Come installare Mobile Verification Toolkit (MVT)
Mobile Verification Toolkit (MVT) è uno strumento prezioso per semplificare l'analisi forense consensuale dei dispositivi iOS, consentendo di identificare gli indicatori di compromissione. Questo innovativo toolkit, realizzato dal Security Lab di Amnesty International, è nato nell'ambito del Progetto Pegasus. In particolare, MVT ha svolto un ruolo fondamentale nello scoprire l'Operazione Triangulation e i relativi exploit 0-day per iOS.
Key Takeaways
- MVT è il miglior software per scoprire se il tuo iPhone è stato compromesso da spyware mercenari come NSO Group Pegasus, Predator Spyware, Operation Triangulation, ecc. I backup criptati contengono record aggiuntivi come la cronologia di Safari, lo stato di Safari e altre informazioni pertinenti, che migliorano gli approfondimenti forensi
Panoramica
Mobile Verification Toolkit (MVT) è un insieme di utility per automatizzare la raccolta di tracce forensi essenziali per identificare potenziali compromissioni sui dispositivi iOS. Questo toolkit si rivela prezioso per valutare se un iPhone è stato oggetto di hacking o di accesso non autorizzato. Utilizzando MVT, gli utenti possono analizzare e accertare in modo efficiente lo stato di sicurezza dei loro dispositivi iOS, assicurando una pronta individuazione e risposta a qualsiasi attività non autorizzata.
Questo strumento è stato progettato per identificare il Pegasus utilizzato dai governi per prendere il pieno controllo di ogni dispositivo iOS all'insaputa dell'utente, utilizzando exploit 0-day e 0-click. MVT facilita l'utilizzo di indicatori pubblici di compromissione (IOC) per condurre scansioni sui dispositivi mobili, identificando potenziali tracce di bersaglio o di infezione da parte di campagne spyware riconosciute.
Questa funzionalità si estende fino a incorporare gli IOC pubblicati da enti importanti come Amnesty International e altri gruppi di ricerca rinomati. Gli utenti possono sfruttare Mobile Verification Toolkit (MVT) per migliorare le loro analisi forensi, rimanendo vigili contro le minacce note e rafforzando la sicurezza generale dei dispositivi mobili.
Mobile Verification Toolkit (MVT) presenta una gamma dinamica di funzionalità che si evolvono continuamente per soddisfare le esigenze dell'analisi forense. Queste comprendono la decodifica di backup iOS criptati, l'elaborazione meticolosa e l'analisi di record provenienti da una miriade di database di sistema e di app iOS, log e analisi di sistema.
Inoltre, MVT estende le sue funzionalità per estrarre le applicazioni installate dai dispositivi Android, raccogliere informazioni diagnostiche dai dispositivi Android attraverso il protocollo adb e confrontare i record estratti con un elenco di indicatori dannosi in formato STIX2.
Cosa c'è di nuovo
- Converte automaticamente i fusi orari in UTC.
- Aggiorna il modulo SMS per evidenziare il nuovo testo delle notifiche Apple.
- Richiede l'ultima versione della crittografia.
- [auto] Aggiorna le versioni e i rilasci di iOS.
- Miglioramenti per il modulo SMS.
- Aggiungi uri=True in mvt/ios/modules/base.py.
- Riferimento circolare nella serializzazione del modulo SMS.
- dumpsys_accessibility.py: Scrivi correttamente accessibilità.
Inoltre, MVT genera log JSON che comprendono i record estratti e crea anche log JSON separati che evidenziano specificamente tutte le tracce dannose rilevate. Il toolkit offre inoltre la generazione di una timeline cronologica unificata che racchiude tutti i record estratti, oltre a una timeline dedicata che sottolinea la presenza di tracce dannose rilevate.
Nota: l'esecuzione di MVT su macOS richiede l'installazione di Xcode e homebrew.
MVT supporta i backup di iTunes e i dump di sistema da un ambiente jailbroken. Nelle versioni più recenti di macOS, questi backup vengono avviati direttamente dal Finder anziché da iTunes. Sebbene i backup offrano solo una rappresentazione parziale dei file memorizzati sul dispositivo, spesso si rivelano adeguati per rilevare alcuni artefatti sospetti.
In particolare, i backup criptati, che richiedono una password per l'accesso, contengono ulteriori record interessanti che non sono disponibili nelle loro controparti non criptate. Questi includono dati significativi come la cronologia di Safari, lo stato di Safari e altre informazioni pertinenti, migliorando gli approfondimenti forensi che possono essere ricavati dall'analisi.
MVT consente di estrarre le informazioni dall'iDevice, fornendo una panoramica completa. Questo include la creazione di una timeline che cattura meticolosamente ogni processo e app in esecuzione sul sistema. Inoltre, MVT offre approfondimenti su vari parametri come il numero totale di messaggi, gli identificatori del dispositivo come ID, ECID, GUID, ICCID, MEID e IMEI, nonché un elenco delle app installate. Inoltre, fa luce sui componenti del sistema a cui accedono le app, come il microfono, offrendo un'analisi approfondita dell'attività e della configurazione del dispositivo.
Rilevamento di spyware supportato
- NSO Group Pegasus
- Spyware Predator
- Spyware RCS Lab
- Stalkerware
- Campagna di sorveglianza
- Quadream KingSpawn
- Operazione Triangolazione
- WyrmSpy e DragonEgg
Come installare MVT
Mobile Verification Toolkit (MVT) è disponibile per il download attraverso PyPI. Questo metodo semplificato è applicabile anche agli utenti di Windows, Linux e macOS che desiderano installare l'utility. MVT fornisce due comandi mvt-ios e mvt-android che possono essere eseguiti dalla riga di comando.
brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt
Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory
