Offensive Services

iPhone gehackt? – So testen Sie Ihr Gerät auf Spyware!

Aktualisiert am

Wenn eine dubiose Webseite angesurft wurde oder der Link in einer merkwürdigen E-Mail angeklickt worden ist, liegt der Verdacht nahe, dass Schadsoftware auf dem eigenen iPhone installiert worden ist. Mit dem Mobile Verification Toolkit können Sie selbst überprüfen, ob Ihr iPhone gehackt worden ist.

iPhone gehackt? – So finden Sie es heraus

Das Mobile Verification Toolkit (MVT) ist ein Open Source Werkzeug, welches von der Menschenrechtsorganisation Amnesty International erstellt worden ist. MVT ist auf GitHub verfügbar und versucht Spyware aus Backup-Dateien von iPhones zu erkennen. Die Spyware Pegasus der NSO Gruppe ist hierbei stark im Fokus, da diese Spyware-Familie ausschlaggebend für viele Untersuchungen der Amnesty International war.

Mithilfe des MVT können Nutzer nun eigenständig überprüfen, ob Ihr iPhone gehackt worden ist oder nicht. Zwar hilft das Mobile Verfication Toolkit hauptsächlich dabei, die Pegasus-Familie zu entdecken, dennoch ist diese Überprüfung durch den niedrigen Aufwand sehr empfehlenswert.

MVT Installation

Um nun überprüfen zu können, ob das eigene iPhone gehackt worden ist und somit von Spyware betroffen ist, muss das Mobile Verification Toolkit zunächst heruntergeladen werden und ein verschlüsseltes iPhone Backup erstellt werden. Ausführliche Installationsanleitungen sowohl für die iOS-Nutzung als auch die Android-Nutzung kann auf der Webseite des Projektes angesehen werden. Im Folgenden fassen wir die wichtigsten Installationsschritte zusammen, um überprüfen zu können, ob das eigene iPhone gehackt worden ist:

1. Mobile Verification Toolkit herunterladen und installieren

Um das Toolkit von Amnesty International benutzen zu können, muss dies zunächst von dem GitHub-Repository heruntergeladen werden. Auf einem Apple-Laptop mit macOS kann dies einfach über Homebrew erledigt werden. Dazu muss aus einem Terminal der Befehl: brew install git python3 libusb eingegeben werden. Mit diesem Befehl werden alle Abhängigkeiten heruntergeladen, die MVT benötigt, um fehlerfrei zu laufen.

Anschließend kann das Projekt von den GitHub-Servern heruntergeladen werden mit dem Befehl: git clone https://github.com/mvt-project/mvt.git  Um das Werkzeug nun zu installieren, müssen wir zunächst in den soeben heruntergeladenen Ordner wechseln (cd mvt) und anschließend die Installation starten (pip3 install .). Nun ist das Programm mvt-ios aus dem Terminal erreichbar und wir können untersuchen, ob das iPhone gehackt worden ist.

2. iPhone Backup erstellen und verschlüsseln

Ein Backup von einem iPhone zu erstellen funktioniert am einfachsten auf einem macOS System. Anleitungen zur Erstellung auf einem Windows-System gibt es bspw. von heise. Wir beschreiben im Folgenden die Erstellung unter einem macOS System. Das iPhone muss an das macOS System angeschlossen werden und über den Finder ausgewählt werden. Anschließend muss in der Kategorie “Backups” die Punkte “Erstelle ein Backup aller Daten deines iPhone auf diesem Mac” und “Lokales Backup verschlüsseln” ausgewählt werden.

iPhone Backup
Ein verschlüsseltes Backup speichert mehr Daten und ist für die Untersuchung mit dem MVT empfehlenswert.

3. Backup entschlüsseln

Nachdem wir das Backup erfolgreich erstellt haben, muss es entschlüsselt werden, damit das Mobile Verification Toolkit dieses untersuchen kann. Dazu öffnen wir ein Terminal und geben folgenden Befehl ein: mvt-ios decrypt-backup -p passwort -d pfad/zum/backup

Das passwort muss mit dem ausgewählten Passwort übereinstimmen, welches wir bei der Erstellung des Backups gewählt haben. pfad/zum/backup steht für den Speicherort des eben erstellten Backups. Üblicherweise besteht der Name eines solchen Backups aus 7 Zahlen, die durch einen Bindestrich von 13 weiteren Zahlen getrennt sind (1234567-1234567890123). Durch diesen Befehl wird das Backup entschlüsselt und wir können mit dem nächsten Schritt fortfahren.

4. Indikatoren laden

Das MVT untersucht ein gegebenes Backup nach gewissen Indikatoren ab. Solche Indikatoren müssen jedoch nachgeladen werden, da diese nicht in dem GitHub-Repository des Mobile Verification Toolkit vorhanden sind. Amnesty International hat für die Spyware-Familie Pegasus ein eigenes Repository mit passenden Indikatoren angelegt. Dieses Repository kann mit dem Befehl: git clone https://github.com/AmnestyTech/investigations.git heruntergeladen werden.

Nun haben wir sämtliche Programme und Dateien heruntergeladen bzw. erstellt, die für die Untersuchung notwendig sind. Im nächsten Schritt wird das Analyse-Werkzeug gestartet und somit geprüft, ob das iPhone gehackt worden ist, oder nicht.

5. Analyse starten und Ergebnisse auswerten

Die Analyse können wir nun mit dem Befehl: mvt-ios check-backup -i pfad/zu/pegasus.stix2 -o ergebnis/ordner pfad/zum/entschlüsselten/backup starten. pfad/zu/pegasus.stix2 ist eine Datei mit Indikatoren, die für die Pegasus-Familie passend erstellt worden ist. Hinter dem Flag -i können auch andere Indikatoren geladen werden, auf die das Backup untersucht werden soll. Die Flag -o gibt den Output-Ordner an, in dem die Ergebnisse gespeichert werden sollen. Dieser Ordner muss vor der Analyse bereits erstellt worden sein. pfad/zum/entschlüsselten/backup muss wie der Name bereits sagt, den kompletten Pfad zu dem in Schritt 3 entschlüsselten Backup tragen.

Nachdem die Analyse durchlaufen ist, können wir in dem Output-Ordner viele unterschiedliche json und csv Dateien sehen. Diese müssen nun manuell untersucht werden, ein guter Startpunkt ist die Timeline.csv, die sämtliche Aktionen auf einer Zeitlinie zusammenfasst. Nun gilt es eigene Auffälligkeiten zu entdecken, wie bspw. regelmäßige Prozesse die gestartet werden, nachdem eine E-Mail geöffnet wurde oder Ähnliches. Mithilfe dieser Output-Dateien können Sie nun feststellen, ob Ihr iPhone gehackt worden ist, oder nicht.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.