Lansarea Jurnalizării Intruziunilor este prima dată când un producător de telefoane lansează o funcție cu scopul de a ajuta cercetătorii în securitate să investigheze atacurile spyware. Pentru a realiza acest lucru, funcția creează un nou tip de jurnal care înregistrează erori și colectează dovezi atunci când ceva nu funcționează corect în software, oferind vizibilitate asupra posibilelor atacuri spyware.
Amnesty International, care a colaborat cu Google la dezvoltarea acestei funcții, a numit Jurnalizarea Intruziunilor „o schimbare fundamentală în cantitatea și calitatea datelor forensice disponibile pe dispozitivele Android”. „Până acum, analiza forensica s-a bazat pe jurnale care nu au fost niciodată concepute pentru detectarea intruziunilor”, a scris Amnesty într-o postare pe blog care explică în detaliu cum funcționează Jurnalizarea Intruziunilor. Asta însemna că jurnalele anterioare nu erau foarte utile pentru cercetători, deoarece nu rămâneau mult timp pe dispozitiv și erau adesea suprascrise, ștergând efectiv dovezile potențiale ale atacurilor.
Donncha Ó Cearbhaill, șeful Laboratorului de Securitate al Amnesty, a declarat pentru TechCrunch că limitele tehnice ale Android „au făcut dificilă analiza aprofundată a jurnalelor și fișierelor de sistem pentru semne de compromitere, spre deosebire de iOS”. „Aceste limite au însemnat că nu am putut detecta în mod fiabil atacurile cunoscute împotriva Android”, a spus Ó Cearbhaill, care a investigat zeci de cazuri de abuz de spyware în întreaga lume.
Capacitatea de a detecta mai bine atacurile spyware ar trebui să se îmbunătățească odată cu Jurnalizarea Intruziunilor. Google a anunțat funcția acum un an, dar o implementează abia acum. Într-o postare pe blog de marți, Google a spus că Jurnalizarea Intruziunilor „se implementează în prezent pe toate dispozitivele care rulează actualizarea Android 16 din decembrie și versiunile ulterioare”.
Jurnalizarea Intruziunilor captează evenimente legate de securitate și potențiale intruziuni. Pentru început, funcția creează și colectează jurnale o dată pe zi și le stochează criptate în contul Google al utilizatorului, în cloud. Încărcarea jurnalelor în cloud previne potențial ca spyware-ul să șteargă dovezile compromiterii dispozitivului. Jurnalele sunt, de asemenea, criptate, astfel încât doar utilizatorul poate accesa și partaja jurnalele cu anchetatorii, iar Google nu poate accesa conținutul lor.
Printre evenimentele pe care Jurnalizarea Intruziunilor le urmărește se numără: când telefonul a fost deblocat; când aplicațiile au fost instalate și dezinstalate; ce site-uri web și servere a contactat telefonul; dacă cineva s-a conectat la Android Debug Bridge (un instrument care permite unui computer sau unui dispozitiv forensice, cum ar fi Cellebrite, să se conecteze la un dispozitiv Android); și dacă cineva a încercat să șteargă jurnalele legate de aceste evenimente, ceea ce ar putea indica o încercare de a ascunde dovezile unui atac.
În cazul unui atac spyware, aceste jurnale pot ajuta anchetatorii să înțeleagă când și cum autoritățile au spart sau au deblocat forțat dispozitivul cuiva și l-au conectat la un instrument forensice, sau l-au folosit pentru a instala spyware sau stalkerware. Jurnalele pot determina, de asemenea, dacă un telefon s-a conectat la un moment dat la un site web malițios care încearcă să spargă dispozitivul vizitatorului sau la servere concepute pentru a extrage date de pe telefon.
Deși este un pas înainte, Jurnalizarea Intruziunilor are unele limite. Deocamdată, pe lângă faptul că trebuie activat Modul Avansat de Protecție, funcția necesită cea mai recentă versiune de software Android, este disponibilă doar pentru dispozitivele Google Pixel și dispozitivul trebuie să fie asociat cu un cont Google. Jurnalizarea Intruziunilor păstrează înregistrări ale istoricului de navigare și conexiunilor, ceea ce poate face ca oamenii să ezite să le partajeze cu anchetatorii.
Google spune că Modul Avansat de Protecție și Jurnalizarea Intruziunilor sunt destinate persoanelor care cred că ar putea fi expuse riscului de atacuri cu spyware și dispozitive forensice, cum ar fi apărătorii drepturilor omului, activiștii, jurnaliștii și disidenții. Modul Avansat de Protecție este similar cu Lockdown Mode de la Apple, care a fost, de asemenea, destinat utilizatorilor cu risc ridicat și este considerat o modalitate eficientă de a proteja împotriva spyware-ului. În martie, Apple a spus că nu a detectat niciodată un atac reușit împotriva utilizatorilor care au activat Lockdown Mode. În 2023, cercetătorii de la Citizen Lab au spus că Lockdown Mode a blocat activ o încercare de a infecta o țintă cu spyware-ul NSO.
În postarea sa pe blog, Amnesty a inclus instrucțiuni pas cu pas despre cum să descărcați jurnalele dacă un utilizator suspectează sau a fost notificat că a fost vizat de spyware. Apple, Google și Meta au trimis notificări de amenințare utilizatorilor de ani de zile, iar cercetătorii au spus că acestea au fost cruciale pentru descoperirea și expunerea cazurilor de abuz.
De ce este important:
Această funcție reprezintă o premieră în industria telefoanelor mobile, oferind cercetătorilor și apărătorilor drepturilor omului un instrument puternic pentru a documenta și expune atacurile cu spyware, care sunt adesea folosite de regimuri autoritare pentru a supraveghea jurnaliști, activiști și disidenți. Până acum, Android era considerat mai vulnerabil la astfel de atacuri din cauza lipsei unor jurnale forensice adecvate. Jurnalizarea Intruziunilor schimbă acest lucru, permițând utilizatorilor să păstreze dovezi criptate în cloud, inaccesibile chiar și pentru Google, și să le partajeze cu anchetatorii. Este un pas major în direcția transparenței și a protejării libertății de exprimare în era digitală.
