Nutzer von iOS mussten sich lange keine Gedanken darüber machen, ob ihr Smartphone heimlich von einem Trojaner ausspioniert wird, denn das Apple-Betriebssystem galt aufgrund der strengen Sicherheitsauflagen von Apple als sicher. Doch nachdem eine Gruppe von internationalen Journalisten aus 17 Redaktionen zusammen mit Amnesty International im Juli 2021 enthüllt hatte, dass mithilfe einer Spionagesoftware des israelischen Herstellers NSO Group weltweit Politiker, Aktivisten und Journalisten ausspioniert wurden, wackelt diese Gewissheit.
Der Softwareanbieter dementierte umgehend und sprach von „falschen Vorwürfen und irreführenden Behauptungen.“ Als Quelle nannten die Journalisten eine Liste von 50.000 Telefonnummern von geplanten Überwachungszielen, die ihnen vorliege. Einen unabhängigen Beweis, dass mit Pegasus in der Praxis wirklich Journalisten überwacht werden, gab es da aber noch nicht [1].
Anfang August folgte dann die erste unabhängige Bestätigung, wie der britische Guardian berichtet. Frankreichs Behörde für Informationssicherheit ANSSI konnte die Schadsoftware auf den Smartphones von drei Journalisten nachweisen. Spuren von Pegasus fanden sie auf dem Gerät eines TV-Journalisten von France 24 und bei einer Journalistin und einem Journalisten des investigativen Internetportals Mediapart aus Frankreich. Laut Guardian seien die Erkenntnisse an die Pariser Staatsanwaltschaft weitergegeben worden, die in dem Fall ermittle. In Frankreich wird das Thema in der Öffentlichkeit besonders intensiv verfolgt, weil im Datensatz der Spionageopfer auch eine Telefonnummer von Staatspräsident Emmanuel Macron zu finden war.
Dass Privatpersonen, die nicht im Fokus von ausländischen Geheimdiensten stehen, unter den Opfern sind, gilt zum aktuellen Stand eher als unwahrscheinlich. Wenn Sie dennoch sicher sein wollen, dass Sie nicht im Visier von Überwachern sind, können Sie Ihr Mobiltelefon selbst auf Spuren von Pegasus untersuchen. Für die Analyse des eigenen Telefons hat Amnesty International ein Python-Kommandozeilenwerkzeug gebaut und als Open-Source-Projekt veröffentlicht. Mit dem Mobile Verification Toolkit (MVT, https://mvt.re) können Sie iOS nach Hinweisen auf eine Infektion mit der Pegasus-Spyware überprüfen. Android-Geräte kann sich das Werkzeug auch ansehen, aber nur einen kleinen Teil der Infektionen aufdecken. Unter iOS hinterlässt Pegasus mehr Spuren.
Unter Windows erzeugen Sie ein Backup über iTunes. Schließen Sie das iPhone per Kabel an, starten Sie iTunes und klicken Sie auf das Gerät. Unter macOS ist die iPhone-Verwaltung aus iTunes in den Finder gewandert. Sie finden ein angeschlossenes Telefon links im Menü. Nutzen Sie zum Verschlüsseln ein Kennwort, das Sie sonst nicht im Einsatz haben, weil Sie es später auf der Kommandozeile im Klartext übergeben müssen.
MVT untersucht Logs in einem iOS-Backup auf Spuren von Spionagewerkzeugen wie Pegasus.
Wenn Sie weder macOS noch Windows zur Hand haben oder die Kommandozeile nicht verlassen wollen, können Sie das Backup mit dem Kommandozeilenwerkzeugkasten libimobiledevice erzeugen, den es für Windows, macOS und Linux gibt (zu finden über ct.de/y8nb).
Jetzt müssen Sie den Backup-Ordner aufspüren. Unter macOS liegen die Backups im Ordner ~/Library/Application Support/MobileSync/, unter Windows entweder im Ordner %USERPROFILE%\Apple\MobileSync oder unter %USERPROFILE%\AppData\Roaming\Apple Computer\MobileSync.
Als Mac-Anwender finden Sie das Backup aber am schnellsten über die Oberfläche im Finder, über die Sie es auch erzeugt haben. Mit einem Klick auf „Backups verwalten“ öffnet sich dort eine Liste. Per Rechtsklick auf das aktuelle Backup finden Sie die Funktion „Im Finder zeigen“. So landen Sie direkt im richtigen Ordner, der mit einer GUID im Format 00000000-0000000000000000 benannt ist. Sie brauchen später den vollständigen Pfad zu diesem Ordner, der viele weitere Unterordner enthält.
brew install git python3 libusb
Mit Python unter Windows haben die MVT-Entwickler ungelöste Probleme festgestellt und raten daher davon ab. Stattdessen sollten Windows-Nutzer auf das Windows Subsystem for Linux ausweichen (Dokumentation zu finden über ct.de/y8nb). Das hat Microsoft in Windows integriert und es stellt eine Linux-Kommandozeile bereit. Python ist in den meisten Distributionen schon installiert.
Wenn Sie Python installiert haben, klonen Sie das Repository mit git:
git clone GitHub - mvt-project/mvt: MVT is a forensic tool to look for signs of infection in smartphone devices
Wechseln Sie dann in den Ordner:
cd mvt
Dort installieren Sie die Abhängigkeiten mit dem Paketmanager Pip. Unter macOS lautet der Befehl:
pip3 install .
Unter Linux (und im WSL) erreichen Sie Pip ohne die Versionsnummer:
pip install .
Nun ist der Befehl mvt-ios verfügbar.
mvt-ios decrypt-backup -p <Passwort> -d <Zielpfad> <Backup-Pfad>/00000000-0000000000000/
In diesem Befehl müssen Sie einen Zielpfad angeben. Der muss schon existieren und beschreibbar sein. Setzen Sie außerdem den Pfad zum Backup und das Kennwort ein.
git clone GitHub - AmnestyTech/investigations: Indicators from Amnesty International's investigations
Die relevanten Daten liegen dann im Ordner investigations/2021-07-18_nso/.
mvt-ios check-backup -i ./investigations/2021-07-18_nso/pegasus.stix2 -o <Ordner für die Ergebnisse> <Pfad zum entpackten Backup>
Auf unserem macOS-System sah der Befehl dann so aus:
mvt-ios check-backup -i ./investigations/2021-07-18_nso/pegasus.stix2 -o results/ ../../Documents/Backup_decrypted/
Nachdem das Toolkit die Logs ausgewertet und seine Arbeit beendet hat, liegen einige Dateien im Ausgabeordner, vorwiegend Log-Dateien.
Sie können sich aber auch selbst auf die Spurensuche begeben. Ausgangspunkt ist die Datei timeline.csv, die MVT erstellt und die Ereignisse aus verschiedenen Logs chronologisch sortiert zusammenfasst und damit den Ablauf der mitgeschriebenen Aktionen (Benachrichtigungen, Telemetrie, Anrufe oder Webseitenaufrufe) rekonstruiert. Öffnen können Sie diese mit einer Tabellenkalkulation wie Excel oder LibreOffice. Amnesty konnte in der Analyse beobachten, dass kurz nach dem Empfang einer iMessage-Nachricht immer ein verräterischer Prozess gestartet wurde, der im Namen die Abkürzung „bh“ (vermutlich für Bridge Head, Brückenkopf) enthält.
Nach Abschluss der Untersuchungen sollten Sie das entpackte, aber auch das verschlüsselte Backup entsorgen, da das Kennwort in der History der Kommandozeile liegt.
Sollten Sie wider Erwarten Dateien mit _detected in der Auswertung finden, sind Sie möglicherweise versehentlich oder mit voller Absicht ins Visier von ausländischen Geheimdiensten geraten – die deutschen beteuern, Pegasus nicht eingesetzt zu haben. Gern können Sie das Heise-Investigativteam mit Ihren Beobachtungen kontaktieren, auch anonym über das Tor-Netzwerk. Informationen finden Sie über heise.de/investigativ. (jam@ct.de)
Quelle: c‘t
Der Softwareanbieter dementierte umgehend und sprach von „falschen Vorwürfen und irreführenden Behauptungen.“ Als Quelle nannten die Journalisten eine Liste von 50.000 Telefonnummern von geplanten Überwachungszielen, die ihnen vorliege. Einen unabhängigen Beweis, dass mit Pegasus in der Praxis wirklich Journalisten überwacht werden, gab es da aber noch nicht [1].
Anfang August folgte dann die erste unabhängige Bestätigung, wie der britische Guardian berichtet. Frankreichs Behörde für Informationssicherheit ANSSI konnte die Schadsoftware auf den Smartphones von drei Journalisten nachweisen. Spuren von Pegasus fanden sie auf dem Gerät eines TV-Journalisten von France 24 und bei einer Journalistin und einem Journalisten des investigativen Internetportals Mediapart aus Frankreich. Laut Guardian seien die Erkenntnisse an die Pariser Staatsanwaltschaft weitergegeben worden, die in dem Fall ermittle. In Frankreich wird das Thema in der Öffentlichkeit besonders intensiv verfolgt, weil im Datensatz der Spionageopfer auch eine Telefonnummer von Staatspräsident Emmanuel Macron zu finden war.
