann 300 00:24:35,800 --> 00:24:41,040 ist eine Trafficanalyse und zwar muss ja eine Spyware immer irgendwie Traffic 301 00:24:41,040 --> 00:24:45,040 transmitten über WLAN über Mobilfunk und das kann man sich auch angucken. Da gibt's 302 00:24:45,040 --> 00:24:48,560 ein cooles Tool das heißt tinycheck, das wurde mal von Kaspersky entwickelt für 303 00:24:48,560 --> 00:24:54,680 Frauenhäuser um da eben speziell Spyware zu finden. Das läuft optional auf dem 304 00:24:54,680 --> 00:24:58,960 Raspberry Pi, muss man aber nicht machen macht dann dediziertes WiFi auf, da kann 305 00:24:58,960 --> 00:25:02,760 man sich mit verbinden, dann wird der Traffic mitgeschnitten und es wird z.B 306 00:25:02,760 --> 00:25:06,960 geguckt ob bekannte command and control Server im Traffic auftauchen oder ob man 307 00:25:06,960 --> 00:25:12,840 auf irgendwelchen Webseiten von diesen spyware Herstellern war. Genau und jetzt 308 00:25:12,840 --> 00:25:21,880 erzählt euch Viktor was zu iOS Forensik. V: Ja also ihr erinnert euch an die vier 309 00:25:21,880 --> 00:25:26,240 Felder und wir gehen jetzt im Prinzip diese vier Felder zusammen ab. Wir starten 310 00:25:26,240 --> 00:25:33,680 im ersten Feld und zwar ohne Exploits also Stalker-ware auf iPhone iOS Geräten, dieses 311 00:25:33,680 --> 00:25:40,240 Feld ist relativ hellgrau weil da gibt's gar nicht so viel, weil aktuell gibt es 312 00:25:40,240 --> 00:25:46,360 wie ich schon gesagt habe kein Exploit kein jailbreak der funktioniert für iOS 313 00:25:46,360 --> 00:25:50,600 Geräte und deshalb ist es gar nicht so attraktiv als Stalker-ware sich da 314 00:25:50,600 --> 00:25:55,040 einzunisten weil man diese ganzen Sachen von ich habe Zugriff auf Messenger, ich 315 00:25:55,040 --> 00:25:59,480 habe Zugriff auf die Daten von anderen Apps, das geht gar nicht so ohne Weiteres. 316 00:25:59,480 --> 00:26:05,880 Was natürlich möglich ist, ist dass Geräte gejailbreaked sind die älter als 15.7 sind 317 00:26:05,880 --> 00:26:09,800 und das kann ich schon mal dazu sagen, ich glaube es gibt Anzeichen dass es einen 318 00:26:09,800 --> 00:26:14,640 neuen jailbreak geben wird aus der Exploit chain, die in dieser Operation 319 00:26:14,640 --> 00:26:18,280 Triangulation Sache gefunden wurde, das heißt vielleicht ist das in Zukunft wieder 320 00:26:18,280 --> 00:26:21,760 möglich aber meistens dann auch nur eher die veralteten Geräte und nicht die 321 00:26:21,760 --> 00:26:28,760 aktuellen Geräte zu jailbreaken. Und wenn man kein Jailbreak hat, dann ist genau es 322 00:26:28,760 --> 00:26:33,280 ein bisschen schwierig als Stalker-ware App weil man muss durch die Checks von dem 323 00:26:33,280 --> 00:26:37,520 AppStore gehen, man kann nur durch den AppStore installiert werden und z.B bei 324 00:26:37,520 --> 00:26:41,920 einem iPhone muss man gibt so notification so ein orangenen Punkt und so ein grünen 325 00:26:41,920 --> 00:26:44,920 Punkt die anzeigen ob gerade das Mikro oder die Kamera an ist oder ich glaub auch 326 00:26:44,920 --> 00:26:53,160 die Location Services und das ist dann natürlich nicht mehr so stealthy. Und das 327 00:26:53,160 --> 00:26:56,800 genau das kann man auch irgendwie in so privacy Report Sachen dann nachgucken und 328 00:26:56,800 --> 00:27:01,160 natürlich hat man auch überhaupt keinen Zugriff auf die Daten von anderen Apps. 329 00:27:01,160 --> 00:27:03,800 Was es aber gibt, das haben wir schon gesehen, wir haben irgendwann noch selber 330 00:27:03,800 --> 00:27:07,920 mal ein bisschen geguckt wie das so funktioniert, es gibt Stalker-ware 331 00:27:07,920 --> 00:27:11,640 Anbieter die z.B so iCloud Paser geschrieben haben. Also da können dann 332 00:27:11,640 --> 00:27:19,040 TäterInnen können irgendwie das das iCloud Passwort von Menschen besorgen und dann 333 00:27:19,040 --> 00:27:24,160 gibt es so Stalker-ware Services, die sich dann damit in diesem iCloud Konto einladen 334 00:27:24,160 --> 00:27:28,360 und alles runterladen was in dem iCloud Konto gespeichert ist. Das sind z.B so 335 00:27:28,360 --> 00:27:34,520 Sachen wie Notizen, Kontakte, ich weiß nicht mehr nicht also das ist so es ist so 336 00:27:34,520 --> 00:27:39,080 halb viel, aber genau das das geht auf das geht auf jeden Fall und das kann sein das 337 00:27:39,080 --> 00:27:44,000 heißt es ist immer auch keine schlechte Idee, wenn man mit so eine Situation in 338 00:27:44,000 --> 00:27:47,800 Kontakt kommt das iCloud password zu ändern oder zu gucken dass das sicher ist, 339 00:27:47,800 --> 00:27:53,360 weil darüber können auch Informationen verloren gehen. Jetzt kann es aber 340 00:27:53,360 --> 00:27:56,600 natürlich trotzdem sein dass Leute es schaffen an den Checks vom App Store 341 00:27:56,600 --> 00:28:01,080 vorbei eine App zu schmuggeln und dann wären die folgenden Sachen die Dinge die 342 00:28:01,080 --> 00:28:04,760 man sich angucken würde sinnvollerweise. Wir gehen davon aus ihr habt ein Backup 343 00:28:04,760 --> 00:28:08,680 gemacht und das liegt irgendwo und in diesem Backup schaut ihr jetzt 344 00:28:08,680 --> 00:28:13,680 verschiedene Dateien an. Eine der Dateien bei der sich lohnt sie sich anzuschauen 345 00:28:13,680 --> 00:28:20,400 sind die transparency consent and control locks, die legen am folgenden Pfad und da 346 00:28:20,400 --> 00:28:24,800 ist die Tabelle namens Access interessant, weil in dieser Tabelle steht drin wann 347 00:28:24,800 --> 00:28:28,160 welche App welche Berechtigungen angefordert hat. Also wann Welche gesagt 348 00:28:28,160 --> 00:28:30,880 hat hallo darf ich bitte das Mikro benutzen? Darf ich bitte die Kamera 349 00:28:30,880 --> 00:28:37,080 benutzen? steht da drin inklusive einem Timestamp. Diesen Timestamp kriegt ihr 350 00:28:37,080 --> 00:28:41,400 dann auch relativ schnell in ein menschenlesbares Format, wenn ihr es 351 00:28:41,400 --> 00:28:47,000 händisch machen wollt, aber das macht doch alles MVT für euch. Also ich habe jetzt 352 00:28:47,000 --> 00:28:52,040 bei diesen ganzen Folien, ich habe euch einmal gezeigt wie man das RAW mit einem 353 00:28:52,040 --> 00:28:56,440 SQLight Paser machen würde, wenn man richtig wild drauf ist, aber da gibt's 354 00:28:56,440 --> 00:29:02,360 eigentlich also MVT macht das gleiche und MVT macht das gut. Jedenfalls das ist die 355 00:29:02,360 --> 00:29:06,640 Datenbank die sich MVT anguckt, so sieht das in