Habe ich eine Spysoftware auf meinem iPhone 12 Pro Max?
Nach Begutachtung der iPhone-Analyse Datei „installd.diskwrites_resource-2025-04-20-100440.ips“ komme ich zu keinem anderen Schluss, als dass mein iPhone 12 pro tiefgehend kompromittiert ist.
Oder kann mir jemand den Zahn ziehen und eine einfache Erklärung dafür finden (was mich sehr erleichtern würde)?
Zum Sachverhalt: Am 20. April 2025 wurde WhatsApp (Version 25.9.7) auf meinem Gerät installiert oder aktualisiert – ohne mein Zutun, ohne sichtbare App Store-Aktivität und ohne Eintrag auf dem Homescreen.
Dies geschah über den Prozess "installd", ausgelöst von "nsurlsessiond", unter Beteiligung interner Apple-Services wie "com.apple.appstored" und "StreamingUnzipService.xpc".
Auffällig ist:
- WhatsApp war zuvor deinstalliert und wurde dennoch ohne Nachfrage erneut installiert.
- Der Installationspfad befand sich unter /private/var/containers/Bundle/Application/..., ohne erkennbares GUI-Ereignis.
- Die Prozesse "appstored" und "StreamingUnzipService" weisen auf ein mögliches hintergründiges Deployment über App Store-Infrastruktur hin – möglicherweise ohne Authentizitätssignatur.
Es gibt keine MDM-Konfiguration, kein Jailbreak, und keine bewusste Wiederherstellung von iCloud oder App Store meinerseits.
Auch die Verwendung eines VPN (Kaspersky) bietet nach aktuellem Stand keine plausible Erklärung für dieses Verhalten.
Daher besteht der Verdacht, dass App Store-Funktionen – insbesondere App-Wiederherstellungen – in diesem Fall missbräuchlich verwendet oder manipuliert wurden.
Der Vorfall ereignete sich zwischen 09:58 und 10:04 Uhr am 20. April 2025.
Ich bin gerne bereit die entsprechende Datei gesichert and interessierte (Forensiker?) weiterzuleiten.
3 Antworten
Mit iOS 18.4 gab es bei einzelnen Nutzern das Phänomen, daß deinstallierte Apps wieder installiert wurden.
Abhilfe: Update auf iOS 18.4.1.
Quelle: https://www.maclife.de/news/ios-184-bug-geloeschte-apps-erscheinen-wieder-iphones-100125533.html
Ich würde das Update gerne durchführen, aber es will einfach nicht funktionieren. Nicht mal über PC! Schon alles probiert
Kenne mich da jetzt nicht so gut aus, allerdings hören sich diese Sachen die du aufgelistet hat sehr danach an, als wurdest du nicht gehackt. Sonst würde dein Handy nie von alleine etwas herunterladen. (Außer in 18.3 bzw 18.4, da kam es manchmal vor, dass deinstallierte apps wieder heruntergeladen wurden. Apple hatte tatsächlich auch letztes eine sehr große Sicherheitslücke, wo Hacker zugriff zu deinen Handy haben konnten. Dies wurde so einigermaßen in ios 18.4,1 gefixt. Am besten holst du dir ein gutes Anti Virus Programm und versuchst nochmal dein Handy zu bereinigen und mach nochmal ein Viren Test.
Ich hoffe ich habe ein wenig geholfen.
Stimmt, schuldige für diese schlechte Antwort, deine ist besser, wenn du einverstanden bist lösche ich das hier
ein Fehler der 4 Stunden lang ging? Bei dem die meisten Logs versucht wurden zu verschleiern? Wie kommst du drauf? Mit was untermauerst du deine Fehler -Hypothese?
Ich sage was anderes: Die Präsenz von com.apple.appstored in Zusammenhang mit com.apple.StreamingUnzipService(.xpc) ist alarmierend:
- Diese Services sind intern für App Store-Downloads zuständig – insbesondere bei Streaming-Installationen ohne vollständiges App-Paket.
- In legitimen Szenarien (z. B. Updates) erscheinen diese Prozesse zeitlich eng gekoppelt mit Nutzeraktionen.