Sicheres Gefühl
Für die Massenüberwachung der gesamten Bevölkerung ist Pegasus nicht gedacht, sondern für gezielte Überwachungsmaßnahmen – deutsche Nummern seien nicht im Datensatz, so das Rechercheteam. Pegasus fand seinen Weg vorbei an den Sicherheitsmechanismen von iOS und Android und das ganz ohne dass das Opfer einen präparierten Link anklicken musste. Einfallstore waren wohl bis dahin ungepatchte Sicherheitslücken beim Empfang von Messenger-Nachrichten.Dass Privatpersonen, die nicht im Fokus von ausländischen Geheimdiensten stehen, unter den Opfern sind, gilt zum aktuellen Stand eher als unwahrscheinlich. Wenn Sie dennoch sicher sein wollen, dass Sie nicht im Visier von Überwachern sind, können Sie Ihr Mobiltelefon selbst auf Spuren von Pegasus untersuchen. Für die Analyse des eigenen Telefons hat Amnesty International ein Python-Kommandozeilenwerkzeug gebaut und als Open-Source-Projekt veröffentlicht. Mit dem Mobile Verification Toolkit (MVT, https://mvt.re) können Sie iOS nach Hinweisen auf eine Infektion mit der Pegasus-Spyware überprüfen. Android-Geräte kann sich das Werkzeug auch ansehen, aber nur einen kleinen Teil der Infektionen aufdecken. Unter iOS hinterlässt Pegasus mehr Spuren.
iPhone-Untersuchung
Wir ließen das Analysewerkzeug auf ein iPhone 11 (iOS 14.7) los. Dazu erstellten wir zuerst ein verschlüsseltes Backup des Smartphones, das wir mit dem MVT dann wieder entschlüsselten, um anschließend die Logs auf eine mögliche Infektion mit der Pegasus-Spyware zu durchforsten. Die Verschlüsselung ist nötig, da iOS aus Sicherheitsgründen nur dann die interessanten Daten mit ins Backup schreibt.Unter Windows erzeugen Sie ein Backup über iTunes. Schließen Sie das iPhone per Kabel an, starten Sie iTunes und klicken Sie auf das Gerät. Unter macOS ist die iPhone-Verwaltung aus iTunes in den Finder gewandert. Sie finden ein angeschlossenes Telefon links im Menü. Nutzen Sie zum Verschlüsseln ein Kennwort, das Sie sonst nicht im Einsatz haben, weil Sie es später auf der Kommandozeile im Klartext übergeben müssen.
MVT untersucht Logs in einem iOS-Backup auf Spuren von Spionagewerkzeugen wie Pegasus.
Wenn Sie weder macOS noch Windows zur Hand haben oder die Kommandozeile nicht verlassen wollen, können Sie das Backup mit dem Kommandozeilenwerkzeugkasten libimobiledevice erzeugen, den es für Windows, macOS und Linux gibt (zu finden über ct.de/y8nb).
Jetzt müssen Sie den Backup-Ordner aufspüren. Unter macOS liegen die Backups im Ordner ~/Library/Application Support/MobileSync/, unter Windows entweder im Ordner %USERPROFILE%\Apple\MobileSync oder unter %USERPROFILE%\AppData\Roaming\Apple Computer\MobileSync.
Als Mac-Anwender finden Sie das Backup aber am schnellsten über die Oberfläche im Finder, über die Sie es auch erzeugt haben. Mit einem Klick auf „Backups verwalten“ öffnet sich dort eine Liste. Per Rechtsklick auf das aktuelle Backup finden Sie die Funktion „Im Finder zeigen“. So landen Sie direkt im richtigen Ordner, der mit einer GUID im Format 00000000-0000000000000000 benannt ist. Sie brauchen später den vollständigen Pfad zu diesem Ordner, der viele weitere Unterordner enthält.
Mobile Verification Toolkit installieren
Um das Backup zu untersuchen, brauchen Sie das Mobile Verification Toolkit und Python 3, außerdem die Bibliothek libusb. Unter macOS installiert man all das am bequemsten mit dem Paketmanager Homebrew [2]:brew install git python3 libusb
Mit Python unter Windows haben die MVT-Entwickler ungelöste Probleme festgestellt und raten daher davon ab. Stattdessen sollten Windows-Nutzer auf das Windows Subsystem for Linux ausweichen (Dokumentation zu finden über ct.de/y8nb). Das hat Microsoft in Windows integriert und es stellt eine Linux-Kommandozeile bereit. Python ist in den meisten Distributionen schon installiert.