MVT aus, da steht dann Signal hat 356 00:29:06,640 --> 00:29:11,680 gefragt kann ich das Mikro benutzen an diesem Zeitpunkt. Die nächste Sache die 357 00:29:11,680 --> 00:29:16,240 man sich angucken kann sind die data usage Logs. Ich weiß auch wieder nicht wer von 358 00:29:16,240 --> 00:29:19,640 euch in dem Operation Triangulation Talk drin war, auch da hat das eine Rolle 359 00:29:19,640 --> 00:29:23,960 gespielt, da haben sie nähmlich vergessen diese Logs zu löschen. Die interessanten 360 00:29:23,960 --> 00:29:29,080 Tabellen hier heißen ZLIVEUSAGE und Zprocess und in diesen zwei Tabellen steht 361 00:29:29,080 --> 00:29:34,120 drin wann welche App über Mobilfunk Daten runtergeladen hat, genau genommen sogar 362 00:29:34,120 --> 00:29:36,760 ich glaube welcher Prozess und das ist halt spannend weil auch Dinge die kein 363 00:29:36,760 --> 00:29:41,120 Prozess waren sondern irgendeine Exploit stage oder sowas tauchen da potenziell 364 00:29:41,120 --> 00:29:47,920 auf. Diese tolle Query die man sich natürlich merkt und so kurz mal 365 00:29:47,920 --> 00:29:55,320 runterspult die macht euch glücklich weil sie aus dieser Datenbank die die Sachen 366 00:29:55,320 --> 00:29:59,240 rausholt, diese zwei verschiedenen Tabellen miteinander joint und dann kommen 367 00:29:59,240 --> 00:30:03,440 da schönere Daten raus, aber natürlich habe ich mir die auch nicht ausgedacht 368 00:30:03,440 --> 00:30:07,640 sondern die ist einfach aus der MVT Codebase kopiert und deshalb ich empfehle 369 00:30:07,640 --> 00:30:12,200 auch euch nicht zu versuchen das händisch zu passen sondern genau das aus der MVT 370 00:30:12,200 --> 00:30:19,760 codebase zu kopieren oder MVT zu benutzen. Und wenn man das dann mit MVT ausführt, 371 00:30:19,760 --> 00:30:23,680 dann sieht das so aus, dann sagt euch MVT wann es das erste Mal benutzt wurde, ich 372 00:30:23,680 --> 00:30:29,600 glaube wann es das letzte Mal benutzt wurde und was die Bundle ID ist von der 373 00:30:29,600 --> 00:30:35,360 Sache, die das also was was der Process Name ist und was die Bundle ID ist und 374 00:30:35,360 --> 00:30:43,560 genau. Das Bundle IDs sind sowas wie der eindeutige Name von Apps. Das heißt damit 375 00:30:43,560 --> 00:30:48,120 kann man rauskriegen okay wer hat die eigentlich Daten benutzt. Eine weitere 376 00:30:48,120 --> 00:30:51,280 Sache die man sich angucken kann und die ist sehr interessant vor allem wenn man 377 00:30:51,280 --> 00:30:55,560 davon ausgeht dass alle Apps die auf dem Handy sind, Apps sind die installiert 378 00:30:55,560 --> 00:31:02,720 sind, weil man davon ausgeht, dass niemand irgendein Exploit hatte ist die Liste der 379 00:31:02,720 --> 00:31:08,240 installierten Applikationen, applications Apps, die ist in der info.plist Datei drin 380 00:31:08,240 --> 00:31:15,440 die liegt auch topl Level in eurem Backup drin und diese Datei kann man mit plist 381 00:31:15,440 --> 00:31:21,240 util parsen, das ist auch ein Tool was glaube ich auch in den Packs App Store 382 00:31:21,240 --> 00:31:25,440 package Stores von den meisten Linux Distributionen drin ist. plist ist so ein 383 00:31:25,440 --> 00:31:30,960 ganz komisches Format was sich das Apple Universum ausgedacht hat und ich glaube da 384 00:31:30,960 --> 00:31:37,560 kommen XML Dateien raus, wenn man das in normale Formate überführt hat. Da steht 385 00:31:37,560 --> 00:31:46,680 dann auch drin die Bundle IDs von den Apps die installiert sind und teilweise auch 386 00:31:46,680 --> 00:31:50,720 der Name und wenn ihr euch jetzt fragt na was ist denn jetzt das genau für ein Ding 387 00:31:50,720 --> 00:31:57,160 im App Store, dann kann ich euch als Tipp verraten dass zumindest aktuell auf der 388 00:31:57,160 --> 00:32:02,280 website also wenn man im Browser im App Store sich eine App anguckt bei Apple, 389 00:32:02,280 --> 00:32:06,560 dann kommt im und da auf view source klickt oder sich irgendwie den Sourcecode 390 00:32:06,560 --> 00:32:11,160 anguckt dann kommt da der Bandel ID Name vor. Das heißt das ist der der Mechanismus 391 00:32:11,160 --> 00:32:15,320 mit dem ihr, ihr habt eine Bandel ID irgendwo gelesen und wollt wissen was ist 392 00:32:15,320 --> 00:32:21,120 den das genau für ein Ding, mit dem ihr das zueinander connecten könnt und dann 393 00:32:21,120 --> 00:32:23,840 kann man auch möglicherweise die Person Fragen, hey pass mal auf, hast du das 394 00:32:23,840 --> 00:32:28,920 schon mal gesehen, kommt das von Dir hast du das runtergeladen? und damit kann man 395 00:32:28,920 --> 00:32:34,840 klären wenn da interessante merkwürdige weirde Dinge auftauchen wo die jetzt 396 00:32:34,840 --> 00:32:42,680 hergekommen sind und ob die da sein sollen. Ja genau die weitere Sache ist 397 00:32:42,680 --> 00:32:49,120 dass in MVT bereits wie Janik schon gesagt hat eigentlich eine Liste von sehr 398 00:32:49,120 --> 00:32:57,000 sehr vielen IOCs und anderen Merkmalen von Stalker-ware bereits drin steckt von frei 399 00:32:57,000 --> 00:33:01,560 tollen freiwilligen Menschen, die das Pflegen und ich glaube so automatisierte 400 00:33:01,560 --> 00:33:06,320 Skripte haben die das immer neu generieren und auch die Malware Samples hochladen 401 00:33:06,320 --> 00:33:11,360 davon, das heißt mein Bauchgefühl wäre ohne jetzt allzu viel empirische Daten zu 402 00:33:11,360 --> 00:33:18,320 haben, man hat relativ gute Chancen mit mit MVT Stalker-ware zu finden zu 403 00:33:18,320 --> 00:33:25,080 detektieren einfach, weil es da sehr lange IOC Listen gibt ja. Und sehr viel davon 404 00:33:25,080 --> 00:33:27,720 schon verzeichnet ist und das auch glücklicherweise alles automatisch 405 00:33:27,720 --> 00:33:31,960 passiert, also ihr müsst nicht das dann selber runterladen und sagen ja hier bitte 406 00:33:31,960 --> 00:33:37,960 diese Stalker-ware Liste, sondern wenn ihr aus dem gitrepo von MVT MVT installiert 407 00:33:37,960 --> 00:33:44,600 oder aus den Python packages und MVT ausführt, dann macht das das alles 408 00:33:44,600 --> 00:33:51,520 automatisch und benutzt Check gegen dieses Stalker-ware Indikatoren. Ja wir kommen zum 409 00:33:51,520 --> 00:33:58,120 State-Sponsored Spyware Teil zu den Sachen mit Exploits da gibt es natürlich die 410 00:33:58,120 --> 00:34:02,400 Sachen die wir schon gesagt haben und noch ein paar mehr z.B ist es lohnenswert sich 411 00:34:02,400 --> 00:34:09,360 