Ist mein iPhone mit Pegasus-Spyware infiziert?

Eskere Guru

Die Pegasus-Spyware der berüchtigten NSO Group wird von Regierungen und anderen mächtigen Akteuren auf der ganzen Welt verwendet, um Journalisten, Anwälte, Geschäftsleute, Wissenschaftler, Politiker, Aktivisten und sogar deren Freunde und Verwandte auszuspionieren.

Eine durchgesickerte Datenbank mit 50.000 Telefonnummern mutmaßlicher Opfer wurde von Forbidden Stories und Amnesty International analysiert. Einige von Ermittlern untersuchte Geräte zeigen Hinweise auf Pegasus-Angriffe. Die NSO-Gruppe bestreitet die Ergebnisse und behauptet, ihre Software sei nur für den Einsatz gegen Kriminelle bestimmt.

Was also macht die Pegasus-Spyware? Und wie können Sie überprüfen, ob es auf Ihrem iPhone ist?

Wie infiziert die Pegasus-Spyware Geräte?

Die Spyware kann iPhones und Android-Geräte aus der Ferne mit „Null-Klick“-Methoden angreifen, ohne dass die Benutzer etwas tun müssen.

Pegasus kann über WhatsApp, iMessage, eine stille SMS, verpasste Anrufe und andere derzeit unbekannte Methoden installiert werden.

Was kann die Pegasus-Spyware?

Die Spyware ermöglicht Angreifern den vollständigen Zugriff auf Ihre Daten und ermöglicht ihnen, Dinge zu tun, an denen sogar Sie, der Eigentümer, eingeschränkt sind. Alle Ihre Nachrichten, E-Mails, Chats, GPS-Daten, Fotos und Videos und mehr können geräuschlos von Ihrem Gerät an alle Personen gesendet werden, die an Ihnen interessiert sind.

Angreifer können mit Ihrem Mikrofon Ihre privaten Gespräche aufzeichnen und Sie mit der Kamera heimlich filmen.

Wie kann ich Pegasus-Spyware entfernen?

Im Moment gibt es keine sichere Möglichkeit, Pegasus zu entfernen. Es ist unklar, ob sogar ein Zurücksetzen auf die Werkseinstellungen funktionieren würde, da die Spyware in den unteren Ebenen des Systemcodes verbleiben kann.

Wenn Ihr Telefon infiziert ist, ist es möglicherweise die beste Lösung, Ihr Gerät und Ihre Nummer zu ändern. Natürlich könnte ein neues Android oder iPhone leicht kompromittiert werden wie Ihr vorheriges, obwohl Apple das iOS 14.7.1-Update veröffentlicht hat, das einige der beteiligten Exploits beheben soll .

Gibt es ernsthafte Alternativen zu iOS- und Android-Telefonen?

Zum Zeitpunkt des Schreibens leidet das Ökosystem der mobilen Betriebssysteme unter einem gravierenden Mangel an Vielfalt und selbst gehärtete Android-Forks wie Graphene OS oder Calyx bieten möglicherweise keinen Schutz. In diesem Fall kann Security-through-Oscurity anwendbar sein, und ein Gerät mit Sailfish OS von Jolla oder vielleicht ein Librem 5 mit Pure OS sind die wichtigsten Alternativen.

Verwandte: Die sichersten Telefone für den Datenschutz

Wie kann ich überprüfen, ob mein iPhone mit Pegasus-Spyware infiziert wurde?

Ist mein iPhone mit Pegasus-Spyware infiziert? - hands typing on laptop

Glücklicherweise hat Amnesty Internationalein Tool namens MVT veröffentlicht , mit dem Benutzer überprüfen können, ob ihr Gerät von NSO-Malware angegriffen wurde. Obwohl das Befehlszeilentool für forensische Ermittler entwickelt wurde, ist ein Teil der Erkennung automatisiert und sollte genügend Informationen liefern, um zu entscheiden, ob es sich lohnt, weitere Untersuchungen durchzuführen, auch wenn Sie kein Sicherheitsexperte sind.

Derzeit scheinen iPhones das häufigste Ziel zu sein, und die Ermittler haben auch festgestellt, dass die Apple-Geräte die detailliertesten Beweise für Eindringlinge liefern. Lesen Sie weiter, um unsere Anleitung zur Installation und Verwendung der Erkennungssoftware mit Ihrem iPhone zu erhalten.

Was benötige ich, um mein iPhone auf Pegasus-Spyware zu überprüfen?

