Google запускає журналювання вторгнень для Android-пристроїв Pixel

Google розгортає Intrusion Logging — опційовану функцію для Android у режимі Advanced Protection Mode, яка фіксує події безпеки, щоб допомогти дослідникам розслідувати атаки шкідливого програмного забезпечення (spyware) та форамні пристроїв на телефонах, повідомляє TechCrunch. Функція доступна на пристроях із оновленням Android 16 грудня та новіших, однак наразі вона потребує Advanced Protection Mode, авторизованого облікового запису Google і пристрою Google Pixel.

Як працює Intrusion Logging

Журнали створюються щодня й зберігаються в зашифрованому вигляді в обліковому записі Google користувача. За даними Google, функція може фіксувати встановлення застосунків, з’єднання із вебсайтами та серверами, доступ через Android Debug Bridge, розблокування телефону та спроби видалити записи. Amnesty International допомогла розробити цю функцію.

Усунення прогалин у Android-експертизi

Intrusion Logging створили, щоб подолати суттєве обмеження в дослідженнях безпеки Android. Технічні обмеження Android історично ускладнювали надійне виявлення витончених атак spyware порівняно з iOS — мобільною операційною системою від Apple. До появи цієї функції дослідники покладалися на системні журнали, які не були створені для виявлення вторгнень, а такі записи часто перезаписувалися, через що зникали ознаки атаки.

Система розрахована на фіксацію атак від spyware «рівня держави» та поліційних форамних інструментів на кшталт Cellebrite — компанії з цифрової судмедекспертизи, чиє програмне забезпечення може допомагати правоохоронцям розблоковувати пристрої та витягувати дані. Жоден виробник телефонів раніше не запускав функцію, створену саме для того, щоб допомагати дослідникам безпеки вивчати спрямовані атаки spyware.

Ширший контекст безпеки Android

Intrusion Logging вписується в ширшу перезбірку безпеки Android, яка включає посилений захист від Factory Reset, що ускладнює повторне використання викрадених телефонів, а також модель дозволів Local Network Protection, яку планують незабаром. Вона дасть людям змогу контролювати, які застосунки можуть діставати доступ до пристроїв у тій самій Wi‑Fi-мережі.

Google розміщує Intrusion Logging усередині Advanced Protection Mode — його створили, щоб протистояти spyware державного рівня та поліційним форамним пристроям. Такий підхід відрізняється від стратегії Apple: Apple пропонує Lockdown Mode — налаштування безпеки, яке обмежує деякі функції телефона, щоб зменшити ризик атак. Якщо Lockdown Mode спрямований на скорочення поверхні атаки, то Intrusion Logging додає детальні зашифровані записи для форенсичної роботи після інциденту — можливість, яку дослідникам Android було складно збирати послідовно.