Comment installer Mobile Verification Toolkit (MVT)

Mobile Verification Toolkit (MVT) est un outil précieux pour rationaliser l'analyse forensique consensuelle des appareils iOS, permettant ainsi d'identifier les indicateurs de compromission. Cette boîte à outils innovante, développée par le laboratoire de sécurité d'Amnesty International, a été créée dans le cadre du projet Pegasus. MVT a notamment joué un rôle essentiel dans la découverte de l'opération Triangulation et des failles de sécurité zero-day associées sur iOS.

Key Takeaways

Aperçu

Mobile Verification Toolkit (MVT) est un ensemble d'utilitaires permettant d'automatiser la collecte de traces d'investigation, essentielles à l'identification d'éventuelles compromissions sur les appareils iOS. Cet outil s'avère précieux pour déterminer si un iPhone a été victime d'un piratage ou d'un accès non autorisé. Grâce à MVT, les utilisateurs peuvent analyser et vérifier efficacement l'état de sécurité de leurs appareils iOS, garantissant ainsi une détection et une réponse rapides à toute activité non autorisée.

Cet outil a été conçu pour identifier le Pegasus utilisé par les gouvernements pour prendre le contrôle total de chaque appareil iOS à l'insu de l'utilisateur, grâce à des exploits de type « 0-day » et « 0-click ». MVT facilite l'utilisation d'indicateurs de compromission publics (IOC) pour analyser les appareils mobiles et identifier les traces potentielles de ciblage ou d'infection par des campagnes de logiciels espions reconnues.

Cette fonctionnalité s'étend à l'intégration des indicateurs de compromission publiés par des organismes de premier plan comme Amnesty International et d'autres groupes de recherche réputés. Les utilisateurs peuvent exploiter Mobile Verification Toolkit (MVT) pour améliorer leurs analyses forensiques, rester vigilants face aux menaces connues et renforcer la sécurité globale de leurs appareils mobiles.

Mobile Verification Toolkit (MVT) offre une gamme dynamique de fonctionnalités en constante évolution pour répondre aux exigences de l'analyse forensique. Celles-ci incluent le déchiffrement des sauvegardes iOS chiffrées, le traitement et l'analyse minutieux des enregistrements provenant d'une multitude de bases de données, de journaux et d'analyses système des systèmes et applications iOS.

De plus, MVT étend ses fonctionnalités pour extraire les applications installées à partir des appareils Android, collecter des informations de diagnostic à partir des appareils Android via le protocole adb et comparer les enregistrements extraits à une liste fournie d'indicateurs malveillants au format STIX2.

De plus, MVT génère des journaux JSON regroupant les enregistrements extraits, tout en créant des journaux JSON distincts mettant en évidence toutes les traces malveillantes détectées. La boîte à outils permet également de générer une chronologie unifiée regroupant tous les enregistrements extraits, ainsi qu'une chronologie dédiée mettant en évidence la présence de traces malveillantes détectées.

Remarque : l’exécution de MVT sur macOS nécessite l’installation de Xcode et de homebrew.

MVT prend en charge les sauvegardes iTunes et les vidages système depuis un environnement jailbreaké. Dans la version la plus récente de macOS, ces sauvegardes sont lancées directement depuis le Finder plutôt que depuis iTunes. Bien que les sauvegardes n'offrent qu'une représentation partielle des fichiers stockés sur l'appareil, elles s'avèrent souvent suffisantes pour détecter certains artefacts suspects.

Il est à noter que les sauvegardes chiffrées, dont l'accès nécessite un mot de passe, contiennent des enregistrements supplémentaires intéressants, inaccessibles dans leurs versions non chiffrées. Ces données comprennent des données importantes telles que l'historique et l'état de Safari, ainsi que d'autres informations pertinentes, ce qui enrichit les connaissances forensiques issues de l'analyse.

MVT permet d'extraire des informations de l'iDevice, offrant ainsi une vue d'ensemble complète. Cela inclut la création d'une chronologie qui capture minutieusement chaque processus et application exécutés sur le système. De plus, MVT offre un aperçu de divers paramètres tels que le nombre total de messages, les identifiants de l'appareil (ID, ECID, GUID, ICCID, MEID et IMEI), ainsi qu'une liste des applications installées. De plus, il met en lumière les composants système auxquels les applications accèdent, comme le microphone, offrant une analyse approfondie de l'activité et de la configuration de l'appareil.

Détection des logiciels espions prise en charge

• Groupe NSO Pegasus
• Logiciel espion Predator
• Logiciel espion RCS Lab
• Stalkerware
• Campagne de surveillance
• Quadream KingSpawn
• Opération Triangulation
• WyrmSpy et DragonEgg

Comment installer MVT

Mobile Verification Toolkit (MVT) est disponible en téléchargement via PyPI. Cette méthode simplifiée est applicable aussi bien aux utilisateurs Windows, Linux et macOS souhaitant installer l'utilitaire. MVT propose deux commandes : mvt-ios et mvt-android, exécutables en ligne de commande.

brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt

Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory

Écrit par

Kuba Pawlak

Kuba a plus de 20 ans d'expérience dans le journalisme, se concentrant sur les évasions depuis 2012. Il a interviewé des professionnels de diverses entreprises. Outre le journalisme, Kuba est spécialisé dans le montage vidéo et le pilotage de drones. Il a étudié l'informatique à l'université avant de se lancer dans l'écriture.

Poster un commentaire