Um den Prozess zu vereinfachen und das Tool unter macOS, Linux oder Windows ausführen zu können, verwenden wir einen speziell für MVT vorbereiteten Docker-Container. Zuerst müssen Sie Docker auf Ihrem Computer installieren. Wir haben Anweisungen zur Installation von Docker unter Ubuntu und wie Sie Ubuntu auf Ihrem Windows- oder Apple-Computer booten können.

Wie richte ich meinen Computer ein, um mein iPhone auf Pegasus zu überprüfen?

Wir geben jeden Befehl im Folgenden Schritt für Schritt an und mehrzeilige Befehle sollten vollständig eingegeben werden, bevor Sie die Eingabetaste drücken.

Öffnen Sie zunächst ein Terminal und erstellen Sie einen Ordner für die Dateien, die wir verwenden werden, indem Sie diesen Befehl eingeben und die Eingabetaste drücken:

 mkdir Pegasus

Wechseln Sie dann zum Pegasus-Ordner, indem Sie Folgendes eingeben:

 cd Pegasus

Jetzt müssen Sie Ordner für MVT erstellen. Typ:

 mkdir ioc backup decrypted checked

Als Nächstes müssen Sie eine Datei abrufen, die Indikatoren für verdächtiges Verhalten enthält. Eintreten:

 wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2

Ihr nächster Schritt besteht darin, die MVT Docker-Datei abzurufen. Typ:

 wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile

Geben Sie nun Folgendes ein, um das Docker-Image einzurichten:

 docker build -t mvt

Wie bereite ich mein iPhone für die MVT-Analyse vor?

Zunächst möchten Sie wahrscheinlich verhindern, dass sich Ihr iPhone-Display während des Vorgangs ausschaltet. Tippen Sie auf das Symbol Einstellungen und dann auf Anzeige & Helligkeit > Auto-Sperre > Nie , um sicherzustellen, dass Ihr iPhone-Display eingeschaltet bleibt.

Schließen Sie als Nächstes Ihr iOS-Gerät an den USB-Anschluss Ihres Computers an. Sie müssen nun den USB-Daemon stoppen, der die Verbindungen zwischen Ihrem Computer und Ihrem iOS-Gerät verarbeitet. Typ:

 systemctl stop usbmuxd

Möglicherweise müssen Sie etwas warten, bis dieser Vorgang abgeschlossen ist und Sie zu einer $ -Eingabeaufforderung zurückkehren. Führen Sie nun den Docker-Container aus, indem Sie diesen gesamten Befehl eingeben:

 docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host 
 -v $PWD/ioc:/home/cases/ioc 
 -v $PWD/decrypted:/home/cases/decrypted 
 -v $PWD/checked:/home/cases/checked 
 -v $PWD/backup:/home/cases/backup 
 mvt

Drücken Sie nach mvt die Eingabetaste . Sie arbeiten jetzt im Docker-Container und Ihre Eingabeaufforderung sollte sich wie folgt ändern: root@yourmachine:/home/cases# Starten Sie den USB-Daemon erneut, indem Sie Folgendes eingeben :

 usbmuxd

Ihr iPhone sollte eine Meldung anzeigen, in der Sie gefragt werden, ob Sie dem Computer vertrauen möchten. Drücken Sie also auf Vertrauen und geben Sie bei Aufforderung Ihren iPhone-Passcode ein.

Bildergalerie (2 Bilder)

Vertrauensaufforderung für iPhone-Screenshots
Erweitern
iPhone-Screenshot-Passcode-Pad
Erweitern

Überprüfen Sie, ob Ihr iPhone mit Ihrem Computer verbunden ist, indem Sie Folgendes eingeben:

 ideviceinfo

Eine erfolgreiche Verbindung sollte Unmengen von technischen Daten in das Terminal spucken. Wenn die Fehlermeldung "Gerät nicht erkannt" angezeigt wird, versuchen Sie, Ihr iPhone neu zu starten und den Befehl zu wiederholen.