- In diesem Fall fehlt jeder Hinweis auf einen sichtbaren App Store-Prozess – stattdessen wurde das Entpacken und Installieren aus dem Hintergrund getriggert.
- Das lässt mehrere brisante Szenarien zu:
- Manipulierter App Store, der Downloads aus alternativen Quellen akzeptiert.
- Interner Mechanismus missbraucht, um App-Installationen zu tarnen.
- Verdeckte Wiederherstellung durch Jailbreak-ähnliche Methoden oder Exploit-Kette (selbst wenn kein Jailbreak aktiv angezeigt wird)
Ich habe noch iOS 18.3.1. Da der Fehler aber bei iOS 18.4 auftritt ist deine Hypothese widerlegt
Wenn du das so exakt weißt, dann ist doch alles klar: geh in den nächsten Apple Laden und leg deine Beweise vor. Die werden es verstehen und dir helfen.
Na, dass hier ist doch eine Diskussion. Steht ja in der Überschrift. Und die besteht darin, dass man unterschiedliche Meinungen + Hypothesen darlegt und diese mit Argumenten und Beweisen zu untermauern versucht. Also ich habe das getan. Aber von dir hab ich noch keine großen Argumente gehört außer „ist nicht so…“
Ich lasse mich gern eines Besseren belehren, wäre wie gesagt froh drum. Aber da muss schon noch ein bisschen mehr kommen, hätte mir da mehr Details auf fachlicher Ebene gewünscht.
im Apple Store sagen die zu Software-Angelegenheiten überhaupt nichts
Dein Verdacht ist absolut nachvollziehbar und du hast das Verhalten sehr detailliert und technisch fundiert dokumentiert – das ist selten und zeigt, dass du dir berechtigterweise Sorgen machst. Ich werde dir hier eine objektive Einschätzung geben, die sowohl technische als auch forensische Überlegungen einbezieht.
Kurze Antwort vorab:Was du beschreibst, klingt ungewöhnlich, aber nicht zwangsläufig nach Spyware oder einem tiefgehenden Kompromittieren des iPhones – es gibt potenziell harmlose Erklärungen, die trotzdem nicht normal sind, aber auch nicht direkt auf eine Infektion schließen lassen.
Was könnte passiert sein?1. Automatische Wiederherstellung durch App Store / iCloud-Mechanismen- iOS speichert App-Nutzungsverläufe (z. B. WhatsApp war irgendwann mal installiert).
- Wenn du ein iCloud-Backup wiederherstellst, kann es sein, dass Apps automatisch nachinstalliert werden – auch wenn du dich daran nicht bewusst erinnerst. Manchmal geschieht dies sogar stunden- oder tagelang verzögert.
- Das würde erklären:
- Keine GUI-Aktion (weil im Hintergrund),
- Verwendung von
installd- ,
nsurlsessiond- und
appstored- (ganz normale Systemprozesse beim Download und Installation aus dem App Store),
- Pfade unter
/private/var/containers/...- (standardisierte Sandbox-Speicherorte von iOS seit Jahren).
- Wenn eine App entfernt, aber nicht vollständig aus der iCloud-Historie gelöscht wurde, kann sie unter bestimmten Umständen „von selbst“ wieder auftauchen:
- z. B. durch das Öffnen eines Deep Links,
- oder eine Push-Benachrichtigung (z. B. über „You have a message on WhatsApp“ – was dann den Store zum Re-Installieren triggert).
- Dies kann über
nsurlsessiond- (Netzwerkdownloads) und
StreamingUnzipService.xpc- (entpacken von App-Bundles während Installation) abgewickelt werden.
- Manchmal erscheinen Apps nicht sofort oder gar nicht auf dem Homescreen, wenn sie
- vom App Store nur halb initialisiert wurden,
- in einer Art „geparktem“ Zustand blieben,
- oder in einem Kinder-/Screen Time-Konto blockiert sind.
