Spionage-Software auf dem Mac?

[depeschie]

Hallo liebe MacUser,

ich bekomme demnächst zwei MacBooks, zwei Android-Telefone und ein Android Tablet, mit denen merkwürdige Dinge passieren.
Auf den MacBooks werden willkürlich Dateien gelöscht, Mails verschickt, die Kamera aktiviert - sobald das Gerät mit dem Internet verbunden ist.
Bei den Telefonen laut Erzählungen ein ähnliches Bild: SMS, welche die Besitzerin nie verschickt hat, Bilder, die sie nie gemacht hat , ...
Die MacBooks wurden im Apple Store angeblich sogar "neu aufgesetzt". Wie ist da die Prozedur? Neuinstallation und Wiederherstellung aus Time Machine?

Es gibt den Verdacht eines extremen Stalkers, welcher auch kurzzeitig im Besitz der Geräte war. Die lokale Polizei will der Sache aber nicht nachgehen ("Das dauert ein Jahr bis wir den Computer analysiert haben").

Mein Ansatz beim MacBook wäre die Festplatte auszubauen und ein Clone davon zu machen. Dann kann man sich das ganz in Ruhe anschauen.
Doch welche Software gibt es überhaupt für den Mac, sowas zu bewerkstelligen (also die Überwachung)?

Bei den Android-Geräten fällt mir Flexispy ein... sofern sie wirklich gerootet sind.

Vorrangig will die Besitzerin ihre Geräte einfach wieder benutzen können.

Falls Ihr Hinweise und Tipps habt oder die Sache nur mitverfolgen wollt - herzlich willkommen

Grüße,
depeschie

 

[doger]

Festplatte raus aus dem Gerät, readonly mounten, clonen und dann mit dem Clon auf Spurensuche gehen.
Readonly ist wichtig, damit hier keine Daten verändert werden, alles andere hat später evtl. vor Gericht keinen Anspruch auf Beweismittelkraft.

Wenn Anzeige im Raum steht, hast Du oben ja erwähnt, würde ich das am besten einem Forensiker übergeben.

//doger

 

[mikne64]

Hallo,

ich würde die Geräte komplett neu installieren, ggf. nur einzelne Dateien zurücksichern.
Nach der Datensicherung, Gerät ausschalten, dann erstmal im Festplattendienstprogramm zur Sicherheit einmal mit Nullen überschreiben.

Hat die betroffene Person ihre Kennwörter in der Zwischenzeit geändert?
Verwendet sie auch mittlerweile komplexere Kennwörter?

Ggf. auch mit Forensikern/Spezialisten zusammenarbeiten, z.B. Hochschulen, Chaos Computer Club etc.

Viele Gruesse

 

[depeschie]

Es kommt vermutlich zu keinem weiteren Verfahren.

Die junge Frau ist derzeit erstmal froh, dass sie sich physisch wieder gefangen hat und will einfach nur die Geräte wieder benutzen können.

Krasse Sache das alles...

 

[nonpareille8]

Vielleicht bringt es ja was, mal auf Malware zu checken:

„Den Mac OS X-Nutzern empfiehlt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock.
KnockKnock sendet zur Überprüfung die Hashwerte automatisch gestarteter Programme an VirusTotal. BlockBlock überwacht im Hintergrund die von
bekannter Malware genutzten Schwachstellen im System und alarmiert Nutzer, sobald diese von einer Software genutzt werden.”

http://blog.botfrei.de/2015/04/apples-os-x-mangelhafte-sicherheit/

 

[sn0wleo]

lass mal etrecheck laufen auf den macbook und poste die Protokolle

 

[Schiffversenker]

Und wer garantiert, daß diese Software nicht selbst schnüffelt? Also KnockKnock und BlockBlock?

 

[mikne64]

Hallo,

und auf alle Fälle unter Mac OS X - Systemeinstellungen - Sicherheit einstellen "Geschützte Ressourcen erfordern ein Kennwort".

Viele Gruesse

 

[nonpareille8]

Und wer garantiert, daß diese Software nicht selbst schnüffelt? Also KnockKnock und BlockBlock?

Ich sicher nicht. :d

’Hatte es bei mir auch mal laufen lassen. Merkliche Probleme ergaben sich keine.
Ob die Software selbst schnüffelt? Ich würde mal sagen Restrisiko.
Dann dürfte ich auch keinem Virenscanner vertrauen, ich kann nicht beurteilen was da im Hintergrund abläuft.

 

[robertm]

Und wer garantiert, daß diese Software nicht selbst schnüffelt? Also KnockKnock und BlockBlock?

Ich sicher nicht. :d

’Hatte es bei mir auch mal laufen lassen. Merkliche Probleme ergaben sich keine.
Ob die Software selbst schnüffelt? Ich würde mal sagen Restrisiko.
Dann dürfte ich auch keinem Virenscanner vertrauen, ich kann nicht beurteilen was da im Hintergrund abläuft.

Dann dürfte man gar keine Software laufen lassen, egal wofür sie gedacht ist.

 

[Schiffversenker]

Dann dürfte ich auch keinem Virenscanner vertrauen, ich kann nicht beurteilen was da im Hintergrund abläuft.

