Identifiera spionprogramvaran Pegasus på din iPhone
Ett omdiskuterat ämne under senare tid har varit spionprogramvaran Pegasus, utvecklat av israeliska firman NSO Group. Denna har utnyttjat sårbarheter i framförallt iPhones för att få fullständig åtkomst till enheter. Bland annat har den utnyttjat en Zero-Click sårbarhet där det enda kravet för framgångsrik kompromettering har varit användning av sårbar applikation eller operativsystem. [1]
NSO Group hävdar att Pegasus endast var utvecklat för att stödja i kontraterrorism och rättsväsende. Däremot har man inte explicit nämnt mål som programvaran tänkt angripa. Vidare har det identifierats att programvaran har använts utanför dessa ramar [2]. Bland annat inkluderades journalister, aktivister och presidenter som mål [3].
Amnesty International Security Lab [4] har utvecklat det forensiska verktyget Mobile Verification Toolkit (MVT) [5] där avsikt är att identifiera potentiella komprometteringar på enheter. Denna vecka tänkte jag prova verktyget för att testa om Pegasus identifieras på min iPhone. Verktyget kan laddas ner enligt instruktion [6].
Det finns ett par sätt att gå tillväga. Dokumentation [6] rekommenderar att jailbreaka iPhone för att kunna genomföra en fullständig filsystemdump. Om jailbreak inte är möjlig, kan man gå vidare genom en iPhone-backup. Vi genomför en krypterad backup via iTunes. Att kryptera sin backup leder till att analysen blir mer precis då mer data extraheras från enheten.
![](https://simovits.com/wp-content/uploads/2021/09/1.png)
Sedan kan verktyget kan användas på den krypterade backupen. Först behöver vi dekryptera den. Detta gör vi genom följande kommando på Linux:
mvt-ios decrypt-backup -d [Målmapp] -p [Krypteringsnyckel] [Backup-plats]
Exempel:
mvt-ios decrypt-backup -d /home/ubuntu/Downloads/mvt/decrypted/ -p somepassword123 /home/ubuntu/Downloads/mvt/backup/00008030-000249941E92402E
För att analysera den dekrypterade backupen efter Indicators of Compromise (IoCs) kan man ladda ner IoC:er i STIX-format. Jag använde [7] för att ladda ner Pegasus IoC:er.
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2
Sedan kan backupen analyseras efter Pegasus IoC:er.
mvt-ios check-backup –iocs /home/ubuntu/Downloads/mvt/pegasus.stix2 /home/ubuntu/Downloads/mvt/decrypted/
![](https://simovits.com/wp-content/uploads/2021/09/2-1024x560.png)
Vi ser i bilden ovan att vi antingen har INFO eller ERROR på respektive rad. Således identifierades inget relaterat till Pegasus i vår backup. Slutligen kan det nämnas att Apple åtgärdar de kända sårbarheter som Pegasus utnyttjat genom att uppdatera till iOS 14.8 eller högre.
[1 ] – https://theconversation.com/what-is-pegasus-a-cybersecurity-expert-explains-how-the-spyware-invades-phones-and-what-it-does-when-it-gets-in-165382
[2] – https://www.calcalistech.com/ctech/articles/0,7340,L-3912882,00.html
[3] – https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
[4] – https://www.amnesty.org/en/tech/
[5] – https://github.com/mvt-project/mvt
[6] – https://docs.mvt.re/en/latest/
[7] – https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/pegasus.stix2