anzugucken welche Einträge die Safari History hat, weil man kann da eigentlich 412 00:34:09,360 --> 00:34:17,840 zwei Sachen finden. Das eine ist man kann Exploit URLs finden von One Click Exploits 413 00:34:17,840 --> 00:34:24,160 vielleicht wart ihr in dem Predator Files Vortrag von donncha gestern 414 00:34:24,160 --> 00:34:29,720 glaube ich. Da hat er z.B erzählt dass in den meisten Fällen die Intelexa Software 415 00:34:29,720 --> 00:34:33,800 nur mit One Click Exploits installiert werden kann, weil die Browser Exploits 416 00:34:33,800 --> 00:34:39,120 haben und. Da hat man z.B dann eine Chance wenn sie das nicht gelöscht haben die URL 417 00:34:39,120 --> 00:34:45,600 zu finden von dem Server der die Website ausgeliefert hat, die den JavaScript 418 00:34:45,600 --> 00:34:50,520 Exploit vermutlich hatte , die andere Sache die man da finden kann sind Spuren 419 00:34:50,520 --> 00:34:56,240 von Redirects und Redirects würden passieren wenn man eine Network injection 420 00:34:56,240 --> 00:35:00,920 Attacke hatte. Das sieht ungefähr so auch aus auch das hat donncha gestern in dem 421 00:35:00,920 --> 00:35:06,720 Vortrag angerissen, ist auch ein Foto von denen. Das würde nämlich so passieren dass 422 00:35:06,720 --> 00:35:14,040 ein Handy eine HTTP Verbindung zu irgendeinem Server aufbaut und irgendwo 423 00:35:14,040 --> 00:35:18,560 auf der Route auf der Strecke entweder ein insy Catcher oder eine Kiste bei dem 424 00:35:18,560 --> 00:35:23,680 Internet Provider bei dem Telco Provider dann sehr schnell als Antwort auf diesen 425 00:35:23,680 --> 00:35:30,160 HTTP Request ein Redirect zurückschickt der sagt nee pass mal auf was du suchst 426 00:35:30,160 --> 00:35:34,360 ist nicht mehr bei dieser legitimen Seite sondern bei unserer schönen shady URL wo 427 00:35:34,360 --> 00:35:39,160 du gleich ein Exploit runterladen wirst und das Handy ist dann so ah ja okay gut 428 00:35:39,160 --> 00:35:43,000 ist ja nicht mehr da ist jetzt hier und quasi lädt sich dann die andere Sache 429 00:35:43,000 --> 00:35:49,160 runter, und was man dafür braucht ist dass man als Mittelstation muss man relativ 430 00:35:49,160 --> 00:35:56,160 schnell diesen Redirect schicken können, das heißt es ist einfach spannend hier auf 431 00:35:56,160 --> 00:36:02,120 der Folie ist das zu gucken z.B kam einfach insanely schnell nach dem Aufruf 432 00:36:02,120 --> 00:36:07,480 von irgendeiner URL ein Redirect, also irgendwie Millisekunde später oder weniger 433 00:36:07,480 --> 00:36:12,280 oder also einfach sehr sehr schnell wo man so überlegt ist das jetzt plausibel, dass 434 00:36:12,280 --> 00:36:16,320 der andere Server schon geantwortet hat? Das wären z.B Dinge die man da finden 435 00:36:16,320 --> 00:36:24,680 könnte. Was man auch finden kann ist dass Leute sich nicht gescheit anstellen beim 436 00:36:24,680 --> 00:36:30,040 Löschen von Daten aus Datenbanken. Was z.B passieren kann und davon hat in diesem 437 00:36:30,040 --> 00:36:36,600 citizen Lab Report wird davon erzählt, ist das zu einem Zeitpunkt Pegasus in der data 438 00:36:36,600 --> 00:36:42,880 usage SQLite Datenbank die ich euch schon gezeigt habe Prozesseinträge nur in der 439 00:36:42,880 --> 00:36:46,320 einen Tabelle aber nicht in der anderen Tabelle gelöscht haben und das ist eine 440 00:36:46,320 --> 00:36:49,320 Sache das würde das Handy nie tun, weil das immer entweder in beiden Tabellen oder 441 00:36:49,320 --> 00:36:54,160 gar nicht auftaucht, das heißt man kann da einfach gucken Mensch finden wir 442 00:36:54,160 --> 00:36:58,920 eigentlich Prozesseinträge mit Datentransferspuren in der einen aber 443 00:36:58,920 --> 00:37:02,040 nicht in der anderen Tabelle und wenn ja dann ist das ein sehr eindeutiges Zeichen, 444 00:37:02,040 --> 00:37:06,800 weil das halt in der freien Wildbahn sehr selten passiert und mit dieser Version von 445 00:37:06,800 --> 00:37:13,440 Pegasus dann eben doch. Und das ist z.B auch eine Sache mit der man ja eine Chance 446 00:37:13,440 --> 00:37:22,480 hat zu feststellen zu können, ok hier ist was komisches passiert. Genau die data 447 00:37:22,480 --> 00:37:28,520 usage ist natürlich auch hier relevant das habe ich gerade schon erzählt ja. Das ist 448 00:37:28,520 --> 00:37:33,440 jetzt z.B der mdns responder das sind aufgelöste DNS queries, da würde man auch 449 00:37:33,440 --> 00:37:38,280 andere Prozesse das also es ist auch es erfordert würde ich auch sagen so ein bisschen 450 00:37:38,280 --> 00:37:41,800 Übung sich da reinzulesen und so ein bisschen auch ein Gefühl davon zu kriegen 451 00:37:41,800 --> 00:37:48,200 was ist normal und was ist komisch. Es ist total empfehlenswert auch einfach mal von 452 00:37:48,200 --> 00:37:52,480 Friends oder einfach mal selber ab und zu sowas zu machen, bei sich selber drauf zu 453 00:37:52,480 --> 00:37:56,720 gucken um so ein Gefühl dafür zu kriegen und einfach da mal so durchzuscrollen, was 454 00:37:56,720 --> 00:38:02,960 sind denn gutartige Sachen die so einfach die ganze Zeit auf iPhones passieren dann 455 00:38:02,960 --> 00:38:06,000 kriegt man ein bisschen auch ein Gefühl dafür für welche Dinge vielleicht erstmal 456 00:38:06,000 --> 00:38:09,600 weird aussehen aber einfach die ganze Zeit passieren und einfach gutartig sind, weil 457 00:38:09,600 --> 00:38:16,640 sie von vom iPhone selber kommen. Was man auch tun kann ist sich die timestamps von 458 00:38:16,640 --> 00:38:23,200 den Dateien im im Backup anzugucken, das würde man machen indem man erstmal das 459 00:38:23,200 --> 00:38:28,040 Backup entschlüsselt der Schritt taucht auch auf in Janiks Liste dann sieht das 460 00:38:28,040 --> 00:38:34,600 erstmal so aus ohne doch genau wenn es ja dann sieht es erstmal so aus das Backup. 