Hei!

En kamerat av meg hadde politiet på besøk for noen uker siden. Helt uten grunn beslagla de telefonen hans og ransakte huset hans (uten å finne noe). På spørsmål om han hadde røyket noe i det siste svarte han "kanskje, kanskje ikke". Han innrømmet altså ingenting.

Noen dager senere (og etter å ha snakket med advokat) fikk han telefonen sin tilbake, reinstallerte den og tok den i bruk som vanlig.

Her er greia: han vet at den samme telefonen har vært i PST/Politiets søkelys tidligere (når en annen person eide og brukte den) og for noen dager siden fikk han en bot i posten for røyking (selv om han ikke har innrømmet noe og politiet egentlig ikke har noen beviser for det). Hans milde paranoia kombinert med min iboende nysgjerrighet har nå ført til at vi har bestemt oss for å saumfare telefonen for mulige overvåkningsverktøy.

Android er ikke helt mitt ekspertfelt, så utenom å sjekke fingeravtrykket i surespot og andre krypterte apper vet jeg ikke helt hvor jeg skal begynne.

Noen her inne som har tips til hvor vi kan starte for å avsløre den potensielle overvåkninga?

OBS: jeg bare antar at det du skriver er sant og svarer med det utgangspunktet. Det er teknisk mulig å modifisere en telefon ved å legge til eller endre komponenter i den slik at den fungerer som en overvåkningsenhet. Du vil neppe være i stand til å finne ut av dette. Om det også er mulig å legge inn noe programvaredjevelskap som gjør samme nytten og som ikke kan oppdages av vanlige dødlige kan jeg ikke uttale meg om. Men hvis vi ser på hvor ufattelig sofistikerte datavirus kan være og kobler dette opp mot det tette samarbeidet som foregår mellom enkelte myndigheter og mobilprodusenter... Jeg er temmelig sikker på at det er mulig. Men PST opererer ikke i samme liga som CIA. Etter min tolkning av lovverket har politiet i Norge heller ikke lov til å gjøre slike ting pr. i dag. Det betyr uheldigvis ikke særlig mye, for de har historisk sett tatt seg ganske store friheter - og sluppet unna med det. De har dessuten nylig bedt om utvidede fullmakter og kommer trolig til å få det på sikt. Alt i alt ville jeg aldri stolt på den telefonen igjen, men jeg ville samtidig blitt svært overrasket om dere faktisk fant noe - både fordi det trolig ikke er noe der, og fordi dere ikke ville funnet det hvis så var tilfelle. Men, sjekk i vei! Man vet jo aldri, og det er sikkert en nyttig øvelse.

Hva forelegget angår mener jeg at han burde bestride det, om ikke annet så av prinsippielle årsaker. Det er selvsagt ganske teit å slenge med leppa til politiet, men dette med at de skriver ut forelegg for narkotikabruk uten bevis er et alvorlig problem for rettsikkerheten. Kjapt og enkelt for de, og sikkert billigere for de som blir 'dømt' hvis det også hadde fått samme utfall i retten, men det er dårlig rettspraksis. Tvilen skal fortsatt komme tiltalte til gode, men etter å ha sett dette problemet dukke opp et par hundre ganger her på forumet virker det som om bevisbyrden er snudd ganske så på hodet i slike saker. En tilståelse alene burde ikke være nok til å bli dømt i noen saker. Spesielt ikke en tilståelse som egentlig ikke er en tilståelse overhode, og som er frembrakt under slike omstendighheter. Det ville neppe holdt i retten og det vet de godt! Det virker som om de systematisk misbruker 'tilståelser' i saker om narkotikabruk, og jeg synes helt enkelt at de burde miste mulgiheten til å skrive ut forelegg i slike saker. Så får vi som samfunn heller ta kostnaden det medfører å drqa disse sakene for retten. Nå burde selvsagt narkotikabruk vært avkriminalisert for lenge siden, men det er en annen diskusjon.

Han kommer ikke til å godta boten nei, og er klar for en hard kamp der. Men det er en historie for et helt annet underforum. Men når de dukka opp hadde de ingen grunn (og heller ingen ransakelsesordre). Og han er heller ikke straffet for noe tidligere. Mistenker at det er miljøet rundt som gjør at politiet vil sjekke ham ut, men nok om det.

Han sier selv telefonen tidligere har vært tatt over av NSA (forrige bruker var av typen som syntes det var morsomt å skrive mest mulig om bomber og slikt når han skjønte at NSA scannet nettet etter spesifikke ord, så han gjorde så godt han kunne for å havne i søkelyset). Men det er mange år siden nå. Og en historie jeg tar med en klype salt.

