Google начала разворачивать в Android новую функцию Intrusion Logging — защищённое журналирование событий, которое должно помочь экспертам расследовать атаки шпионского ПО. Функция входит в Advanced Protection Mode, усиленный режим безопасности Android для людей с повышенным риском цифровой слежки: журналистов, правозащитников, политиков, активистов и диссидентов.
Идея простая: если телефон взломали, следы атаки часто исчезают раньше, чем пострадавший добирается до специалиста. Новая функция собирает журналы активности устройства и сети, шифрует их и сохраняет в аккаунте Google. Логи можно скачать и передать доверенному эксперту для криминалистического анализа. Google заявляет, что не может читать эти журналы: ключи защищены паролем аккаунта и блокировкой экрана пользователя.
Amnesty International Security Lab, участвовавшая в разработке функции, называет Intrusion Logging важным сдвигом для мобильной криминалистики. До этого исследователям часто приходилось опираться на случайные системные следы, которые быстро перезаписывались и не предназначались для поиска сложных атак.
Intrusion Logging пишет события, которые могут помочь понять, что происходило с устройством до, во время и после подозрительной активности. В журнал попадают запуск процессов приложений, установка, обновление и удаление программ, сетевые подключения, DNS-запросы, IP-адреса, включение и отключение Wi-Fi и Bluetooth, передача файлов через USB, изменения системных сертификатов, блокировка и разблокировка телефона.
Отдельно важна фиксация событий, связанных с Android Debug Bridge, или ADB. Это инструмент для подключения компьютера к Android-устройству. В нормальной жизни им пользуются разработчики и администраторы, но похожие механизмы применяются и forensic-устройствами для извлечения данных с телефона. Если кто-то подключал аппарат к компьютеру, пытался снять данные или скрыть следы, журнал может дать экспертам временную линию событий.
Функция также записывает попытки удалить связанные журналы. Это важный сигнал: само действие по зачистке логов может указывать на компрометацию или физический доступ к устройству. Google хранит зашифрованные журналы на своих серверах 12 месяцев. Пользователь и Google не могут удалить их вручную до истечения этого срока — так сохраняется целостность истории событий.
Intrusion Logging не включается по умолчанию. Сначала нужно активировать Advanced Protection Mode, затем отдельно включить журналирование в настройках. На Pixel путь выглядит так: Settings → Security & privacy → Advanced Protection → Intrusion Logging. Amnesty рекомендует людям из группы риска включать Advanced Protection заранее, до поездок, протестов, выборов, расследований или других ситуаций с повышенной вероятностью наблюдения.
Google указывает, что Intrusion Logging разворачивается для устройств с Android 16 December update и новее. TechCrunch отмечает ограничение текущего запуска: функция доступна на Pixel с актуальным ПО и привязанным Google-аккаунтом. Это значит, что многие Android-смартфоны других производителей пока не получат такой же уровень журналирования.
Скачать журналы можно из настроек Android. После расшифровки пользователь сам отвечает за их безопасность. В логах могут быть чувствительные данные: сведения о подключениях, DNS-запросах, IP-адресах и сетевой активности. Google отдельно предупреждает, что после скачивания и расшифровки журналов их защита уже зависит от пользователя и того, кому он передаст файлы.
Intrusion Logging — часть более широкой волны обновлений безопасности. Google пишет, что усиливает Live Threat Detection: Android будет лучше замечать подозрительное поведение приложений, включая скрытую пересылку SMS, злоупотребление accessibility-разрешениями, смену или скрытие иконки и запуск из фона. Для Chrome на Android добавляется проверка APK при скачивании, если включён Safe Browsing.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