461 00:38:34,600 --> 00:38:39,120 Dieser decrypted Ordner hier der ist da nicht den habe ich so genannt, aber das 462 00:38:39,120 --> 00:38:46,280 sind erstmal bisschen ungeil, weil iPhone Backups funktionieren so dass alle Dateien 463 00:38:46,280 --> 00:38:51,160 benannt werden nach ihrem eigenen Hash und dann werden sie einfach in Ordner 464 00:38:51,160 --> 00:38:55,760 gespeichert die, wo sie gruppiert sind nach den ersten zwei Stellen von ihrem 465 00:38:55,760 --> 00:38:59,600 eigenen Hash und das das natürlich jetzt ziemlich ungeil in diesem Ding irgendwie 466 00:38:59,600 --> 00:39:02,960 Dateien zu suchen und sich anzugucken ok, was hast du für ein Timestamps noch auf 467 00:39:02,960 --> 00:39:08,040 den ersten Blick rauszukriegen, liebe Datei bist du interessant für mich. Was 468 00:39:08,040 --> 00:39:13,080 man da tun würde wäre das Backup zu rekonstruieren, das ist mich nicht 469 00:39:13,080 --> 00:39:18,600 besonders schwer die die ursprüngliche Pfahdstruktur wiederherzustellen, da gibt 470 00:39:18,600 --> 00:39:23,200 es z.B ein Tool, was ich jetzt nicht noch mal getestet habe vor dem Vortrag (shame 471 00:39:23,200 --> 00:39:26,880 on ME) aber ich glaube es funktioniert, ich glaube es gibt auch Andere das kriegt 472 00:39:26,880 --> 00:39:31,560 ihr hin das kann man auch in Stunde oder sowas selber programmieren. Jedenfalls es 473 00:39:31,560 --> 00:39:36,160 gibt die manifest.plist Datei da steht drin, das sind die Hashes das sind die 474 00:39:36,160 --> 00:39:39,480 eigentlichen Dateinamen und ich glaube auch der Timestamp und daraus kann man so 475 00:39:39,480 --> 00:39:43,800 ein bisschen den den ursprünglichen Dateipfad wieder rekonstruieren. Wenn man 476 00:39:43,800 --> 00:39:47,360 das gemacht hat hat man einen Ordner wo die Sachen ihre richtigen timestamps haben 477 00:39:47,360 --> 00:39:52,200 und genau die eigentlichen Dateien sind, wie sie vom iPhone aus dem iPhone 478 00:39:52,200 --> 00:39:58,840 gepurzelt sind und dann könnte man z.B mit diesem schönen oneliner sie sortieren nach 479 00:39:58,840 --> 00:40:10,600 dem ich glaube modified Timestamp und dann genau würde man sehen was z.B in einer 480 00:40:10,600 --> 00:40:15,760 Zeitzone passiert ist in der interessiert was da los war. Also angenommen weiß ne in 481 00:40:15,760 --> 00:40:19,520 dieser in dieser Range keine Ahnung wurde das Handy der Person abgenommen oder so 482 00:40:19,520 --> 00:40:24,360 dann könnte man da gucken, sehen wir da spannende Sachen? Eine weitere Sache nach 483 00:40:24,360 --> 00:40:30,760 dem man gucken kann sind SMS Anhänge, das waren z.B .gif files in dem forced 484 00:40:30,760 --> 00:40:35,360 entry Exploit vom Citizen das war auch das citizen Lab analysiert und vorgestellt 485 00:40:35,360 --> 00:40:40,760 hat, da hat man z.B einfach gesehen dass da 20 .gif Anhänge ganz schnell 486 00:40:40,760 --> 00:40:45,120 hintereinander angekommen sind, ja und dann sieht man natürlich auch okay das ist 487 00:40:45,120 --> 00:40:49,480 hier irgendwie merkwürdig. Auch in crashlocks kann man interessante Artefakte 488 00:40:49,480 --> 00:40:54,480 finden auch z.B wenn jetzt irgendwie eine eine Komponente von eurem Handy ganz oft 489 00:40:54,480 --> 00:40:58,600 hintereinander crasht, vor allem wenn man das nicht erwarten würde, das ist glaube 490 00:40:58,600 --> 00:41:03,920 ich auch in diesem Force entry Dings passiert, dass ich glaube z.B der iMessage 491 00:41:03,920 --> 00:41:08,200 Prozess ganz oft gecrasht ist, weil eben ganz oft Sachen ankamen die manchmal 492 00:41:08,200 --> 00:41:13,440 funktioniert haben und manchmal nicht. Da kann man dann Spuren finden. Eine weitere 493 00:41:13,440 --> 00:41:20,000 Sache noch und zwar einfach nur so ein Transfer in diesem Vortrag von Operation 494 00:41:20,000 --> 00:41:25,480 trangulation haben die auch selber gezeigt dass sie in der data usage und Manifest 495 00:41:25,480 --> 00:41:29,600 alles Dinge die kennt und versteht, verschiedene Sachen hintereinander gesehen 496 00:41:29,600 --> 00:41:33,960 haben bei der ersten stage von dem Exploit den sie da beobachtet haben und zwar das 497 00:41:33,960 --> 00:41:39,200 war erstmal dass der iMessage Prozess der einem Transfer Agent Sachen runterlädt, 498 00:41:39,200 --> 00:41:44,360 eine Datei wird angelegt und dann wird ein Prozess aktiv den den es da eigentlich 499 00:41:44,360 --> 00:41:48,240 nicht geben sollte und dieses Bündel an Dinge die hintereinander passieren dann 500 00:41:48,240 --> 00:41:52,040 irgendwie relativ bemerkenswert ist und identifizieren das Verhalten für diesen 501 00:41:52,040 --> 00:41:56,960 Angriff und genau an an solchen Sammlungen von Dingen die schnell hintereinander 502 00:41:56,960 --> 00:42:03,200 passieren kann man auch Malware finden. Und damit gebe ich weiter an Janik der 503 00:42:03,200 --> 00:42:08,240 euch Sachen zu Android zeigt. J: Genau wir müssen mal schauen, wie 504 00:42:08,240 --> 00:42:11,680 schnell wir das schaffen und ob wir noch Zeit für Fragen haben aber ansonsten haben 505 00:42:11,680 --> 00:42:18,880 wir auch noch ein Workshop in zwei Stunden genau. Ja aber zu Android es ist ein 506 00:42:18,880 --> 00:42:23,720 bisschen das Gleiche aber man muss schon sagen dass Android weniger solche 507 00:42:23,720 --> 00:42:28,200 Logdateien schreibt auf die man zugreifen kann um die forensisch zu analysieren im 508 00:42:28,200 --> 00:42:32,720 Vergleich zu iOS, einige Sachen sind aber ähnlich z.B kann ich mir hier auf Android 509 00:42:32,720 --> 00:42:36,000 auch angucken welche Applikationen sind installiert, das kann ich natürlich auch 510 00:42:36,000 --> 00:42:39,560 auf dem Gerät machen und bei Stalkerware werde ich da vielleicht auch fündig, man 511 00:42:39,560 --> 00:42:45,960 kann dann auch manchmal Apps verstecken genau. Wie man es macht wenn man es an den 512 00:42:45,960 --> 00:42:52,480 PC anschließt ist man benutzt ADB und über adb shell kann man eben commands auf dem 513 00:42:52,480 --> 00:42:56,720 Telefon direkt ausführen das werdet ihr jetzt eigentlich häufiger sehen in den 514 00:42:56,720 --> 00:43:02,800 Folien und zwar mit dem Tool PM kann man sich die Packages Listen das -U ist dafür 515 00:43:02,800 --> 00:43:07,440 dass man auch den uninstallierte Applikationen sieht, das i ist dafür dass 516 00:43:07,440 --> 00:43:12,320 man sieht wer hat diese App installiert das besonders spannend und das F zeigt 517 00:43:12,320 --> 00:43:18,640 einen auch an wo die Datei liegt dieser App genau, hier habe ich euch ein 518 00:43:18,640 --> 00:43:22,400 Screenshot gemacht wie das aussieht und hier sieht man jetzt z.B Installer ist com 519 00:43:22,400 --> 00:43:26,840 Google Android package Installer, das ist der Standard Installer wenn ihr z.B euch 520 00:43:26,840 --> 00:43:30,960 eine App runterladet mit Chrome auf eurem Android Telefon da drauf klickt und 521 00:43:30,960 --> 00:43:37,120 installieren klickt, dann sieht das so aus, das ist also