Sie können jetzt ein Backup auf Ihrem Computer durchführen. Eine verschlüsselte Sicherung ermöglicht es dem Prozess, mehr Informationen vom Gerät zu sammeln. Wenn Sie also kein Passwort zum Schutz Ihres Geräts haben, müssen Sie die Verschlüsselung aktivieren, indem Sie Folgendes eingeben:

 idevicebackup2 backup encryption on -i

Wenn Sie die Verschlüsselung bereits aktiviert haben, teilt Ihnen das Terminal dies mit. Wenn nicht, wählen Sie ein Passwort und geben Sie es ein, wenn Sie dazu aufgefordert werden. Geben Sie nun Folgendes ein, um das Backup auszuführen:

 idevicebackup2 backup --full backup/

Je nachdem, wie viele Informationen sich auf Ihrem Gerät befinden, kann dieser Vorgang einige Zeit in Anspruch nehmen. Um zu bestätigen, dass die Sicherung erfolgreich war, geben Sie Folgendes ein:

 Run ls -l backup

Dies sollte Ihnen den Namen des Backups geben, das Sie für den nächsten Schritt benötigen. Jetzt ist das Backup auf Ihrem Computer, Sie können es entschlüsseln, indem Sie Folgendes eingeben:

 mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>

Der von Ihnen eingegebene Befehl sollte in etwa so aussehen:

 mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743

Wenn das Backup entschlüsselt ist, können Sie mit der Analysephase fortfahren. Um das Backup zu analysieren, vergleicht das MVT-Tool es mit einer stix2-Datei, die Beispiele für bösartige Aktivitäten enthält. Um den Vergleich auszuführen, verwenden Sie:

 mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted

MVT erstellt dann eine Reihe von JSON-Dateien mit den Ergebnissen des Vergleichs. Sie können diese Ergebnisse mit diesem Befehl überprüfen:

 ls l checked

Öffnen Sie nun den Ordner "checked" im Hauptordner von Pegasus. Suchen Sie nach JSON-Dateien mit _detected am Ende ihres Dateinamens. Wenn keine vorhanden sind, konnte das Tool keine Hinweise auf eine Pegasus-Infektion finden. Wenn _detected-Dateien vorhanden sind, sollten Sie die Ordner namens backup, decrypted und check an einen sicheren, verschlüsselten Speicherort kopieren, um später darauf zurückgreifen zu können.

Geben Sie Folgendes ein, um den Docker-Container zu beenden:

 exit

Was passiert, wenn MVT Beweise für einen Pegasus-Angriff findet?

Wenn einige Dateien als _detected gekennzeichnet sind, ist es wahrscheinlich an der Zeit, einen Cybersicherheitsexperten zu kontaktieren und Ihre Telefonnummer und Nummer zu ändern.

Sie sollten Ihr infiziertes Telefon als Beweismittel aufbewahren, aber schalten Sie es aus und halten Sie es isoliert und fern von wichtigen Gesprächen, vorzugsweise in einem Faradayschen Käfig.

Sie sollten Ihr Telefon von allen Onlinediensten deaktivieren und ein anderes Gerät verwenden, um das Passwort für alle Konten zu ändern, auf die über das verdächtige Gerät zugegriffen wird.

Wie kann ich mein iPhone vor Pegasus schützen?

Ist mein iPhone mit Pegasus-Spyware infiziert? - hands holding iphone in front of macbook

Diese Spyware verwendet viele bekannte und unbekannte Angriffsmethoden, aber es gibt einige Schritte, die Sie unternehmen können, um die Gefahr einer Kompromittierung zu verringern:

  • Es versteht sich von selbst, dass Sie Ihr Telefon mit einer PIN oder vorzugsweise einem starken Passwort sichern müssen.
  • Aktualisieren Sie das Betriebssystem regelmäßig.
  • Deinstallieren Sie Apps, die Sie nicht verwenden, um die Angriffsfläche zu minimieren. Facetime, Apple Music, Mail und iMessage sind bekanntermaßen anfällig für die Pegasus-Infektion, aber Sie verwenden wahrscheinlich mindestens ein paar davon.
  • Starten Sie Ihr Telefon mindestens einmal am Tag neu, da dies die Spyware aus dem RAM löschen und die ordnungsgemäße Funktion erschweren kann.
  • Klicken Sie in Nachrichten von unbekannten Nummern nicht auf Links, auch wenn Sie eine Paketzustellung erwarten.

Pegasus: Sollten Sie sich Sorgen machen?

Pegasus ist eines der schlimmsten Beispiele für Spyware, die wir bisher gesehen haben. Obwohl die Zahl der angeblich betroffenen Personen auf globaler Ebene bisher nicht sehr groß ist, bedeutet die Tatsache, dass Angreifer mit solchen Null-Klick-Methoden auf ein Gerät zielen können, alle Geräte mit den gleichen Betriebssystemen anfällig.

Es kann nur eine Frage der Zeit sein, bis andere Gruppen Pegasus-Techniken replizieren, und dies sollte ein Weckruf für alle sein, die mobile Sicherheit viel ernster zu nehmen.