Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Stalkerware

24-08-2020, 14:21 door Anoniem, 14 reacties
hi,

een kennis van mij vermoedt dat er stalkerware op zijn android 10 telefoon is geinstalleerd. Nu kan ik niets verdacht vinden behalve een app die heet "authfw tapack". Weinig over te vinden...

Iemand tips om dit te onderzoeken en evt. op te lossen?
Bedankt!
Reacties (14)
24-08-2020, 15:09 door Anoniem
authfw tapack -> com.samsung.android.tapack.authfw = Samsung Pass
https://www.samsung.com/nl/apps/samsung-pass/
24-08-2020, 16:38 door Anoniem
Ziet er legitiem uit:

https://docs.samsungknox.com/CCMode/G977T_P.pdf

Kan zomaar onderdeel zijn van Samsung Knox beveiliging.
24-08-2020, 17:01 door Anoniem
authfw tapack is een authentication framework van Samsung voor Samsung pass
Dit wordt gebruikt voor opslag van biometrische data, vingeradruk iris scan of gezichtsherkenning etc.
Android 8.0 en hoger heeft dit standaard erop zitten zover ik kan zien niet iets raars.

Omtrent stalkerware netwerk verkeer onderscheppen, apparaat compleet wissen, of een bedrijf inschakelen dat gespecialiseerd is in digitaal forensisch onderzoek. Ik zou gaan voor compleet wissen als voorzorg maatregel al betwijfel ik sterkt dat er stalkerware actief is maar meer sprake van een menselijk data lek. (social media, etc)
24-08-2020, 23:28 door Anoniem
Je kan wireshark installerenop de telefoon en het netwerkverkeer inspecteren.
Vertrouw je het apparaat helemaal niet, dan kan je bijv. mitmproxy installeren op een raspberry pi, en daar het verkeer opvangen.

Maar het is lastig om daar goede conclusies uit te trekken als je dat niet baker hebt gedaan.
25-08-2020, 08:36 door Anoniem
Als je twijfels hebt kan je beter de telefoon opnieuw installeren.

maargoed, op android staat per definitie stalkerware, maar dan gaat die data naar Google.
26-08-2020, 17:35 door Anoniem
Stalkerware :') Nieuw woord ofzo? Noem het maar gewoon spyware.
27-08-2020, 11:33 door Anoniem
Denk niet dat het om spyware gaat maar dat het om software gaat die door een "ex" ofzo op de telefoon gezet is om controle te houden...
27-08-2020, 12:06 door Anoniem
Door Anoniem: Stalkerware :') Nieuw woord ofzo? Noem het maar gewoon spyware.
Spyware, nieuw woord of zo? Noem het maar gewoon malware /s

Is stalkerware tegenwoordig nog steeds zo'n raar woord? Ik had verwacht dat security-mensen beter op de hoogte zouden zijn.
27-08-2020, 13:20 door Anoniem
Door Anoniem:
Door Anoniem: Stalkerware :') Nieuw woord ofzo? Noem het maar gewoon spyware.
Spyware, nieuw woord of zo? Noem het maar gewoon malware /s

Is stalkerware tegenwoordig nog steeds zo'n raar woord? Ik had verwacht dat security-mensen beter op de hoogte zouden zijn.

Yep, meestal wordt de term spyware gebruikt.
28-08-2020, 20:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Stalkerware :') Nieuw woord ofzo? Noem het maar gewoon spyware.
Spyware, nieuw woord of zo? Noem het maar gewoon malware /s

Is stalkerware tegenwoordig nog steeds zo'n raar woord? Ik had verwacht dat security-mensen beter op de hoogte zouden zijn.

Yep, meestal wordt de term spyware gebruikt.
Nee, meestal wordt de term malware gebruikt. Spyware is een specifieke vorm van malware. Stalkerware is een specifieke vorm van spyware. Zo moeilijk is het echt niet.
29-08-2020, 16:20 door Anoniem
Door Anoniem: Je kan wireshark installerenop de telefoon en het netwerkverkeer inspecteren.
Vertrouw je het apparaat helemaal niet, dan kan je bijv. mitmproxy installeren op een raspberry pi, en daar het verkeer opvangen.

Maar het is lastig om daar goede conclusies uit te trekken als je dat niet baker hebt gedaan.

Ik ben niet 100% zeker, maar volgens mij is het gemakkelijk om deze detectie te omzeilen als malware. Als het alleen over ssl verbindt, en alleen het cert van zijn eigen C2 vertrouwt, ga je niks op kunnen vangen. Als het een onbekende cert vindt, zou het zich zelfs stil kunnen houden, wat een false negative oplevert.

Het lijkt me dat de enige manier om dit echt te onderzoeken is om storage en/of geheugen te dumpen en te analyseren.

Maar ik weet niet zo goed hoe het daadwerkelijk in de praktijk gaat. Verbeter me als ik het fout heb
30-08-2020, 19:38 door Anoniem
Door Anoniem: Je kan wireshark installerenop de telefoon en het netwerkverkeer inspecteren.
Vertrouw je het apparaat helemaal niet, dan kan je bijv. mitmproxy installeren op een raspberry pi, en daar het verkeer opvangen.

Maar het is lastig om daar goede conclusies uit te trekken als je dat niet baker hebt gedaan.

Beetje mallware zal alleen de GSM-modem en nooit WiFi gebruiken om detectie te voorkomen.
31-08-2020, 12:11 door Anoniem
Door Anoniem:
Door Anoniem: Stalkerware :') Nieuw woord ofzo? Noem het maar gewoon spyware.
Spyware, nieuw woord of zo? Noem het maar gewoon malware /s

Is stalkerware tegenwoordig nog steeds zo'n raar woord? Ik had verwacht dat security-mensen beter op de hoogte zouden zijn.
Ik zocht even op dat woord stalkerware en blijkbaar is dat woord echt nieuw waarvan ik nog nooit gehoord heb. Sorry, ik dacht dat je het zomaar zelf even had uitgevonden xP Maar blijkbaar is dat woord pas bestaan in het jaar 2019?

btw, ik doe geen ict ofzo, het is maar een hobby dat ik wat bezig ben met security en ik leer ook graag bij. Maar helaas heb ik nog een ander leven waardoor ik niet heletijd aan mijn hobby's kan bezig zitten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.