GrapheneOS: Wer wurde schon einmal mittels Pegasus Trojaner bespitzelt?

Hallo zusammen,
dies ist mein erster Beitrag und ich hoffe, dass ich eine Antwort erhalte.
Ich benutze seit Jahren immer ein Pixel mit GOS und habe ausschließlich nur Apps aus dem FDROID Store installiert. Davon auch nur sehr wenige.
Den Internetzugang bekomme ich über einen HotSpot, ich habe keine Simkarte im Telefon und VPN von Mullvad ist immer on.
Hier meine Frage, hat jemand von euch schon einmal einen Pegasus Trojaner auf seinem Telefon gehabt? Oder einen anderen Trojaner? Wie sicher ist das Betriebssystem wenn keiner Zugriff auf die Hardware hat?

1 „Gefällt mir“

Ein aktuelles Pixel mit GrapheneOS ist so ziemlich das „sicherste“ Gerät für normal-Sterbliche. Anders als Desktop Systeme wurden Mobile operating systems mit Sicherheit als grundlegender Komponente entwickelt. Und unter den Android-basierten Betriebssystemen gilt es bei vielen Sicherheitsforschern als „Goldstandard“.

Zum Thema Pegasus Trojaner:

Es gibt verschiede Preisstufen:

  • Die Einsteigerversion bietet nur preiswerte 1-Klick-Exploits zur Infektionen von Smartphones. Das Target muss auf einen Link klicken um das Phone zu komprimitieren.
  • Die Advanced Version bietet nicht-persistente 0-Klick-Remote-Exploits, die man mit einem Reboot des Smartphones wieder rauswerfen kann.
  • Nur die teuerste High End Version bietet persistente 0-Klick-Remote-Exploits.

Das man nun Opfer eines persistenten 0-Klick-Remote-Exploits wird, ist selbst für Menschen die deutsche Behörden (wie das BfV, LKA, BKA, …) als Bedrohungmodell haben recht gering.

Das PrHdb bietet einige Tipps an, mit den man eine Infektion eines Trojaners erschwert.

Du kannst noch ein paar Sachen draufsetzen indem du:

  • Auditor für Device-Integrity installierst
  • Hypatia um bekannte Stalkerware zu erkennen installierst
  • TinyCheck in dein Netzwerk integrierst um eventuell bekannte Trojaner zu identifizieren.
  • extra Paranoide können noch Mikrophone, Kameras und Beschleunigungs- und Rotationssensoren physisch entfernen oder man kauft sich ein NitroPhone und lässt die das machen.

Und noch zum Thema F-Droid:

F-Droid hat ein paar Sicherheitsschwachstellen, selbst das PrHdb sagt:

Für die Kommunikation in der „Danger Zone“ mit hohen Sicherheitsanforderungen (z.B. als Drogendealer, als den Staat deligitimierender Corona-Leugner o.ä.) verzichtet man auf die Installation eines App Store und vermeidet so Probleme wie Kill Switch oder Frontdoor.

Wenn man absolut auf Sicherheit setzten möchte, sollte man alle benötigten Apps als APK direkt von der Quelle insatllieren.

1 „Gefällt mir“

Ich kann nur obtainium empfehlen ! Damit lassen sich die Apps direkt von der quelle beziehen als beispiel github und dann auch verwalten !

1 „Gefällt mir“

Wesentliche Tipps hat du von skalavagr schon bekommen.

Ich verzichte daher mal auf Wiederholungen und stelle (wie so oft) die Frage nach dem Bedrohungsmodell. Denn mal ganz konkret und real: Wenn du ein potentielles Ziel von Pegasus bist, hast du noch ganz, ganz viele andere Baustellen, besonders im Bereich deines eigenen Verhaltens und in der physischen Welt. Ein aktuelles GrapheneOS-Handy zu kompromittieren ist absolut nicht trivial. Wenn das jemand kann, hast du entweder ganz massive Fehler gemacht (sprich: das Risiko sitzt vor dem Bildschirm) oder einen sehr potenten Angreifer.

Das bedeutet weder, dass du dich auf deiner Sicherheit ausruhen kannst, noch dass du keine Chance hast und aufgeben sollst. Aber wenn du nicht weißt, wo du hin willst, wirst du niemals ankommen, dann kann dir niemand den Weg beschreiben. Also nimm dir das als erste Aufgabe. Und wenn die Sache für dich eher akademisch/theoretischer Natur ist: Dann erfinde ein Szenario. Was du am Ende davon tatsächlich übernimmst, musst du selbst entscheiden. Aber wir brauchen eine gemeinsame Basis, auf der wir diskutieren - sonst ist das sinnlos.

5 „Gefällt mir“

Du wirst hier niemanden finden, bei dem Pegasus&Co auf GrapheneOS gefunden worden ist. Wenn es solche Fälle gäbe, wäre das schon öffentlich bekannt. Warum ist das so? Bei der Entdeckung von State-Level-Malware läuft es nämlich normalerweise so ab:

  1. Das Handy verhält sich im Normalfall unauffällig und als durchschnittlicher Endnutzer hat man alleine keine Chance etwas festzustellen.
  2. Einer der Betroffenen oder sein Umfeld erlebt irgendwann im echten Leben Konsequenzen der Überwachung, die ihn oder sein Umfeld misstrauisch machen und (wenn das noch möglich ist) nach Ursachen forschen.
  3. Dabei wird das Handy dann ggf. in ein forensisches Labor oder anderen Sicherheitsexperten gesendet, das Auffälligkeiten entdeckt.
  4. Das Labor untersucht im Umfeld des Betroffenen Geräte auf ähnliche Muster und auch bei anderen Kunden des Labors.
  5. Das Labor nimmt Kontakt mit dem Hersteller auf (GrapheneOS oder Google in diesem Fall), meldet z.B. identifizierte Sicherheitslücken.
  6. Der Hersteller fixt die Lücken, erste Öffentlichmachung.
  7. Labor veröffentlicht die Entdeckung mit näheren Details.
  8. Weitere Labors entdecken die gleiche Malware auf anderen Geräten. Es bildet sich ein immer besseres Bild über das Ausmaß der Verbreitung, Demographie der Opfer, Hersteller der Schadsoftware usw.

Es ist das Sicherste was du im Smartphone-Bereich bekommen kannst und viel sicherer als populäre Desktop-Betriebssysteme. Die zahlreichen zusätzlichen Mitigations erhöhen die ohnehin schon gute Sicherheit des Google Pixel weiterhin und brechen zahlreiche Exploit-Chains. Mit der Einführung von MTE auf Pixel 8 und neuer hat es den Vorsprung weiter ausgebaut. Eine Android Zero Click Full Chain ist heutzutage bei Händlern wie Crowdfense schon 5 Mio. USD im Einkauf wert, auf dem Schwarzmarkt noch deutlich mehr. Durch die zahlreichen zusätzlichen Mitigations von GrapheneOS liegen wir dort bestimmt im zweistelligen Millionenbereich. Dadurch, dass GrapheneOS nur ca. 250k Nutzer hat und bis vor ein paar Jahren noch viel weniger, ist zudem der Anreiz speziell zugeschnittene Exploit-Chains zu entwickeln nicht so hoch wie für das Stock OS oder iOS mit 100en Millionen potenziellen Opfern.

Im Übrigen hast du im GrapheneOS-Forum oder -Chat bei GrapheneOS-spezifischen Fragen bessere Chancen gute Antworten zu bekommen, da dort auch GrapheneOS-Entwickler, -Moderatoren und andere mit viel Wissen im Bereich OS-Security anwesend sind.

2 „Gefällt mir“

Ein weiterer Beweis dafür, wie sicher aktuelle Pixels mit GrapheneOS sind:

XRY and Cellebrite say they can do consent-based full filesystem extraction with iOS, Android and GrapheneOS. It means they can extract data from the device once the user provides the lock method, which should always be expected. They unlock, enable developer options and use ADB.
Cellebrite’s list of capabilities provided to customers in April 2024 shows they can successfully exploit every non-GrapheneOS Android device brand both BFU and AFU, but not GrapheneOS if patch level is past late 2022. It shows only Pixels stop brute force via the secure element.

Ganzer Beitrag

1 „Gefällt mir“

Interessanter Beitrag… Ist mit „once the user provides the lock method“ gemeint , dass der User das „Unlock-Passwort“ heraus gibt?

Jap genau das.
Auf den Webseiten wird das auch als User Consent File Extraction beworben.

Also müssen sie das Passwort kennen.
Dann ist allerdings auch unter GOS eine Full File System Extraction möglich, das heißt es kann auch nach gelöschten Dateien etc. gesucht werden
Hierfür ist laut den GOS Entwicklern ein exploit nötig, welchen sie anscheinend haben.

Allerdings (wieder laut den Entwicklern) macht es keinen Sinn hierfür einen Patch zu entwickeln da die Angriffsfläche unwahrscheinlich groß ist nachdem das Passwort bekannt ist und ADB usw verwendet werden kann. Einzige Option die in Betracht käme, wäre die Developer Optionen gänzlich zu entfernen

1 „Gefällt mir“

Glaubst du mit diesem Exploit kann auch ein dd/Raw-Image des Speichers des Pixels gemacht werden (was ja normalerweise bei laufendem OS nicht moeglich ist) ?

Ich glaube das nennt sich „Physical acquisition“