Android научится сохранять следы шпионских атак
Google начала внедрять в Android функцию Intrusion Logging — систему защищенных журналов, которая должна помочь расследовать атаки шпионского ПО уже после возможного взлома устройства.
Функция входит в Android Advanced Protection Mode — режим усиленной защиты для пользователей, которые могут стать целью цифровой слежки.
Речь прежде всего о журналистах, активистах, правозащитниках, политиках и диссидентах — людях, против которых могут применять коммерческое шпионское ПО или инструменты для извлечения данных с телефона. По данным Google, Intrusion Logging уже распространяется на устройства с декабрьским обновлением Android 16 и более новыми версиями системы.
Это первый случай, когда крупный производитель смартфонов внедряет систему логирования, специально рассчитанную на расследование сложных атак на устройства. Intrusion Logging создает отдельные журналы безопасности: они фиксируют события, которые могут указывать на компрометацию устройства или попытку скрыть следы атаки.
Google разрабатывала функцию при участии Amnesty International Security Lab. В Amnesty назвали Intrusion Logging важным сдвигом в объеме и качестве данных для цифровой криминалистики, доступных на Android-устройствах.
До этого исследователям часто приходилось полагаться на обычные системные журналы Android. Они быстро перезаписывались и не были задуманы как инструмент для поиска следов взлома.
Глава Amnesty Security Lab Доннча О’Кербайлл отмечал, что технические ограничения Android годами мешали исследователям надежно искать признаки заражения — особенно по сравнению с iOS, где такие расследования было проводить проще.
Intrusion Logging собирает события, которые помогают восстановить картину возможной атаки. Среди них:
- разблокировка смартфона;
- установка и удаление приложений;
- подключения к веб-сайтам и серверам;
- использование Android Debug Bridge;
- попытки удалить или скрыть записи журналов.
Отдельно фиксируется использование Android Debug Bridge — инструмента, через который к смартфону может подключаться компьютер или forensic-комплекс вроде Cellebrite. Такие комплексы правоохранительные органы используют для извлечения данных с телефонов; в некоторых расследованиях правозащитники связывали их применение со злоупотреблениями.
Журналы создаются раз в день и в зашифрованном виде загружаются в аккаунт Google пользователя. Такая схема нужна, чтобы spyware не смогло просто стереть следы атаки с самого устройства.
Google подчеркивает, что не имеет доступа к содержимому журналов — расшифровать их и передать исследователям может только сам владелец устройства.
При всей важности функции у нее пока много ограничений. Функция требует:
- включенного расширенного режима защиты Android;
- последней версии Android 16;
- устройства Google Pixel;
- привязки смартфона к аккаунту Google.
Есть и чувствительный момент. Журналы содержат данные о подключениях и интернет-активности. Даже при шифровании не каждый пользователь будет готов передавать такой массив информации сторонним исследователям.
Google фактически создает Android-аналог режима Lockdown Mode от Apple. Этот режим безопасности для iPhone считается одной из наиболее эффективных защит против шпионского ПО. Apple ранее заявляла, что не фиксировала успешных атак на пользователей с включенным Lockdown Mode.
Подпишитесь на «Инк» в Telegram. Там мы пишем нескучным языком о самом важном для предпринимателей. Подписаться.