unauffällig für 522 00:43:37,120 --> 00:43:41,280 Staatstrojaner aber für Stalker-ware eventuell interessant. Was man bei 523 00:43:41,280 --> 00:43:45,840 Staatstrojaner z.B auch manchmal sieht ist dass da einfach nan steht weil wenn man 524 00:43:45,840 --> 00:43:48,520 ein Exploit hatte und der hat dann irgendwie geschafft die Applikation zu 525 00:43:48,520 --> 00:43:54,160 installieren oder der hat die eben einfach dahineschoben wo die Apps sind und das 526 00:43:54,160 --> 00:43:58,840 nicht eingetragen dann steht da nan, was man manchmal noch sieht sind Systemdateien 527 00:43:58,840 --> 00:44:02,880 von gewissen Herstellern wie hier ist jetzt was bekanntes von Samsung, da kann 528 00:44:02,880 --> 00:44:08,040 man dann auch nachgucken. Da gibt's noch weitere Informationen zu es ist leider 529 00:44:08,040 --> 00:44:12,240 alles nicht so schön über dieses Interface aber man kann hier z.B wenn man wissen 530 00:44:12,240 --> 00:44:17,840 will was sind Systemdateien, was sind third party Apps und was sind disabled 531 00:44:17,840 --> 00:44:24,000 Apps dann kann man das Filtern mit den parametern -s -3 und -d und das ist z.B 532 00:44:24,000 --> 00:44:31,200 spannend wenn ich sehe manche Apps sind disabled das wird z.B mit Systemdateien 533 00:44:31,200 --> 00:44:36,080 gerne System Apps gerne gemacht statt sie zu deinstallieren dann kann ich hier 534 00:44:36,080 --> 00:44:42,560 gucken wenn z.B so es gibt so bei Samsung z.B so Security Services die in Apps 535 00:44:42,560 --> 00:44:47,800 laufen und wenn die disabled sind dann ist das schon so eine Alarmglocke für hier ist 536 00:44:47,800 --> 00:44:54,240 vielleicht Malbare. Genau dann gibt's noch das Tool Dumpsys und mit dem Tool Dumpsys 537 00:44:54,240 --> 00:44:58,840 kann ich wenn ich ein konkretes package angebe mir noch weitere Dateien mir 538 00:44:58,840 --> 00:45:04,280 weitere Informationen dazu anschauen und das ist sind z.B die 539 00:45:04,280 --> 00:45:08,840 installationszeitpunkte. Oft hat man wenn man Fall analysiert zu Zeitpunkte die 540 00:45:08,840 --> 00:45:12,760 interessant sind, wenn jemand eine Grenze übertreten hat oder wenn das Gerät bei der 541 00:45:12,760 --> 00:45:17,720 Polizei war, weil weil es beschlagnammt wurde und dann kann ich hier sehen, wann 542 00:45:17,720 --> 00:45:21,280 wurde es installiert, wann wurde es das letzte Mal geupdated und was ich auch sehe 543 00:45:21,280 --> 00:45:27,400 ist welche Permissions hat es angefragt. Genau was auch spannend ist sind die 544 00:45:27,400 --> 00:45:31,840 sogenannten intens die Intents sind sowas wie Hooks die Apps notifying wenn gewisse 545 00:45:31,840 --> 00:45:36,960 Dinge im System passieren. Und da gibt's verschiedene Beispiele z.B Wenn es eine 546 00:45:36,960 --> 00:45:40,920 ausgehende SMS gibt wenn es eine eingehende SMS gibt. Das hat legitime 547 00:45:40,920 --> 00:45:45,920 Anwendungsfälle z.B eine eingehende SMS ist interessant für so Smsverifizierung 548 00:45:45,920 --> 00:45:50,960 bei Apps bei Signal bei Whatsapp wird die App dann benachrichtigt und wenn sie die 549 00:45:50,960 --> 00:45:55,560 Permission hat, kann sie die dann auch abfragen und die Verifikation machen. Was 550 00:45:55,560 --> 00:45:58,600 ist auch auch gibt es Boot complete, das kann interessant sein wann schaltet jemand 551 00:45:58,600 --> 00:46:03,680 sein Handy aus wann schaltet das wieder ein z.B wenn Leute von der Demo ihr Handy 552 00:46:03,680 --> 00:46:09,000 ausmachen und dann wieder anmachen, dann kann ich das hier auch finden. Und das 553 00:46:09,000 --> 00:46:14,840 sind die anderen die ich hier euch gelistet hab, outgoing SMS, SMS data 554 00:46:14,840 --> 00:46:20,120 received, new outgoing call, das sind alles welche die Pegasus nachweislich 555 00:46:20,120 --> 00:46:26,120 benutzt hat um notified zu werden, wenn z.B neuer Anruf startet und dann ein 556 00:46:26,120 --> 00:46:30,160 Prozess zu starten der diesen Anruf aufzeichnet und dann ausleitet, also das 557 00:46:30,160 --> 00:46:35,960 ist auch besonders spannend, wenn die App diese Dinge diese Intents anmeldet beim 558 00:46:35,960 --> 00:46:43,760 Betriebssystem. Genau das alles ist wieder das Gleiche wie bei AOS macht auch MVT für 559 00:46:43,760 --> 00:46:48,680 euch und dann kriegt ihr so ein aus eine Ausgabe in der Json Datei und da müsst 560 00:46:48,680 --> 00:46:51,760 ihr nicht diese ganzen commands eingeben und das wird alles schön gruppiert für 561 00:46:51,760 --> 00:46:55,760 euch. Ihr seht dann welche App ist das was der package Name von wem wurde es 562 00:46:55,760 --> 00:46:59,400 installiert, ist sie disabled oder nicht, ist es eine System app, ist es eine third 563 00:46:59,400 --> 00:47:05,160 party App, welche Permissions hat sie, wo liegen die Dateien dazu, das also super 564 00:47:05,160 --> 00:47:10,320 hilfreich. Und was man eben auch machen kann bei Android ist APKs runterladen hier 565 00:47:10,320 --> 00:47:14,200 ist noch mal der manuelle weg, ich würde mir erst wie eben alle packages anzeigen 566 00:47:14,200 --> 00:47:19,920 lassen dann würde ich mir den Pfad anzeigen lassen zu der zu der App und dann 567 00:47:19,920 --> 00:47:24,720 kann ich mit ADP pull kann man beliebige Dateien herunterladen von Android Telefon 568 00:47:24,720 --> 00:47:29,840 und die krieg ich dann so eben auch. Ist ein komischer Pfad aber kann man einfach 569 00:47:29,840 --> 00:47:34,560 copypasten und dann habt ihr die APK und dann könnt ihr die natürlich reversen, 570 00:47:34,560 --> 00:47:40,040 APKs sind einfach nur zipdateien die sind dann auch noch signiert aber im Prinzip 571 00:47:40,040 --> 00:47:45,640 kann man die auspacken und dann liegt da kompiliertes Java oder kotlin drin. Was 572 00:47:45,640 --> 00:47:50,960 man aber auch machen kann ist die bei Virustotal hochzuladen, da hat MVT tooling 573 00:47:50,960 --> 00:47:56,240 für euch, da müsst ihr euch einmal ein API key besorgen zu Virustotal und dann könnt 574 00:47:56,240 --> 00:48:00,400 ihr die hochladen und dann kriegt ihr hier eine schöne Tabelle welche Apps welches 575 00:48:00,400 --> 00:48:04,520 Ergebnis bei Virustortal hatten und hier seht ihr jetzt in dem Beispiel den Package- 576 00:48:04,520 --> 00:48:08,480 name, den ich zensiert habe weil wir später ein Workshop da könnt ihr diese 577 00:48:08,480 --> 00:48:14,440 Stalker-ware auf dem Android Telefon finden die wurde jetzt bei 39 von 76 578 00:48:14,440 --> 00:48:19,160 Virusscannern bei Virustotal eben als malicious erkannt und da kann man dann 579 00:48:19,160 --> 00:48:25,800 schon aus davon ausgehen dass das ist. Genau dann gibt bei Virustotal noch die 580 00:48:25,800 --> 00:48:30,480 accessibility Services. Die accessibility Service sind ja Apps die man sich 581 00:48:30,480 --> 00:48:34,080 installieren kann für Barrierefreiheit, was eigentlich ein richtig cooles Feature 582 00:48:34,080 --> 00:48:40,480 ist und auch dass das so modular ist, weil man je nachdem welche Hilfen man braucht 583 00:48:40,480 --> 00:48:45,720 um sein Telefon barrierefrei oder arm nutzen zu können da gewisse Apps 584 00:48:45,720 --> 00:48:50,200 runterladen kann und die dann aktivieren und deaktivieren kann, aber damit sowas 585 00:48:50,200 --> 00:48:54,400 funktioniert haben diese accessibility Services so Berechtigungen dass die alles 586 00:48:54,400 --> 00:48:59,000 auf eurem Bildschirm lesen en können und auch z.B Buttons klicken können. Und dann 587 00:48:59,000 --> 00:49:02,040 können diese Apps z.B auch verhindern wenn ihr in die Einstellung geht und 588 00:49:02,040 --> 00:49:05,160 deinstallieren drückt, dann kann das das Lesen kriegt das mit und klickt dann für 589 00:49:05,160 --> 00:49:09,040 euch direkt auf abbrechen und dann könnt ihr nicht auf ja ok ich bin mir sicher 590 00:49:09,040 --> 00:49:13,640 bitte die installieren klicken das natürlich blöd genau und das wurde in der 591 00:49:13,640 --> 00:49:19,680 Vergangenheit eben auch für Spyware und Stalkereare verwendet. Google weiß das 592 00:49:19,680 --> 00:49:24,160 aber natürlich auch und ist ja immer restriktiver was was das angeht und ab 593 00:49:24,160 --> 00:49:28,920 Android 13 geht das z.B. nur noch wenn die Apps aus dem PlayStore kommen. Das könnt 594 00:49:28,920 --> 00:49:36,080 ihr euch auch händisch angucken, hier ist ein Beispiel aber gibt's auch mit MVT, ist 595 00:49:36,080 --> 00:49:40,520 viel einfacher, könnt euch angucken ich beeile mich jetzt ein bisschen. Prozesse 596 00:49:40,520 --> 00:49:45,080 könnt euch auch angucken, das ist vor allem interessant wenn es state-Sponsored- 597 00:49:45,080 --> 00:49:49,560 Spyware ist und keine einfache Stalkerware. Ihr könnt tatsächlich einfach 598 00:49:49,560 --> 00:49:52,920 PS ausführen wie ihr das auf einem Linux System auch macht und dann kriegt ihr die 599 00:49:52,920 --> 00:50:01,760 Prozessnamen. Genau gibt's auch wieder ein Package bei MVT ja genau und jetzt kurz 600 00:50:01,760 --> 00:50:07,240 noch zu den Arten von Exploits die es gibt. Man unterscheidet Zero click 601 00:50:07,240 --> 00:50:11,800 Exploits das sind Exploit die funktionieren ohne Zutun des Opfers also 602 00:50:11,800 --> 00:50:16,760 man muss nicht irgendwie in der SMS auf den Link klicken damit der Exploit 603 00:50:16,760 --> 00:50:22,600 getriggert wird und da kann man sich dann überlegen, wo findet man sowas haben wir 604 00:50:22,600 --> 00:50:25,480 auch schon anderen vortragen gehört Basebands sind interessant, also die 605 00:50:25,480 --> 00:50:29,200 mobilfunk Schnittstelle eures Telefons gewisse Messenger, also es könnte 606 00:50:29,200 --> 00:50:34,560 natürlich Exploits geben in WhatsApp, iMessage, Signal hat man auch alles schon 607 00:50:34,560 --> 00:50:41,080 gesehen im Browser alles was irgendwie Daten ja beliebige Daten irgendwo aus dem 608 00:50:41,080 --> 00:50:45,440 Internet zieht und dann verarbeitet. Bluetooth und WiFi wären auch interessant 609 00:50:45,440 --> 00:50:52,720 ist mir jetzt nichts bekannt aber auch möglich. Das Andere sind eben One Click 610 00:50:52,720 --> 00:50:57,760 Exploits wo ich also irgendwas anklicken muss, das ist meistens ein Link und den 611 00:50:57,760 --> 00:51:03,800 kann ich dann aber auch finden z.B in der WhatsApp history z.B z.B MVT auch ein 612 00:51:03,800 --> 00:51:09,520 Feature was alle WhatsApp Nachrichten vom Telefon zieht und dann nach den Links 613 00:51:09,520 --> 00:51:12,840 Filter damit ihr nur die Links angucken könnt, weil es sind sonst zu viele 614 00:51:12,840 --> 00:51:16,200 Nachrichten und außerdem wollt ihr die ja nicht lesen, ihr wollt ja nur 615 00:51:16,200 --> 00:51:22,040 Malewarefinden und da ist das dann auch sehr hilfreich. Ja, um Schluss nur noch 616 00:51:22,040 --> 00:51:27,080 ein kurzer Aufruf bitte meldet eure Sicherheitslücken, wenn ihr die irgendwo 617 00:51:27,080 --> 00:51:32,160 findet, verkauft die nicht irgendwie bei zerodium oder an die nSo-Group oder an die 618 00:51:32,160 --> 00:51:53,591 intellex Alliance und macht damit das Internet sicherer für uns alle genau. 619 00:51:53,591 --> 00:51:53,632 Applaus 620 00:51:53,632 --> 00:51:57,200 Herald: Das war doch ein sehr schöner Aufruf zum Schluss, ich wäre jetzt dafür 621 00:51:57,200 --> 00:52:01,440 zu den Fragen überzugehen wenn es für euch ok ist und wir haben auch schon die ersten 622 00:52:01,440 --> 00:52:10,200 Leute da stehen da hinten am Mikrofon 2. Frage: Hi ihr habt eben die accessibility 623 00:52:10,200 --> 00:52:17,520 Services erwähnt beim Android das ja ab Version 13 nicht mehr oder nur 624 00:52:17,520 --> 00:52:22,440 eingeschränkt verfügbar sind für Apps aus dem App Store und da frage ich mich jetzt, 625 00:52:22,440 --> 00:52:26,520 dass weil Google ja immer sehr fahrlässig ja immer fahrlässiger umgeht mit sehen 626 00:52:26,520 --> 00:52:30,440 APS, wie soll das dann mit afdroid funktionieren? Mit anderen App Stores und 627 00:52:30,440 --> 00:52:36,640 wie soll das a) einmal compliant sein mit EU Regulation aber auf der anderen Seite 628 00:52:36,640 --> 00:52:40,080 wie stelle ich mir das jetzt vor wenn ich jetzt z.B sowas wie Password Manager habe 629 00:52:40,080 --> 00:52:45,240 und die aus afdroid BZI wie bitorn dann bin ich erstmal aufgeschmissen ab Android 630 00:52:45,240 --> 00:52:50,760 13 so wie ich das jetzt verstehe. Antwort: Also ich bin mir nicht ganz sicher wie das 631 00:52:50,760 --> 00:52:55,320 funktioniert, ich habe auch schon gelesen es gibt Workarounds dafür wenn man als 632 00:52:55,320 --> 00:52:59,800 User dann explizit noch mal hier und da klickt kann man es wieder aktivieren das 633 00:52:59,800 --> 00:53:03,680 müsste man wirklich noch mal nachgucken und wenn du dir jetzt z.B vielleicht auch 634 