如何检查您的 iPhone 是否感染了间谍软件/跟踪软件

最近看了 Frontline PBS 纪录片《全球间谍软件丑闻：揭露 Pegasus 第 1 部分》”Pegasus 来自以色列公司 NSO Group，是一种间谍软件，世界各地许多政府都使用它来监视感兴趣的人，例如记者（CNN 是受害者）、政界人士和战区的民兵。据我所知，一个未接电话就足以让这个间谍软件安装在手机上。

Pegasus 是一款臭名昭著的间谍软件，能够感染 iOS 和 Android 设备，它使攻击者能够广泛访问目标手机，将其变成强大的监视工具。以下是它的工作原理以及它收集的数据：

感染方法：

网络钓鱼链接：最初，Pegasus 依靠欺骗用户点击通过短信发送的受感染链接。然而，它已经发展到可以利用：

• 零点击漏洞：这些漏洞不需要用户交互，只需接收消息、呼叫，甚至靠近特定的无线收发器即可感染手机。

• 应用程序漏洞： Pegasus 利用 WhatsApp 和 iMessage 等流行应用程序中的缺陷来获取访问权限。

数据采集：

安装后，Pegasus 可以收集数量惊人的数据，包括：

• 消息：短信、电子邮件、聊天应用消息，甚至通话录音。

• 联系人和通话记录：目标与谁以及何时进行通信。

• 位置数据：实时 GPS 跟踪目标的运动。这尤其重要，因为它提供了无人机攻击的元数据。

• 照片和视频：访问手机的相机胶卷和图库。

• 密码和击键：登录凭据以及在设备上输入的所有内容。

• 麦克风和摄像机录音：在目标不知情的情况下实时捕获音频和视频。

数据使用：

收集到的数据通常会上传到 NSO 集团的服务器进行分析和报告。客户通常是政府或情报机构，将这些信息用于各种目的，包括：

• 对活动人士和记者的监视：监视他们的通讯和活动。

• 政治间谍活动：收集有关对手和外国的信息。

• 刑事调查：追踪嫌疑人并收集证据。

• 无人机攻击：基于用户元数据。

争议：

Pegasus 由于被各国政府滥用于以下目的而备受争议：

• 针对人权捍卫者和记者：压制异议和言论自由，例如沙特记者和持不同政见者贾迈勒·卡舒吉。

• 监视政治对手：破坏民主进程。

• 助长侵犯人权：助长迫害和暴力。

这些担忧促使人们呼吁对间谍软件实施更严格的监管，并追究 NSO Group 等公司的责任。此维基百科条目提供了有关 Pegasus 间谍软件的更多信息。

还有其他公司为政府提供“可操作的网络解决方案”，其中包括从设备和云服务收集信息，例如 Cytrox。

Pegasus 是一种强大而危险的间谍软件，可以收集大量个人数据，对隐私和人权产生令人担忧的影响。它的滥用凸显了对此类技术加强控制并提高其开发和使用透明度的必要性。由于其秘密性质，Pegasus 的全部功能和细节仍然不透明。甚至 ChatGPT 也没有提供任何有关其使用的信息。

当前人工智能技术的发展，如深度造假、恶意人工智能、语音调制和通过图形进行的社交网络分析，产生了爆炸性的混合物。

考虑到这种程度的威胁，我决定检查我的 iPhone 是否被感染。通过阅读福布斯文章“如何检查您的智能手机是否感染 Pegasus 间谍软件”，访问了 Github 存储库：https://github.com/mvt-project/mvt。

这里教大家一些方法可以检查我们的手机上是否安装了 Pegasus 或任何其他间谍软件/跟踪软件。在这里，我在本地 Linux 计算机中生成了 iPhone 的加密备份，对其进行解密，下载.stix2文件（妥协指标）并使用取证研究工具mvt进行分析。mvt库查找可以从mvt本身或大赦国际安全实验室获取的签名（.stix2 文件） 。这些文件允许检查移动设备中的妥协指标(IOC)。在本教程中，您不需要越狱您的 iPhone。

首先，我们需要安装一些库：

pip3 install mvt

然后我们访问mvt 文档：

我们必须安装其他库：

sudo apt install python3 python3-pip libusb-1.0-0 sqlite3

然后我们将 iPhone 连接到 USB 端口或 Thunderbolt 3 端口。

现在，我们运行：

ideviceinfo

这将为您提供有关 iPhone 的信息，例如 UniqueChipID、UniqueDeviceID、WiFiAddress、EthernetAddress、ChipSerialNo 以及许多其他详细信息。

现在，让我们配对我们的 iPhone：

idevicepair pair

在您的 iPhone 上，单击“信任”以允许连接并输入您的 iPhone 密码：

然后再次运行此命令：

idevicepair pair

你会得到：

SUCCESS: Paired with device 00007020-0756575960682E

现在我们将遵循使用 libimobiledevice文档进行备份：

打开计算机上本地备份的加密：

idevicebackup2 -i encryption on

然后，我们执行完整备份。请注意，与未加密备份相比，进行加密备份时，您将获得一些额外的文件：

idevicebackup2 backup --full ./iPhone

现在，我们的本地计算机上的iPhone文件夹中有一个加密备份。

现在我们的机器中有本地 iPhone 备份，我们需要解密它：

mvt-ios decrypt-backup -p "your_password" -d ./iPhoneOutput ./iPhone/00007020-0756575960682E"your_password" -d ./iPhoneOutput ./iPhone/00007020-0756575960682E

请注意，您可以在此处键入备份密码，或生成密钥文件。你选。未加密的备份将保存在目标 -d（iPhoneOutput文件夹）中。请注意，如果您选择密码，它将以纯文本形式存储在您的命令行历史记录中，这是有风险的。

然后，我们检查妥协指标 (IOC) .stix2文件的备份，并将 JSON 结果保存在iPhoneAnalysis文件夹中。但首先，我们下载 IOC 文件列表：

mvt-ios download-iocs

mvt-ios check-backup -i ./.local/share/mvt/indicators/raw.githubusercontent.com_AmnestyTech_investigations_master_2021-07-18_nso_pegasus.stix2 -o ./iPhoneAnalysis ./iPhoneOutput

我得到了一项检测。在这种情况下，我安装了一个跟踪软件，意识到其中的风险。

让我们检查一下 JSON 文件：webkit_resource_load_statistics_detected.json

我确实安装了跟踪软件。正如您将在国际特赦组织和mvt Github 存储库中看到的那样，您还可以检查其他 IOC，例如Kingspawn、Predator和DragonEgg：

mvt文档还包含有关 Android 间谍软件和其他操作系统（例如 Windows 和 Mac）的详细信息。