Slik installerer du Mobile Verification Toolkit (MVT)
Mobile Verification Toolkit (MVT) fungerer som et verdifullt verktøy for å effektivisere den konsensuelle rettsmedisinske analysen av iOS-enheter, og muliggjør identifisering av kompromitteringsindikatorer. Dette innovative verktøysettet, fra Amnesty International Security Lab, dukket opp innenfor rammen av Pegasus-prosjektet. MVT spilte en sentral rolle i å avdekke Operation Triangulation og tilhørende 0-dagers utnyttelser for iOS.
Key Takeaways
- MVT er den beste programvaren for å oppdage om iPhonen din har blitt kompromittert av leiesoldatspionprogrammer som NSO Group Pegasus, Predator Spyware, Operation Triangulation osv.
- Krypterte sikkerhetskopier inneholder tilleggsoppføringer som Safari-historikk, Safari-status og annen relevant informasjon, noe som forbedrer den rettsmedisinske innsikten.
Oversikt
Mobile Verification Toolkit (MVT) er et sett med verktøy for å automatisere innsamling av rettsmedisinske spor som er viktige for å identifisere potensielle kompromitteringer på iOS-enheter. Dette verktøysettet er uvurderlig for å vurdere om en iPhone har vært utsatt for hacking eller uautorisert tilgang. Ved å bruke MVT kan brukere effektivt analysere og fastslå sikkerhetsstatusen til iOS-enhetene sine, noe som sikrer rask deteksjon og respons på uautoriserte aktiviteter.
Dette verktøyet ble utviklet for å identifisere Pegasus-viruset som brukes av myndigheter for å ta full kontroll over alle iOS-enheter uten brukerens viten ved å bruke 0-dagers og 0-klikks angrep. MVT forenkler bruken av offentlige indikatorer på kompromittering (IOC-er) for å utføre skanninger på mobile enheter, og identifisere potensielle spor av målretting eller infeksjon fra gjenkjente spionprogramkampanjer.
Denne funksjonaliteten omfatter også innlemmelse av IOC-er publisert av fremtredende enheter som Amnesty International og andre anerkjente forskningsgrupper. Brukere kan bruke Mobile Verification Toolkit (MVT) for å forbedre sin rettsmedisinske analyse, holde seg årvåkne mot kjente trusler og styrke den generelle sikkerheten for mobile enheter.
Mobile Verification Toolkit (MVT) har et dynamisk spekter av funksjoner som kontinuerlig utvikles for å møte kravene til rettsmedisinsk analyse. Disse omfatter dekryptering av krypterte iOS-sikkerhetskopier, grundig behandling og parsing av poster hentet fra en rekke iOS-system- og appdatabaser, logger og systemanalyser.
Videre utvider MVT funksjonaliteten sin til å trekke ut installerte apper fra Android-enheter, samle diagnostisk informasjon fra Android-enheter gjennom adb-protokollen og sammenligne utpakkede poster mot en gitt liste over skadelige indikatorer i STIX2-format.
Nyheter
- Konverter tidssonebevisste datoer og klokkeslett automatisk til UTC.
- Oppdaterer SMS-modulen for å utheve den nye teksten i Apple-varsler.
- Krever den nyeste kryptografiversjonen.
- [auto] Oppdater iOS-utgivelser og -versjoner.
- Forbedringer for SMS-modulen.
- Legg til uri=True i mvt/ios/modules/base.py.
- Sirkulærreferanse i serialisering av SMS-modulen.
- dumpsys_accessibility.py: Stave tilgjengelighet riktig.
I tillegg genererer MVT JSON-logger som omfatter utpakkede poster, samtidig som det oppretter separate JSON-logger som spesifikt fremhever alle oppdagede skadelige spor. Verktøysettet tilbyr videre generering av en enhetlig kronologisk tidslinje som innkapsler alle utpakkede poster, sammen med en dedikert tidslinje som fremhever tilstedeværelsen av oppdagede skadelige spor.
Merk: For å kjøre MVT på macOS må Xcode og homebrew være installert.
MVT støtter iTunes-sikkerhetskopier og systemdumper fra et jailbroken miljø. I den nyeste versjonen av macOS startes disse sikkerhetskopiene direkte fra Finder i stedet for iTunes. Selv om sikkerhetskopier bare gir en delvis representasjon av filene som er lagret på enheten, viser de seg ofte å være tilstrekkelige for å oppdage visse mistenkelige artefakter.
Krypterte sikkerhetskopier, som krever passord for tilgang, inneholder flere interessante poster som ikke er tilgjengelige i deres ukrypterte motparter. Disse omfatter viktige data som Safari-historikk, Safari-status og annen relevant informasjon, noe som forbedrer den rettsmedisinske innsikten som kan hentes fra analysen.
MVT muliggjør utvinning av informasjon fra iDevice, noe som gir en omfattende oversikt. Dette inkluderer å lage en tidslinje som nøyaktig registrerer alle prosesser og apper som kjører på systemet. I tillegg tilbyr MVT innsikt i ulike parametere som totalt antall meldinger, enhetsidentifikatorer som ID, ECID, GUID, ICCID, MEID og IMEI, samt en liste over installerte apper. Dessuten belyser den systemkomponenter som apper har tilgang til, for eksempel mikrofonen, og tilbyr en grundig analyse av enhetens aktivitet og konfigurasjon.
Støttet spionprogramvaredeteksjon
- NSO Group Pegasus
- Predator-spionprogrammer
- RCS Lab-spionprogrammer
- Stalkerware
- Overvåkingskampanje
- Quadream KingSpoon
- Operasjon Triangulering
- WyrmSpy og DragonEgg
Slik installerer du MVT
Mobile Verification Toolkit (MVT) er tilgjengelig for nedlasting via PyPI. Denne strømlinjeformede metoden er like anvendelig for Windows-, Linux- og macOS-brukere som ønsker å installere verktøyet. MVT tilbyr to kommandoer, mvt-ios og mvt-android, for utførelse fra kommandolinjen.
brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt
Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory