Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

iPhone gehackt? – So testen Sie Ihr Gerät auf Spyware!

M.Sc. Jan Hörnemann

Wenn eine dubiose Webseite angesurft wurde oder der Link in einer merkwürdigen E-Mail angeklickt worden ist, liegt der Verdacht nahe, dass Schadsoftware auf dem eigenen iPhone installiert worden ist. Mit dem Mobile Verification Toolkit können Sie selbst überprüfen, ob Ihr iPhone gehackt worden ist.

iPhone gehackt? – So finden Sie es heraus

Das Mobile Verification Toolkit (MVT) ist ein Open Source Werkzeug, welches von der Menschenrechtsorganisation Amnesty International erstellt worden ist. MVT ist auf GitHub verfügbar und versucht Spyware aus Backup-Dateien von iPhones zu erkennen. Die Spyware Pegasus der NSO Gruppe ist hierbei stark im Fokus, da diese Spyware-Familie ausschlaggebend für viele Untersuchungen der Amnesty International war.

Mithilfe des MVT können Nutzer nun eigenständig überprüfen, ob Ihr iPhone gehackt worden ist oder nicht. Zwar hilft das Mobile Verfication Toolkit hauptsächlich dabei, die Pegasus-Familie zu entdecken, dennoch ist diese Überprüfung durch den niedrigen Aufwand sehr empfehlenswert.


Keinen Beitrag mehr verpassen – jetzt eintragen

Jetzt E-Mail eintragen, bestätigen und keinen Beitrag verpassen!



MVT Installation

Um nun überprüfen zu können, ob das eigene iPhone gehackt worden ist und somit von Spyware betroffen ist, muss das Mobile Verification Toolkit zunächst heruntergeladen werden und ein verschlüsseltes iPhone Backup erstellt werden. Ausführliche Installationsanleitungen sowohl für die iOS-Nutzung als auch die Android-Nutzung kann auf der Webseite des Projektes angesehen werden. Im Folgenden fassen wir die wichtigsten Installationsschritte zusammen, um überprüfen zu können, ob das eigene iPhone gehackt worden ist:

1. Mobile Verification Toolkit herunterladen und installieren

Um das Toolkit von Amnesty International benutzen zu können, muss dies zunächst von dem GitHub-Repository heruntergeladen werden. Auf einem Apple-Laptop mit macOS kann dies einfach über Homebrew erledigt werden. Dazu muss aus einem Terminal der Befehl: brew install git python3 libusb eingegeben werden. Mit diesem Befehl werden alle Abhängigkeiten heruntergeladen, die MVT benötigt, um fehlerfrei zu laufen.

Anschließend kann das Projekt von den GitHub-Servern heruntergeladen werden mit dem Befehl: git clone https://github.com/mvt-project/mvt.git  Um das Werkzeug nun zu installieren, müssen wir zunächst in den soeben heruntergeladenen Ordner wechseln (cd mvt) und anschließend die Installation starten (pip3 install .). Nun ist das Programm mvt-ios aus dem Terminal erreichbar und wir können untersuchen, ob das iPhone gehackt worden ist.

2. iPhone Backup erstellen und verschlüsseln

Ein Backup von einem iPhone zu erstellen funktioniert am einfachsten auf einem macOS System. Anleitungen zur Erstellung auf einem Windows-System gibt es bspw. von heise. Wir beschreiben im Folgenden die Erstellung unter einem macOS System. Das iPhone muss an das macOS System angeschlossen werden und über den Finder ausgewählt werden. Anschließend muss in der Kategorie „Backups“ die Punkte „Erstelle ein Backup aller Daten deines iPhone auf diesem Mac“ und „Lokales Backup verschlüsseln“ ausgewählt werden.

iPhone Backup
Ein verschlüsseltes Backup speichert mehr Daten und ist für die Untersuchung mit dem MVT empfehlenswert.

3. Backup entschlüsseln

Nachdem wir das Backup erfolgreich erstellt haben, muss es entschlüsselt werden, damit das Mobile Verification Toolkit dieses untersuchen kann. Dazu öffnen wir ein Terminal und geben folgenden Befehl ein: mvt-ios decrypt-backup -p passwort -d pfad/zum/backup

Das passwort muss mit dem ausgewählten Passwort übereinstimmen, welches wir bei der Erstellung des Backups gewählt haben. pfad/zum/backup steht für den Speicherort des eben erstellten Backups. Üblicherweise besteht der Name eines solchen Backups aus 7 Zahlen, die durch einen Bindestrich von 13 weiteren Zahlen getrennt sind (1234567-1234567890123). Durch diesen Befehl wird das Backup entschlüsselt und wir können mit dem nächsten Schritt fortfahren.

4. Indikatoren laden

Das MVT untersucht ein gegebenes Backup nach gewissen Indikatoren ab. Solche Indikatoren müssen jedoch nachgeladen werden, da diese nicht in dem GitHub-Repository des Mobile Verification Toolkit vorhanden sind. Amnesty International hat für die Spyware-Familie Pegasus ein eigenes Repository mit passenden Indikatoren angelegt. Dieses Repository kann mit dem Befehl: git clone https://github.com/AmnestyTech/investigations.git heruntergeladen werden.

Nun haben wir sämtliche Programme und Dateien heruntergeladen bzw. erstellt, die für die Untersuchung notwendig sind. Im nächsten Schritt wird das Analyse-Werkzeug gestartet und somit geprüft, ob das iPhone gehackt worden ist, oder nicht.

5. Analyse starten und Ergebnisse auswerten

Die Analyse können wir nun mit dem Befehl: mvt-ios check-backup -i pfad/zu/pegasus.stix2 -o ergebnis/ordner pfad/zum/entschlüsselten/backup starten. pfad/zu/pegasus.stix2 ist eine Datei mit Indikatoren, die für die Pegasus-Familie passend erstellt worden ist. Hinter dem Flag -i können auch andere Indikatoren geladen werden, auf die das Backup untersucht werden soll. Die Flag -o gibt den Output-Ordner an, in dem die Ergebnisse gespeichert werden sollen. Dieser Ordner muss vor der Analyse bereits erstellt worden sein. pfad/zum/entschlüsselten/backup muss wie der Name bereits sagt, den kompletten Pfad zu dem in Schritt 3 entschlüsselten Backup tragen.

Nachdem die Analyse durchlaufen ist, können wir in dem Output-Ordner viele unterschiedliche json und csv Dateien sehen. Diese müssen nun manuell untersucht werden, ein guter Startpunkt ist die Timeline.csv, die sämtliche Aktionen auf einer Zeitlinie zusammenfasst. Nun gilt es eigene Auffälligkeiten zu entdecken, wie bspw. regelmäßige Prozesse die gestartet werden, nachdem eine E-Mail geöffnet wurde oder Ähnliches. Mithilfe dieser Output-Dateien können Sie nun feststellen, ob Ihr iPhone gehackt worden ist, oder nicht.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)