Google lansează o nouă funcție de securitate pentru Android menită să ajute la depistarea atacurilor de tip spyware

Adaugă-ne ca sursă preferată în Google

Urmărește-ne in Discover

Google a prezentat o nouă funcție opțională pentru Android, numită „Intrusion Logging”, destinată stocării jurnalelor de investigație criminalistică pentru a analiza mai bine atacurile sofisticate de tip spyware.

Intrusion Logging permite „înregistrarea criminalistică persistentă și care protejează confidențialitatea, pentru a permite investigarea dispozitivelor în cazul unei suspiciuni de compromitere”, a declarat compania.

Funcția face parte din Modul de protecție avansată al Android (Advanced Protection Mode), lansat de Google anul trecut, un mod special de securitate opțional care activează anumite funcții cu scopul de a face dispozitivul mai greu de piratat, potrivit TechCrunch.

Modul de protecție avansată este conceput pentru a contracara atacurile cu spyware ale guvernelor și dispozitivele criminalistice ale poliției care încearcă să extragă date de pe telefonul unei persoane.

Funcție integrată destinată detectării atacurilor de tip spyware

Anunțul marchează prima dată când un furnizor important de platforme mobile a introdus o funcție integrată destinată în mod specific să sprijine investigațiile criminalistice consensuale privind atacurile cibernetice avansate care vizează jurnaliști, activiști, politicieni și alți utilizatori cu risc ridicat.

Amnesty International, care a acționat ca partener de proiectare în timpul dezvoltării, afirmă că funcția abordează o problemă de lungă durată în criminalistica mobilă: jurnalele existente ale Android nu au fost niciodată concepute pentru detectarea intruziunilor și sunt adesea suprascrise rapid sau inaccesibile până la momentul începerii unei investigații.

„Actorii din domeniul supravegherii sunt din ce în ce mai conștienți de eforturile criminalistice și sunt mai sârguincioși în a-și ascunde acțiunile pe dispozitivele vizate”, a declarat Donncha Ó Cearbhaill, șeful Laboratorului de Securitate al Amnesty International, în cadrul briefingului tehnic al organizației. „Intrusion Logging promite să ajute la schimbarea balanței în favoarea apărătorilor.”

Google a anunțat această funcție acum un an, dar compania o implementează abia acum. Într-o postare pe blog, Google a declarat că Intrusion Logging „este în prezent în curs de implementare pe toate dispozitivele care rulează Android 16 și versiunile mai recente.”

Cum funcționează Intrusion Logging

Intrusion Logging înregistrează evenimente legate de securitate și potențiale intruziuni. Pentru început, funcția creează și colectează jurnale o dată pe zi și le stochează criptate în contul Google al utilizatorului în cloud. Încărcarea jurnalelor în cloud poate împiedica programele spyware să șteargă dovezile compromiterii unui dispozitiv. Jurnalele sunt, de asemenea, criptate, astfel încât numai utilizatorul să poată accesa și partaja jurnalele cu anchetatorii, iar Google să nu le poată accesa.

Printre evenimentele pe care Intrusion Logging le monitorizează se numără momentul în care telefonul a fost deblocat; momentul în care aplicațiile au fost instalate și dezinstalate; site-urile web și serverele la care s-a conectat telefonul; dacă cineva s-a conectat la Android Debug Bridge, un instrument care permite unui computer sau unui dispozitiv, cum ar fi un instrument criminalistic precum Cellebrite, să se conecteze la un dispozitiv Android; și dacă cineva a încercat să șteargă jurnalele legate de aceste evenimente, ceea ce ar putea indica o încercare de a ascunde dovezile unui atac.

În cazul unui atac cu spyware, aceste jurnale pot ajuta anchetatorii să înțeleagă când și cum autoritățile ar fi putut pirata sau debloca forțat dispozitivul cuiva și l-ar fi conectat la un instrument criminalistic, sau l-ar fi folosit pentru a instala spyware sau stalkerware. Jurnalele pot determina, de asemenea, dacă un telefon s-a conectat la un moment dat la un site web rău intenționat care încearcă să pirateze dispozitivul vizitatorului sau a accesat servere concepute pentru a extrage date de pe telefon.

Limitele instrumentului

Înregistrarea intruziunilor are unele limite. Deocamdată, pe lângă faptul că trebuie activat Modul de protecție avansată, funcția necesită cea mai recentă versiune de software Android, și este disponibilă doar pentru dispozitivele Pixel fabricate de Google, iar dispozitivul trebuie să fie conectat la un cont Google. Înregistrarea intruziunilor păstrează înregistrări ale istoricului de navigare în browser și ale conexiunilor, pe care utilizatorii ar putea fi reticenți să le împărtășească anchetatorilor.

Google afirmă că Modul de protecție avansată și Jurnalul de intruziuni sunt destinate persoanelor care consideră că ar putea fi expuse riscului de atacuri efectuate cu ajutorul programelor spion și al dispozitivelor de investigație criminalistică, cum ar fi apărătorii drepturilor omului, activiștii, jurnaliștii și disidenții.

În postarea de pe blogul său, Amnesty a inclus instrucțiuni pas cu pas privind modul de descărcare a jurnalelor în cazul în care un utilizator suspectează sau a fost notificat că a fost ținta unui program spion. Apple, Google și Meta trimit de ani de zile notificări de amenințare utilizatorilor, care, potrivit cercetătorilor, au fost esențiale pentru identificarea și dezvăluirea cazurilor de abuz.

Este important de reținut că funcția de înregistrare a intruziunilor trebuie activată înainte de producerea unui incident, ceea ce înseamnă că nu poate recupera dovezi istorice retroactiv. De asemenea, funcția necesită Android 16 sau o versiune mai recentă.