Google lansează Intrusion Logging, noua funcție Android care ajută la depistarea atacurilor cu spyware guvernamental

Google introduce o nouă funcție opțională în Android, menită să ajute cercetătorii în securitate să investigheze atacurile cu spyware. Funcția se numește „Intrusion Logging” și face parte din Advanced Protection Mode, lansat anul trecut, un mod special de securitate, tot opțional, care activează o serie de mecanisme suplimentare pentru a face dispozitivul mult mai greu de compromis. Advanced Protection Mode este conceput în special pentru a contracara atacurile cu spyware guvernamental și utilizarea de dispozitive forensice ale poliției care încearcă să extragă date din telefonul unei persoane.

Aceste două tipuri de atacuri pot fi combinate. În cel puțin un caz documentat în Serbia, autoritățile au folosit un instrument forensc destinat forțelor de ordine, produs de compania Cellebrite, pentru a debloca un dispozitiv. Apoi au instalat spyware ca pas suplimentar, pentru a continua monitorizarea țintei.

Lansarea Intrusion Logging marchează prima dată când un producător de telefoane include o funcție creată special pentru a ajuta cercetătorii să investigheze atacuri cu spyware. Pentru a atinge acest scop, Intrusion Logging din Android creează un nou tip de jurnal care înregistrează erori și colectează dovezi atunci când ceva nu funcționează corect la nivel de software, oferind astfel vizibilitate asupra unor posibile atacuri cu spyware.

Amnesty International, care a colaborat cu Google la dezvoltarea acestei funcții, a numit Intrusion Logging „a fundamental shift in the amount and quality of forensic data available on Android devices.”

„Until now, forensic analysis has relied on logs that were never designed for intrusion detection,” a scris Amnesty într-o postare pe blog în care explică în detaliu modul în care funcționează Intrusion Logging. Din această cauză, jurnalele vechi erau mai puțin utile pentru cercetători. Nu rămâneau suficient timp pe dispozitiv și erau adesea suprascrise, ceea ce ducea, în practică, la ștergerea unor potențiale dovezi ale atacurilor.

Donncha Ó Cearbhaill, șeful Security Lab din cadrul Amnesty, a declarat pentru presa de specialitate că limitările tehnice ale Android „have made it difficult to deeply analyze system logs and files for signs of compromise, unlike with iOS.”

„These limits have meant we've been unable to reliably detect known attacks against Android,” a mai spus Ó Cearbhaill, care de ani de zile investighează zeci de cazuri de abuz prin spyware la nivel global.

Odată cu Intrusion Logging, capacitatea de a detecta mai eficient atacurile cu spyware ar trebui să crească semnificativ. Google a anunțat această funcție în urmă cu un an, însă abia acum începe implementarea ei. Într-o postare publicată marți, compania a precizat că Intrusion Logging „is currently rolling out to all devices running the Android 16 December update and newer.”

Intrusion Logging înregistrează evenimente legate de securitate și de potențiale intruziuni. Pentru început, funcția creează și colectează jurnale o dată pe zi și le stochează criptat, în contul de Google al utilizatorului, în cloud. Încărcarea acestor loguri în cloud poate împiedica spyware-ul să șteargă dovezile unui dispozitiv compromis. De asemenea, jurnalele sunt criptate astfel încât doar utilizatorul poate să le acceseze și să le împărtășească investigatorilor, iar Google nu are acces la conținutul lor.

Printre tipurile de evenimente urmărite de Intrusion Logging se numără: când a fost deblocat telefonul; când au fost instalate sau dezinstalate aplicații; ce site-uri și servere au fost accesate de pe dispozitiv; dacă cineva s-a conectat prin Android Debug Bridge – un instrument care permite unui computer sau unui dispozitiv, precum un tool forensc de tip Cellebrite, să se conecteze la un telefon Android – și dacă a existat vreo tentativă de a șterge logurile acestor evenimente, lucru ce poate indica o încercare de a ascunde urmele unui atac.

În caz de atac cu spyware, aceste jurnale îi pot ajuta pe investigatori să înțeleagă când și cum ar fi putut fi spart sau deblocat forțat un dispozitiv, apoi conectat la un instrument forensc, sau folosit pentru instalarea de spyware ori stalkerware. Tot prin ele se poate stabili dacă telefonul s-a conectat la un moment dat la un site malițios care a încercat să îl compromită, sau la servere create special pentru a extrage date din telefon.

Deși reprezintă un pas important înainte, Intrusion Logging are și anumite limitări. În prezent, pe lângă necesitatea activării Advanced Protection Mode, funcția cere și cea mai recentă versiune de Android, este disponibilă doar pe dispozitivele Pixel produse de Google și presupune ca aparatul să fie asociat cu un cont Google. În plus, Intrusion Logging păstrează înregistrări ale istoricului de navigare și ale conexiunilor. Unele persoane ar putea fi reticente în a împărtăși aceste informații cu investigatorii.

Google afirmă că Advanced Protection Mode și Intrusion Logging sunt destinate persoanelor care cred că s-ar putea afla în vizorul atacurilor cu spyware și cu instrumente forensice: apărători ai drepturilor omului, activiști, jurnaliști și disidenți. Advanced Protection Mode este similar cu Lockdown Mode de pe dispozitivele Apple, creat tot pentru utilizatori cu risc ridicat și considerat o metodă eficientă de protecție împotriva spyware-ului.

Compania Apple a transmis, inclusiv în luna martie a acestui an, că nu a detectat niciun atac reușit împotriva utilizatorilor care aveau activat Lockdown Mode. În 2023, cercetătorii în securitate de la Citizen Lab au arătat că Lockdown Mode a blocat activ o tentativă de infectare a unei ținte cu spyware-ul NSO.

În postarea sa de pe blog, Amnesty a inclus instrucțiuni pas cu pas pentru descărcarea logurilor, în cazul în care un utilizator suspectează sau a fost notificat că a fost vizat de un atac cu spyware. De mai mulți ani, Apple, Google și Meta trimit notificări de amenințare către utilizatori, iar cercetătorii susțin că aceste avertismente au fost esențiale pentru identificarea și expunerea numeroaselor cazuri de abuz.