- Es gibt Berichte, dass bestimmte VPN-Apps (darunter auch Kaspersky) Systemprozesse beeinflussen können – vor allem DNS-Routing, das auch App-bezogene Dienste ungewollt auslöst.
- Denkbar: durch eine Netzwerkunterbrechung o. Ä. könnten Wiederherstellungs-Trigger ungewollt aktiviert worden sein.
- iPhones ohne Jailbreak sind extrem schwer kompromittierbar, selbst für Nation-State-Akteure. Spyware wie Pegasus ist teuer, zielgerichtet und macht sich nicht durch so sichtbare Installationen bemerkbar.
- Die beteiligten Prozesse (
installd- ,
nsurlsessiond- ,
StreamingUnzipService- ) sind keine Anzeichen für bösartige Aktivitäten – sondern typisch für systemseitige App-Verwaltung.
- Es ist sehr unwahrscheinlich, dass ein Angreifer WhatsApp neu installiert, anstatt ein verstecktes Tool einzusetzen – es ergibt keinen operativen Sinn.
- Dass WhatsApp ohne dein Zutun wieder auf dem Gerät ist, bleibt ungewöhnlich.
- Wenn weder Backup noch Benutzeraktion, wäre das ein Verstoß gegen die iOS-Sandbox-Regeln – aber Apple erlaubt unter Umständen „silent restores“ über iCloud.
- iPhone-Analyse von Apple aktivieren:
- Einstellungen → Datenschutz & Sicherheit → Analyse & Verbesserungen → „iPhone-Analyse teilen“ (falls aktiviert).
- In der App „Dateien“ findest du die .ips-Dateien, die du erwähnst – du kannst diese auch einem Experten (z. B. einem CERT oder Digital-Forensiker) weitergeben.
- WhatsApp-Verlauf überprüfen:
- Ist die App bei Start neu initialisiert?
- Ist ein alter Account eingeloggt? → Hinweis auf Restore.
- Aktuelle iCloud-Wiederherstellungen prüfen:
- Einstellungen → Apple ID → iCloud → iCloud Backup → Letzte Wiederherstellung?
- Apps mit Zugriff auf dein Apple-Konto prüfen:
- https://appleid.apple.com → Anmelden → Geräte und App-Zugriffe kontrollieren.
- Optional: iPhone komplett zurücksetzen
- Backup erstellen (wenn gewünscht),
- iPhone vollständig löschen und als neues Gerät einrichten – kein iCloud Restore.
- So kannst du jegliche „vererbte“ Systemaktivität ausschließen.
Wenn du möchtest, kannst du mir die
.ips-Datei (z. B. anonymisiert oder gekürzt) hier hochladen, und ich schaue sie mir genauer an – rein technisch.
Möchtest du das tun?
FazitDer beobachtete Vorfall mit der automatischen (Re-)Installation von WhatsApp auf deinem iPhone 12 Pro Max wirkt zwar zunächst beunruhigend, liefert jedoch keine eindeutigen Hinweise auf eine Kompromittierung durch Spyware oder eine gezielte Manipulation des Systems. Vielmehr deuten die involvierten Systemprozesse (
installd,
nsurlsessiond,
appstored,
StreamingUnzipService) und der Installationspfad auf einen systeminternen Vorgang hin – etwa im Rahmen einer automatischen Wiederherstellung durch iCloud oder den App Store. Auch wenn du dich an keine bewusste Aktion erinnerst, sind solche "stillen" App-Rückführungen technisch möglich, besonders bei zuvor installierten Apps.
Es gibt derzeit keine forensisch belastbaren Anzeichen für eine tiefgreifende Sicherheitslücke oder das Vorhandensein von Spyware. Dennoch bleibt das Verhalten ungewöhnlich und sollte weiter beobachtet werden. Ein vollständiger Geräte-Reset und die Neueinrichtung ohne iCloud-Backup wären die sicherste Methode, um künftige Unsicherheiten auszuschließen.
Wenn du absolute Gewissheit willst, könnte eine forensische Analyse der
.ips-Datei zusätzlichen Aufschluss geben. Gern kannst du mir die Datei zur weiteren Einschätzung hochladen.
Nein!