Wer unter OS X Virenscanner benutzt, ist eh selbst schuld.

 

[Schiffversenker]

Dann dürfte man gar keine Software laufen lassen, egal wofür sie gedacht ist.

Ja und nein. Ist schon ein Unterschied, ob es OpenSource ist und viele kompetente Leute reinschauen können oder ob es wenigstens von einer namhaften Firma ist oder von irgendeinem Hobbybastler und man noch nie etwas davon gehört hat.

 

[StevenJob]

Was meint ihr was OS X alles nach Cupertino überträgt dann dürfte man das auch nicht mehr nutzen ^^ ( Achtung Ironie )

 

[doger]

Dann dürfte man gar keine Software laufen lassen, egal wofür sie gedacht ist.

Sagen wir's mal so, einem kompromittiertem System traue ich alles zu.
Du kannst nicht sagen was dort alles verbogen wurde und welchen Informationen die Du vom System geliefert bekommst noch trauen kannst, Stichwort "rootkit".

Es hat schon seinen Grund warum Forensiker die Platten sofort aus dem laufenden Betrieb nehmen und nur noch mit bestimmter Software und unter bestimmten Voraussetzungen darauf zugreifen.

Ich bin bestimmt kein Forensik Fachmann, aber es gab da mal einen Podcast vom CCC bei dem das Thema behandelt wurde.
Danach wird einem echt anders.

Kann natürlich auch sein das sich der "Bösewicht" auf den Geräten einfach "nur" eine Hintertür geschaffen hat und damit Schindluder treibt.
Dann reicht natürlich Platte putzen und dann das System neu aufsetzen. Aber weiß man's?

//doger

 

[PiaggioX8]

Die neuinstallation des OS X bringt überhaupt nichts.

Wenn der Angreifer das Gerät in den Händen hatte. dann hat er auch alle Zugangsdaten zu allen Accounts (vor allem wenn die Passwörter ohne Verschlüselung auch im Browser gespeichert waren).
Auch den Apple Account zu knacken ist ein Kinderspiel wenn man Zugriff auf den Rechner hat. Da hilft auch das Passwort beim Rechnerstart absolut nichts.

Erste Massmahme: Platte raus und System mit neuer Platte einrichten.

Den Apple-Account von einem anderen Mac aus zurücksetzen bzw. Kennwort ändern. Eventuell mit Apple telefonieren um einen komplett neuen Account zur Erstellen und gekauften Content übertragen lassen.

Danach dann alle betroffenen Geräte zurücksetzen.

Bei den Android-Geräten das gleiche Verfahren.
In den AppStores auch mal nachschauen ob irgendwelche Spy- Überwachungssoftware gekauft und installiert wurde.

Und daran denken: Übrall da wo sie sich im Netz angemeldet hat müssen die Zugangsdaten (Passwörter) schleuigst geändert werden.

Aus eigener Erfahrung mit Stalkern im Bekanntenkreis: das sind dreckige kleine und hartnäckige Mistsäue denen man rechtlich nur schwer bei kommt. Und von den meisten Polizeidienststellen wird das unterschätzt.
Ich würde trotzdem eine Anzeige erstatten. Notfalls direkt bei der Staatsanwaltschaft. Auch mit dem Hinweis darauf, wie sich die Polizeidienststelle herauszuwinden versucht. Einer Anzeige muss nachgegangen werden - Stalken ist eine Straftat.

 

[doger]

Die neuinstallation des OS X bringt überhaupt nichts.

Wenn der Angreifer das Gerät in den Händen hatte. dann hat er auch alle Zugangsdaten zu allen Accounts (vor allem wenn die Passwörter ohne Verschlüselung auch im Browser gespeichert waren).

Das versteht sich wohl von selbst..

//doger

 

[Hausbesetzer]

Die neuinstallation des OS X bringt überhaupt nichts.

So eine gequirlte Ka**e. Neu installieren und gut ist, wie soll denn jemand Spyware auf dem Mac installieren, wenn er das eBay Kennwort hat?

 

[eMac_man]

So eine gequirlte Ka**e. Neu installieren und gut ist, wie soll denn jemand Spyware auf dem Mac installieren, wenn er das eBay Kennwort hat?

Es geht ja nicht nur darum Spyware auf dem Rechner erneut zu installieren, sondern dass man z.B. mit einem gehackten Ebay-Account auch schon allerlei Schindluder betreiben kann. Da bringt also eine Neuinstallation überhaupt nichts, wenn man nicht auch z.B. gleich mal das Passwort für seinen Ebay-Account ändert.

 

[PiaggioX8]

So eine gequirlte Ka**e. Neu installieren und gut ist, wie soll denn jemand Spyware auf dem Mac installieren, wenn er das eBay Kennwort hat?

Gib mir deinen Mac in die Hand und spätestens nach zwei Stunden krempel ich dein gesamtes Leben um.

 

[Hausbesetzer]

Es geht ja nicht nur darum Spyware auf dem Rechner erneut zu installieren,

Doch darum geht es. Der TE will den Mac "clean" bekommen und nicht eBay Passwörter zurücksetzen