00:53:03,680 --> 00:53:07,520 eine Custom Firmware installierst kannst du natürlich da auch Andere AppStores 635 00:53:07,520 --> 00:53:12,080 freischalten als den PlayStore, damit die Apps die dadurch installiert werden diese 636 00:53:12,080 --> 00:53:17,120 Möglichkeit auch kriegen, bei Password- Managern gibt's aber eine Lösung ja also 637 00:53:17,120 --> 00:53:22,640 genau ich habe auch Bitwarden und es gibt da die Funktion autofill die auch dafür 638 00:53:22,640 --> 00:53:27,040 funktioniert und da kannst du Formulare aus en also explizit nur um Formulare 639 00:53:27,040 --> 00:53:30,840 auszufüllen gibt diese autofilfunktion und dann brauchst du nicht die größeren 640 00:53:30,840 --> 00:53:35,080 Permissions der accessibility Services. Mit EU Regulierungen kenne ich mich leider 641 00:53:35,080 --> 00:53:39,000 nicht aus, tut mir leid. Entschuldigung ich habe noch eine Sache 642 00:53:39,000 --> 00:53:42,080 dazwischen und zwar was wir glaube ich gar nicht so explizit erwähnt haben es gibt 643 00:53:42,080 --> 00:53:46,760 fast einen zweiten Teil zu dem was wir hier gerade machen in einer Stunde in 644 00:53:46,760 --> 00:53:52,840 genau 14:15 Uhr stage H, da oben steht ja genau nur dass ihr das mal gehört habt und 645 00:53:52,840 --> 00:53:57,280 wir haben praktische Aufgaben zum selber machen ausprobieren vorbereitet und 646 00:53:57,280 --> 00:54:01,800 mitgebracht und eventuell falls wir auch hier nicht dazu kommen alle Fragen zu 647 00:54:01,800 --> 00:54:05,300 beantworten ist da noch mal Raum und Zeit für Weiteres. 648 00:54:05,300 --> 00:54:08,720 Herald: Genau aber wir machen jetzt weiter mit dem Signal Angel weil die 649 00:54:08,720 --> 00:54:12,064 Internetfragen können nicht so einfach später gestellt werden, also lieber Signal 650 00:54:12,064 --> 00:54:14,480 Angel. Frage vom Signal Angel: Ja das Internet 651 00:54:14,480 --> 00:54:18,760 möchte einmal wissen ob Telefone mit alternativen Betriebssystemen wie Grafin 652 00:54:18,760 --> 00:54:23,500 OS z.B sicherer sind und ob es da auch nachgewiesene Angriffe gab. 653 00:54:23,500 --> 00:54:29,000 Antwort: Ja natürlich kann man alternative Betriebssysteme installieren die Wert auf 654 00:54:29,000 --> 00:54:34,480 Sicherheit legen griffinos empfehlen wir auch häufig JournalistInnen die besonders 655 00:54:34,480 --> 00:54:41,760 bedroht sind. Was genau also und da gibt's wirklich sehr gute Mechanismen wie z.B mit 656 00:54:41,760 --> 00:54:47,960 dem neuen Pixel memory Tagging Support wirklich starke Empfehlung das zu benutzen 657 00:54:47,960 --> 00:54:53,120 was man bei iPhones machen kann ist den Lockdown Mode einschalten wenn ihr bei in 658 00:54:53,120 --> 00:54:57,480 den Einstellungen bei eurem iPhone auf security geht und ganz nach unten scrollt 659 00:54:57,480 --> 00:55:01,120 auf Deutsch ist das Blockierungsmodus aktiviert das da steht da noch mal was 660 00:55:01,120 --> 00:55:06,680 genau das verändert aber auch eine gute Empfehlung. Spyware Angriffe mit Exploits 661 00:55:06,680 --> 00:55:11,600 auf grafinoS sind mir nicht bekannt ich glaube es gab noch keine das heißt aber 662 00:55:11,600 --> 00:55:15,400 natürlich nicht dass es nicht welche gab, also es ist natürlich trotzdem möglich 663 00:55:15,400 --> 00:55:17,800 eventuell sind die Exploit chains dann eben teurer. 664 00:55:17,800 --> 00:55:23,080 Herald: okay dann bitte Mikrofon 1. Frage: Ja hallo meine Frage schließt genau 665 00:55:23,080 --> 00:55:28,640 dort an, bei grafino gibt's ja diese Auditor App die auch von denen selbst 666 00:55:28,640 --> 00:55:32,320 bereitgestellt wird, habt ihr damit irgendwelche Erfahrungen, macht das Sinn, 667 00:55:32,320 --> 00:55:36,320 vertraut ihr auch diesem attention Service den die selbst betreiben? 668 00:55:36,320 --> 00:55:42,000 Antwort: Genau es gibt diese Auditor App die eben verifiziert dass dein 669 00:55:42,000 --> 00:55:44,920 Betriebssystem noch dein Betriebssystem ist und macht das auch über Remote 670 00:55:44,920 --> 00:55:49,680 attestation das heißt du hast eine kryptographische Challenge die du nur 671 00:55:49,680 --> 00:55:55,000 lösen kannst wenn dein Betriebssystem nicht manipuliert wurde und du Zugriff auf 672 00:55:55,000 --> 00:55:58,520 gewisse Keys hast und das überprüft ein externer Service und der schickt dir dann 673 00:55:58,520 --> 00:56:01,720 ja eine E-Mail mit so Totmannschalterprinzip, wenn das nicht 674 00:56:01,720 --> 00:56:07,160 geklappt hat. Das ist auf jeden Fall eine coole Lösung, kann ich empfehlen das zu 675 00:56:07,160 --> 00:56:10,800 benutzen wenn du dem Server von griffino es nicht vertraust kann man ja zum Glück 676 00:56:10,800 --> 00:56:15,840 selber einen betreiben. Wir haben uns auch z.B mal überlegt so ein zu betreiben und 677 00:56:15,840 --> 00:56:20,200 JournalistInnen anzubieten haben das jetzt noch nicht umgesetzt aber du kannst ja 678 00:56:20,200 --> 00:56:24,600 auch ein betreiben und auch öffentlich stellen oder andere Organisationen können 679 00:56:24,600 --> 00:56:28,120 das machen, das ist auf jeden Fall auch eine gute Methode um mitzukriegen wann man 680 00:56:28,120 --> 00:56:30,980 eventuell so ein Angriff ausgesetzt wurde. Frage: Cool danke. 681 00:56:30,980 --> 00:56:33,820 Herald: Danke die nächste Frage aus dem Internet bitte. 682 00:56:33,820 --> 00:56:38,640 Frage: Das Internet möchte noch wissen wie sich das beim iPhone verhält, wenn die 683 00:56:38,640 --> 00:56:42,280 Methoden die ja hauptsächlich auf dem Backup und auf Fehlern von Angreifern 684 00:56:42,280 --> 00:56:46,200 beruhen in der Forensik, wenn sich die Angreifer verbessern und weniger Fehler 685 00:56:46,200 --> 00:56:48,500 machen welche Auswirkung das dann haben würde? 