Wenn Sie Python installiert haben, klonen Sie das Repository mit git:
git clone GitHub - mvt-project/mvt: MVT is a forensic tool to look for signs of infection in smartphone devices
Wechseln Sie dann in den Ordner:
cd mvt
Dort installieren Sie die Abhängigkeiten mit dem Paketmanager Pip. Unter macOS lautet der Befehl:
pip3 install .
Unter Linux (und im WSL) erreichen Sie Pip ohne die Versionsnummer:
pip install .
Nun ist der Befehl mvt-ios verfügbar.
Backup entschlüsseln
Vor der Analyse müssen Sie das Backup mit mvt-ios decrypt-backup entschlüsseln, um es untersuchen zu können:mvt-ios decrypt-backup -p <Passwort> -d <Zielpfad> <Backup-Pfad>/00000000-0000000000000/
In diesem Befehl müssen Sie einen Zielpfad angeben. Der muss schon existieren und beschreibbar sein. Setzen Sie außerdem den Pfad zum Backup und das Kennwort ein.
Spyware-Indikatoren laden
Das Werkzeug braucht noch Anweisungen, nach welcher Art von Spuren es suchen soll. Diese Indikatorsammlung für die Pegasus-Spyware liegt in einem weiteren Repository, das Sie im aktuellen Ordner mvtauschecken können:git clone GitHub - AmnestyTech/investigations: Indicators from Amnesty International's investigations
Die relevanten Daten liegen dann im Ordner investigations/2021-07-18_nso/.
Backup überprüfen lassen
Nun liegt alles bereit, um das Backup zu prüfen. Dazu starten Sie auf der Kommandozeile den Befehl mvt-ios check-backup mit den Pfaden zur Indiziendatei, zum entpackten Backup und zu einem neuen Pfad für die Ergebnisse. Auch den müssen Sie vorher anlegen und darin schreiben dürfen:mvt-ios check-backup -i ./investigations/2021-07-18_nso/pegasus.stix2 -o <Ordner für die Ergebnisse> <Pfad zum entpackten Backup>
Auf unserem macOS-System sah der Befehl dann so aus:
mvt-ios check-backup -i ./investigations/2021-07-18_nso/pegasus.stix2 -o results/ ../../Documents/Backup_decrypted/
Nachdem das Toolkit die Logs ausgewertet und seine Arbeit beendet hat, liegen einige Dateien im Ausgabeordner, vorwiegend Log-Dateien.
Auswertung
MVT extrahiert aber nicht nur Logs, sondern prüft auch automatisch nach Anzeichen der Pegasus-Spyware. Das Werkzeug schaut dazu nach Domains oder E-Mail-Adressen, die der Spyware zugeordnet sind. In der Auswertung ist auch genau zu sehen, welche Datenmengen es analysiert. Wenn MVT anhand der Indiziendatei Verdächtiges gefunden hat, schreibt es eine JSON-Datei, deren Name mit _detected beginnt. Wenn Sie eine solche finden, haben Sie möglicherweise ein Problem!Sie können sich aber auch selbst auf die Spurensuche begeben. Ausgangspunkt ist die Datei timeline.csv, die MVT erstellt und die Ereignisse aus verschiedenen Logs chronologisch sortiert zusammenfasst und damit den Ablauf der mitgeschriebenen Aktionen (Benachrichtigungen, Telemetrie, Anrufe oder Webseitenaufrufe) rekonstruiert. Öffnen können Sie diese mit einer Tabellenkalkulation wie Excel oder LibreOffice. Amnesty konnte in der Analyse beobachten, dass kurz nach dem Empfang einer iMessage-Nachricht immer ein verräterischer Prozess gestartet wurde, der im Namen die Abkürzung „bh“ (vermutlich für Bridge Head, Brückenkopf) enthält.
Nach Abschluss der Untersuchungen sollten Sie das entpackte, aber auch das verschlüsselte Backup entsorgen, da das Kennwort in der History der Kommandozeile liegt.
Sollten Sie wider Erwarten Dateien mit _detected in der Auswertung finden, sind Sie möglicherweise versehentlich oder mit voller Absicht ins Visier von ausländischen Geheimdiensten geraten – die deutschen beteuern, Pegasus nicht eingesetzt zu haben. Gern können Sie das Heise-Investigativteam mit Ihren Beobachtungen kontaktieren, auch anonym über das Tor-Netzwerk. Informationen finden Sie über heise.de/investigativ. (jam@ct.de)
Quelle: c‘t