Tviler på at de har installert nye komponenter i telefonen (selv om det ikke kan utelukkes selvfølgelig), de hadde ikke telefonen så lenge og såvidt jeg har skjønt har den bare befunnet seg på det lokale lensmannskontoret. Altså ikke en plass de har ressursene til å gjøre sånt. Derfor tar vi utganspunkt i at det må være softwaren som isåfall er tuklet med. Det har jo tross alt skjedd før.

Så det jeg lurer på er mer hvordan man går frem for å avdekke "uærlig" programvare. Er det noen form for programmer til Linux f.eks. som kan "scanne" telefonen? Vet det går ann å installere f.eks. SuperSU og FlexiSPY for å overvåke alt som skjer på telefonen. Vet ikke om dette fungerer som en keylogger også, men isåfall vil jo også kommunikasjon over krypterte apper være utsatt. Er ganske ny i gamet, men har stor interesse for å lære så for meg er dette bare en god mulighet til å tilegne meg mer kunnskap.

For ordens skyld: det er ikke snakk om å bruke telefonen til noe ulovlig. Jeg er interessert i dette fra et personvernsperspektiv. Og dersom det viser seg at de bruker overvåkning i så små (egentlig ikke-eksisterende) saker er det et ganske stort overtramp.

Du kan overvåke datapakkene å se om det er noe muffens på gang.
Men helt ærlig, når jeg leser noen påstå at de har vært utsatt for spionasje av NSA så tenker jeg med en gang at dette er en person som også tror klikkelyder under en samtale betyr at han er overvåket.
Så fremt denne personen ikke driver med organisert krim så kan dere ta det ganske med ro.

Det enkleste du kan gjøre er å koble mobilen opp mot en proxy, og falsk DNS server. Da vil du kunne inspisere all trafikk som blir sendt. Om de har noe software som overvåker mobilen, så vil jo det da sende data hjem til de på en måte. Det blir sikkert en del å lete igjennom, spesielt om det er mange apps installert. Fang trafikken med pcap, og analyser det i feks capanalysis. Det kan presentere data i en grei timeline, malware har som regel et veldig spesifikt mønster når det kommer til hvor ofte det snakker med sin server. Å da ha en lett oversiktlig timeline kan da være veldig hjelpsomt. Du kan også prøve å sende pcap filene igjennom Snort/Suricata, det er mulig at de vil klare å oppdage noe.

Analysering av filsystemet samt minnet er også mulig, men da begynner ting å bli litt mer vanskelig. Du bør da ta å speile data som er på telefonen, for å så analysere det på en PC. Her finner du litt mer informasjon om hvordan det gjøres. Analysering av minnet er litt teknisk krevede, og har en vis risiko for å bricke telefonen. Det bør derfor være det siste du bør forsøke, Volatility har en grei artikkel på hvordan det gjøres, men jeg anbefaler å teste det ut på en emulator før du går løs på mobilen. Det er lurt å lage flere kopier av data som hentes ut, så du ikke sitter å jobber på den eneste kopien av data. Skulle noe gale skje kan det være vanskelig eller umulig å få det tilbake.

Det vil være mye informasjon å leite igjennom når du først får noe ut, så du må beregne å bruke en god del tid på å gå igjennom alt. Ta litt notater underveis så du slipper å leite frem informasjonen igjen hele tiden. Det kan være lurt å øve seg kjapt på en emulator først, gjør ett eller annet på emulatoren du tror vil genere litt nettverks trafikk/filsystem IO, og se om du klarer å gjenskape hva som skjedde med noen av verktøyene du velger å bruke. Det kan være greit å øve litt før du hopper rett inn i det.

Han har aldri vært utsatt for noe spionasje nei, men tidligere eier er av den mer "eksentriske" sorten (som forklart tidligere). Telefonen har hatt et langt liv før den endte i hendene til kameraten min. Ingen av oss er ordentlig paranodie, mest på hobbybasis. Telefonen kommer uansett til å bli byttet ut, så det er kun på gøy vi vil sjekke.

Men det med datapakkene var et godt tips. Kan du utdype litt mer rundt hvordan vi går frem for å gjøre det?

Synderen: Det var mer svaret jeg lette etter! Tusen takk for god hjelp, skal være nok å leke seg med der. Skulle gitt deg et kvalitetspoeng, men knappen fungerer ikke uten JavaScript.

Dersom andre har gode idèer så kom med dem.