686 00:56:48,500 --> 00:56:54,120 Antwort: Also na ja das ist das deshalb gab es eine Folie mit dem Namen Katz und 687 00:56:54,120 --> 00:56:59,320 Mauspiel so ist bis jetzt ist der Zustand noch nicht eingetreten dass Leute es 688 00:56:59,320 --> 00:57:05,840 geschafft haben völlig spurenfreie Spyware zu schreiben, aber das Problem ist also 689 00:57:05,840 --> 00:57:09,600 wenn man davon ausgeht Leute haben beliebig viel Zeit und beliebig viel Geld 690 00:57:09,600 --> 00:57:14,640 um beliebig viele Exploits zu kaufen um Sicherheitsmechanismen auszubrechen ist es 691 00:57:14,640 --> 00:57:19,040 natürlich technisch möglich dass wir es irgendwann mit zweibytes zu tun haben die 692 00:57:19,040 --> 00:57:23,440 einfach keine Spuren mehr hinterlässt. So das würde vielleicht immer noch im 693 00:57:24,160 --> 00:57:28,920 Netzwerk Traffic würde man Sachen sehen aber auch das kann man ja irgendwie 694 00:57:28,920 --> 00:57:33,760 beliebig kompliziert verstecken, deshalb ja wir haben kein Anrecht darauf man hat 695 00:57:33,760 --> 00:57:40,440 kein Anrecht darauf etwas finden zu können und ja bis jetzt geht es aber das ist 696 00:57:40,440 --> 00:57:45,040 ungeklärt und eigentlich eine Sache je mehr Geld da reingesteckt wird in dieses 697 00:57:45,040 --> 00:57:48,120 Spyunternehmen und vor allem auch je schlechter die europäischen 698 00:57:48,120 --> 00:57:51,560 Exportkontrollen funktionieren und das Geld dann da tatsächlich auch reinwandert 699 00:57:52,560 --> 00:57:56,320 ja desto schlechter sieht es eigentlich aus mit der der Sicherheit von Menschen in 700 00:57:56,320 --> 00:58:00,800 der Zivilgesellschaft. Aber was da natürlich wünschenswert wäre ist wenn z.B 701 00:58:00,800 --> 00:58:05,200 iPhones auch so ein Remote adustation Feature hätten, das könnte natürlich eine 702 00:58:05,200 --> 00:58:12,760 Möglichkeit sein ja und aber natürlich arbeitet Apple auch weiter in Ihrem 703 00:58:12,760 --> 00:58:19,000 Betriebssystem und dann kann es auch sein dass wieder irgendwo Spuren auftauchen die 704 00:58:19,000 --> 00:58:22,980 es vorher noch nicht gab. Herald: Mikrofon 3 bitte. 705 00:58:22,980 --> 00:58:28,200 Frage: Hallo guten Morgen, kurze Frage ich habe letztens glaube ich gelesen dass 706 00:58:28,200 --> 00:58:34,240 Microsoft eingeklagt hat einen neuen Store auf iOS veröffentlichen zu dürfen, würde 707 00:58:34,240 --> 00:58:37,960 das also wie würde die Frage dazu wie würde das die Forensik bzw die 708 00:58:37,960 --> 00:58:44,120 Exploitmöglichkeiten von iOS verändern? Antwort: Ich glaube das hängt vor allem 709 00:58:44,120 --> 00:58:49,600 davon ab wie die das genau umsetzen würden. Angenommen es gibt dann genau zwei 710 00:58:49,600 --> 00:58:58,400 App Stores vielleicht erstmal nicht so stark angenommen es gibt Siteloading, dann 711 00:58:58,400 --> 00:59:01,680 gehen diese ganzen Sachen auf Analysetechniken auf die man auch bei 712 00:59:01,680 --> 00:59:07,920 Android die wir gezeigt haben mit, welche Apps wurden da jetzt selber installiert. 713 00:59:07,920 --> 00:59:13,160 Es vielleicht fallen diese also es gibt ja Mechanismen die eigentlich dazu führen 714 00:59:13,160 --> 00:59:17,200 sollen dass nur gutartige und nette Apps im Apple App Store landen und keine 715 00:59:17,200 --> 00:59:20,880 bösartigen, eventuell gibt's dann ganz viele, aber das jetzt alles Spekulation, 716 00:59:20,880 --> 00:59:23,760 also ich glaub da muss man einfach gucken was passiert und wie das genau umgesetzt 717 00:59:23,760 --> 00:59:28,160 wird ja. Herald: Mikrofon 1 bitte. 718 00:59:28,160 --> 00:59:33,440 Frage: Ja Frage eher an Janiik wahrscheinlich, was hältst du von dem work 719 00:59:33,440 --> 00:59:39,360 Mode in Android wo man so also manche verwenden um Apps zu installieren die zu 720 00:59:39,360 --> 00:59:43,120 den man irgendwie gezwungen wird und die man aber eigentlich nicht mehr angucken 721 00:59:43,120 --> 00:59:47,840 möchte. Kann man das machen oder kann man sich die Mühe da auch sparen und we was 722 00:59:47,840 --> 00:59:50,780 ich ein zweites Handy nehmen oder gar kein Handy? 723 00:59:50,780 --> 00:59:58,080 Antwort: Da kann ich dir die Dokumentation von empfehlen der workmode ist ja nur ein 724 00:59:58,080 --> 01:00:03,280 besonderer sekundärer Benutzermodus also du hast ja auf Android generell die 725 01:00:03,280 --> 01:00:07,640 Möglichkeit keinen sekundäre Benutzer zu erstellen und für die z.B auch eigene 726 01:00:07,640 --> 01:00:12,040 Passwörter zu wählen und die haben dann auch andere Keys für die filebased 727 01:00:12,040 --> 01:00:16,680 encryption das heißt wenn man das eine Passwort knacken würde, würde man 728 01:00:16,680 --> 01:00:20,440 eventuell nicht auf die sekundären Nutzer zugreifen was auch ein cooles Feature ist 729 01:00:20,440 --> 01:00:24,600 und z.B auch hilfreich sein kann für Grenzkontrollen mit so entsperen man dein 730 01:00:24,600 --> 01:00:28,040 Hand und dann entsperst du nur einen Benutzer nicht den anderen und da könnte 731 01:00:28,040 --> 01:00:31,840 man auch coole Sachen bauen wie z.B mit einem password was anderes entsperren als 732 01:00:31,840 --> 01:00:36,240 beim anderen ähnlich wie be veracrypt und der workmode ist ja nur ein Shortcut dass 733 01:00:36,240 --> 01:00:39,800 ich nicht erst den Benutzer wechseln muss um diese App zu starten sondern ich habe 734 01:00:39,800 --> 01:00:44,560 die App dann automatisch in meinem primären Benutzerprofil und die startet 735 01:00:44,560 --> 01:00:50,640 sich dann automatisch in in diesem sekundären Benutzer ja und das ist eine 736 01:00:50,640 --> 01:00:54,480 zusätzliche Isolation also das ja normalerweise sowieso App Sandbox auf 737 01:00:54,480 --> 01:00:58,080 Android und die Apps können nur miteinander kommunizieren wenn Sie beide 738 01:00:58,080 --> 01:01:02,280 Zugriff auf den gleichen Datei Speeicherort haben musst du die Permission 739 01:01:02,280 --> 01:01:05,240 geben oder wenn Sie beide anmelden ich möchte mit der App kommunizieren die 740 01:01:05,240 --> 01:01:09,080 andere meldet auch an ich möchte mit der App kommunizieren, dann können Sie so eine 741 01:01:09,080 --> 01:01:13,680 Art Interprozesskommunikation machen und sowas würdest du unterbinden z.B wenn du 742 01:01:13,680 --> 01:01:18,760 den workmode benutzt. Also dann könnte nicht die App im workmode auf die anderen 743 01:01:18,760 --> 01:01:23,120 Apps zugreifen ja kann man benutzen auf jeden Fall für Separierung. 744 01:01:23,120 --> 01:01:26,280 Frage: Gut danke. Herald: Die Zeit für Fragen ist leider 745 01:01:26,280 --> 01:01:29,960 vorbei ich merke es ist noch großes Interesse da, ihr seid in einer Stunde im 746 01:01:29,960 --> 01:01:34,800 Workshop verfügbar Halle H, bitte einen riesen Applaus für Janik Besendorf und 747 01:01:34,800 --> 01:01:55,427 Viktor Schlüter. 748 01:01:55,427 --> 01:01:57,956 Applaus 749 01:01:57,956 --> 01:02:00,793 Abspannmusik 750 01:02:00,793 --> 01:02:02,560 Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!