Эта функция называется «Журналирование вторжений» (Intrusion Logging) и является частью Режима расширенной защиты (Advanced Protection Mode) Android, который Google запустила в прошлом году. Это специальный режим безопасности с добровольным участием, который активирует определенные функции с целью усложнить взлом устройства. Режим расширенной защиты разработан для противодействия атакам правительственного шпионского ПО и криминалистическим устройствам правоохранительных органов, пытающимся извлечь данные с телефона человека.
Эти два типа атак также могут комбинироваться. Как минимум в одном задокументированном случае в Сербии власти использовали криминалистический инструмент от Cellebrite для разблокировки устройства, а затем установили шпионское ПО в качестве дальнейшего шага для продолжения слежки за целью.
Запуск «Журналирования вторжений» — это первый случай, когда производитель телефонов внедряет функцию, призванную помочь исследователям безопасности в расследовании атак шпионского ПО. Для этого «Журналирование вторжений» в Android создает новый тип журнала, который фиксирует ошибки и собирает доказательства, когда что-то идет не так с программным обеспечением, обеспечивая прозрачность в отношении предполагаемых атак шпионского ПО.
Amnesty International, сотрудничавшая с Google в разработке этой функции, назвала «Журналирование вторжений» «фундаментальным сдвигом в объеме и качестве криминалистических данных, доступных на устройствах Android».
«До сих пор криминалистический анализ основывался на журналах, которые никогда не предназначались для обнаружения вторжений», — написала Amnesty в сообщении в блоге, подробно объясняющем, как работает «Журналирование вторжений». Это означало, что предыдущие журналы были не слишком полезны для исследователей, поскольку они недолго оставались на устройстве и часто перезаписывались, фактически стирая потенциальные доказательства атак.
Донча О’Кервилл (Donncha Ó Cearbhaill), глава Лаборатории безопасности Amnesty, сообщил TechCrunch, что технические ограничения Android «затрудняли глубокий анализ системных журналов и файлов на предмет признаков компрометации, в отличие от iOS».
«Эти ограничения означали, что мы не могли надежно обнаруживать известные атаки на Android», — сказал О’Кервилл, который годами расследовал десятки случаев злоупотребления шпионским ПО по всему миру.
Возможность лучшего обнаружения атак шпионского ПО должна улучшиться с внедрением «Журналирования вторжений». Google анонсировала эту функцию год назад, но компания развертывает ее только сейчас. Во вторник в сообщении в блоге Google заявила, что «Журналирование вторжений» «в настоящее время развертывается на всех устройствах с обновлением Android 16 от декабря и более поздними версиями».
Как работает «Журналирование вторжений»
«Журналирование вторжений» фиксирует события, связанные с безопасностью и потенциальными вторжениями. Для начала эта функция создает и собирает журналы один раз в день и хранит их в зашифрованном виде в облачном аккаунте Google пользователя. Загрузка журналов в облако потенциально не позволяет шпионскому ПО удалять доказательства компрометации устройства. Журналы также шифруются таким образом, что только пользователь может получить к ним доступ и передать их следователям, а Google не имеет к ним доступа.
Среди событий, которые отслеживает «Журналирование вторжений», указано: когда телефон был разблокирован; когда приложения были установлены и удалены; с какими веб-сайтами и серверами соединялся телефон; подключался ли кто-либо к Android Debug Bridge — инструменту, который позволяет компьютеру или устройству, например, криминалистическому инструменту вроде Cellebrite, подключаться к устройству Android; и пытался ли кто-либо удалить журналы, связанные с этими событиями, что может указывать на попытку скрыть доказательства атаки.
В случае атаки шпионского ПО эти журналы могут помочь следователям понять, когда и как власти могли взломать или принудительно разблокировать чье-то устройство и подключить его к криминалистическому инструменту, или использовать для установки шпионского ПО или сталкерского ПО. Журналы также могут определить, подключался ли телефон в определенный момент к вредоносному веб-сайту, который пытается взломать посещающее устройство, или получал доступ к серверам, предназначенным для извлечения данных с телефона.
Хотя это шаг вперед, у «Журналирования вторжений» есть некоторые ограничения. На данный момент, помимо необходимости включить Режим расширенной защиты, функция требует новейшей версии программного обеспечения Android, доступна только для устройств Pixel от Google, и устройство должно быть привязано к учетной записи Google. «Журналирование вторжений» сохраняет записи истории навигации в браузере и соединений, которыми люди могут опасаться делиться со следователями.
Google заявляет, что Режим расширенной защиты и «Журналирование вторжений» предназначены для людей, которые считают, что могут подвергнуться риску атак с использованием шпионского ПО и криминалистических устройств, таких как правозащитники, активисты, журналисты и диссиденты. Режим расширенной защиты аналогичен Режиму блокировки (Lockdown Mode) для устройств Apple, который также предназначен для пользователей, находящихся в зоне риска, и считается эффективным способом защиты от шпионского ПО.
Еще в марте Apple заявила, что ни разу не обнаружила успешной атаки на пользователей, у которых включен Режим блокировки. В 2023 году исследователи безопасности из Citizen Lab сообщили, что Режим блокировки активно заблокировал попытку заразить цель шпионским ПО от NSO.
В своем сообщении в блоге Amnesty привела пошаговые инструкции о том, как загрузить журналы, если пользователь подозревает или был уведомлен о том, что стал целью шпионского ПО. Apple, Google и Meta* годами отправляли пользователям уведомления об угрозах, которые, по мнению исследователей, сыграли решающую роль в обнаружении и разоблачении случаев злоупотреблений.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
