Sådan installerer du Mobile Verification Toolkit (MVT)
Mobile Verification Toolkit (MVT) fungerer som et værdifuldt værktøj til at strømline den konsensuelle retsmedicinske analyse af iOS-enheder, hvilket muliggør identifikation af kompromitteringsindikatorer. Dette innovative værktøjssæt, fra Amnesty International Security Lab, blev opstået inden for rammerne af Pegasus-projektet. Især spillede MVT en central rolle i afdækningen af Operation Triangulation og dens tilhørende 0-dages angreb på iOS.
[[markér text="MVT er den bedste software til at opdage, om din iPhone er blevet kompromitteret af lejesoldat-spyware som NSO Group Pegasus, Predator Spyware, Operation Triangulation osv.|Krypterede sikkerhedskopier indeholder yderligere poster såsom Safari-historik, Safari-status og andre relevante oplysninger, hvilket forbedrer den retsmedicinske indsigt."]]
Oversigt
Mobile Verification Toolkit (MVT) er et sæt værktøjer til at automatisere indsamlingen af retsmedicinske spor, der er afgørende for at identificere potentielle kompromitteringer på iOS-enheder. Dette værktøjssæt er uvurderligt til at vurdere, om en iPhone har været udsat for hacking eller uautoriseret adgang. Ved at bruge MVT kan brugerne effektivt analysere og fastslå sikkerhedsstatussen for deres iOS-enheder og dermed sikre hurtig detektion og reaktion på uautoriserede aktiviteter.
Dette værktøj blev designet til at identificere den Pegasus, der bruges af regeringer til at tage fuld kontrol over alle iOS-enheder uden brugerens viden ved hjælp af 0-dages og 0-kliks exploits. MVT letter brugen af offentlige indikatorer for kompromittering (IOC'er) til at udføre scanninger på mobile enheder og identificere potentielle spor af målretning eller infektion fra genkendte spywarekampagner.
Denne funktionalitet omfatter også inkorporering af IOC'er udgivet af fremtrædende enheder som Amnesty International og andre velrenommerede forskningsgrupper. Brugere kan udnytte Mobile Verification Toolkit (MVT) til at forbedre deres retsmedicinske analyse, forblive årvågne over for kendte trusler og styrke den samlede sikkerhed for mobile enheder.
Mobile Verification Toolkit (MVT) tilbyder en dynamisk række funktioner, der løbende udvikler sig for at imødekomme kravene fra retsmedicinsk analyse. Disse omfatter dekryptering af krypterede iOS-sikkerhedskopier, omhyggelig behandling og parsing af poster fra et utal af iOS-system- og appdatabaser, logfiler og systemanalyser.
Derudover udvider MVT sin funktionalitet til at udtrække installerede applikationer fra Android-enheder, indsamle diagnostiske oplysninger fra Android-enheder via adb-protokollen og sammenligne udtrukne poster med en angivet liste over skadelige indikatorer i STIX2-format.
Nyheder
- Konverter tidszonebevidste datoer og klokkeslæt automatisk til UTC.
- Opdaterer SMS-modulet for at fremhæve den nye tekst i Apple-notifikationer.
- Kræver den nyeste kryptografiversion.
- [auto] Opdater iOS-udgivelser og -versioner.
- Forbedringer af SMS-modulet.
- Tilføj uri=True i mvt/ios/modules/base.py.
- Cirkulær reference i SMS-modulserialisering.
- dumpsys_accessibility.py: Stave tilgængelighed korrekt.
Derudover genererer MVT JSON-logfiler, der omfatter udtrukne poster, samtidig med at det opretter separate JSON-logfiler, der specifikt fremhæver alle detekterede skadelige spor. Værktøjssættet tilbyder yderligere generering af en samlet kronologisk tidslinje, der indkapsler alle udtrukne poster, sammen med en dedikeret tidslinje, der fremhæver tilstedeværelsen af detekterede skadelige spor.
Bemærk: Kørsel af MVT på macOS kræver, at Xcode og homebrew er installeret.
MVT understøtter iTunes-sikkerhedskopier og systemdumps fra et jailbroken miljø. I den seneste version af macOS startes disse sikkerhedskopier direkte fra Finder i stedet for iTunes. Selvom sikkerhedskopier kun giver en delvis repræsentation af de filer, der er gemt på enheden, viser de sig ofte at være tilstrækkelige til at detektere visse mistænkelige artefakter.
Krypterede sikkerhedskopier, der kræver en adgangskode for adgang, indeholder yderligere spændende poster, som ikke er tilgængelige i deres ukrypterede modparter. Disse omfatter vigtige data såsom Safari-historik, Safari-status og andre relevante oplysninger, hvilket forbedrer den retsmedicinske indsigt, der kan udledes af analysen.
MVT muliggør udtrækning af information fra iDevice og giver et omfattende overblik. Dette inkluderer oprettelse af en tidslinje, der omhyggeligt registrerer alle processer og apps, der kører på systemet. Derudover tilbyder MVT indsigt i forskellige parametre såsom det samlede antal beskeder, enhedsidentifikatorer som ID, ECID, GUID, ICCID, MEID og IMEI, samt en liste over installerede apps. Desuden kaster det lys over systemkomponenter, der tilgås af apps, såsom mikrofonen, og tilbyder en grundig analyse af enhedens aktivitet og konfiguration.
Understøttet spywaredetektion
- NSO Group Pegasus
- Predator Spyware
- RCS Lab-spionsoftware
- Stalkerware
- Overvågningskampagne
- Quadream KingSpoon
- Operation Triangulering
- WyrmSpy og DragonEgg
Sådan installeres MVT
Mobile Verification Toolkit (MVT) kan downloades via PyPI. Denne strømlinede metode er lige anvendelig for Windows-, Linux- og macOS-brugere, der ønsker at installere værktøjet. MVT tilbyder to kommandoer, mvt-ios og mvt-android, til udførelse fra kommandolinjen.
brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt
Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory