Google запускає нову опціональну функцію в Android, яка має допомогти дослідникам безпеки розслідувати атаки з використанням шпигунських програм.
Функція називається «Intrusion Logging» («Журнал вторгнень») і входить до розширеного режиму захисту Android — Advanced Protection Mode, який Google запустила минулого року. Це спеціальний режим безпеки, який користувач вмикає за бажанням, і який активує додаткові механізми для ускладнення зламу пристрою. Advanced Protection Mode розроблений для протидії урядовому шпигунському ПЗ та поліцейським форензік-пристроям, що намагаються витягнути дані з телефона.
Ці два типи атак можуть поєднуватися. Принаймні в одному задокументованому випадку в Сербії влада використала форензік-інструмент Cellebrite для розблокування пристрою, а потім встановила шпигунське ПЗ, щоб і надалі стежити за ціллю.
Запуск Intrusion Logging — перший випадок, коли виробник смартфонів впроваджує функцію, спеціально призначену для допомоги дослідникам у розслідуванні шпигунських атак. Для цього Intrusion Logging в Android створює новий тип журналу, який фіксує помилки й збирає докази, коли з програмним забезпеченням щось іде не так, забезпечуючи видимість потенційних шпигунських операцій.
Amnesty International, що співпрацювала з Google над розробкою цієї функції, назвала Intrusion Logging «фундаментальним зсувом у кількості та якості форензік-даних, доступних на пристроях Android».
«До цього часу форензік-аналіз покладався на журнали, які ніколи не були створені для виявлення вторгнень», — написала Amnesty у блозі з детальним описом роботи Intrusion Logging. Це означало, що попередні журнали були малокорисними для дослідників: вони недовго зберігалися на пристрої й часто перезаписувалися, фактично стираючи потенційні докази атак.
Керівник Security Lab Amnesty Доннха О’Кербгал (Donncha Ó Cearbhaill) розповів TechCrunch, що технічні обмеження Android «ускладнювали глибокий аналіз системних журналів і файлів на предмет компрометації, на відміну від iOS».
«Через ці обмеження ми не могли надійно виявляти відомі атаки проти Android», — сказав О’Кербгал, який багато років розслідує випадки зловживань шпигунським ПЗ по всьому світу.
З появою Intrusion Logging можливості виявлення атак шпигунського ПЗ мають покращитися. Google анонсувала цю функцію рік тому, але розгортати її почала лише зараз. У вівторок у блозі компанія повідомила, що Intrusion Logging «поступово стає доступним на всіх пристроях з оновленням Android від 16 грудня і новіших версіях».
Як працює Intrusion Logging
Intrusion Logging фіксує події, пов’язані з безпекою та можливими вторгненнями. Насамперед функція створює та збирає журнали раз на день і зберігає їх у зашифрованому вигляді в обліковому записі Google користувача в хмарі. Вивантаження журналів у хмару потенційно не дає шпигунському ПЗ видалити докази компрометації пристрою. Журнали шифруються таким чином, що лише користувач може отримати до них доступ і поділитися з дослідниками, а Google їх переглянути не може.
Серед подій, які відстежує Intrusion Logging:
- моменти розблокування телефона;
- встановлення та видалення застосунків;
- вебсайти й сервери, до яких підключався телефон;
- спроби підключення до Android Debug Bridge (ADB) — інструменту, який дозволяє комп’ютеру чи пристрою на кшталт форензік-обладнання Cellebrite під’єднатися до Android-смартфона;
- спроби видалення журналів цих подій, що може свідчити про намагання приховати сліди атаки.
У разі шпигунської атаки ці журнали можуть допомогти дослідникам зрозуміти, коли й як влада могла зламати або примусово розблокувати телефон, підключити його до форензік-інструмента чи використати його для встановлення шпигунських або стокерських програм. Також журнали дають змогу встановити, чи підключався телефон до шкідливого вебсайта, що намагався зламати пристрій, або до серверів, призначених для витоку даних із телефона.
Попри прогрес, Intrusion Logging має обмеження. Наразі, окрім потреби ввімкнути Advanced Protection Mode, функція вимагає останньої версії Android, доступна лише на смартфонах Google Pixel і працює тільки якщо пристрій прив’язаний до облікового запису Google. Intrusion Logging зберігає записи історії браузера й мережевих підключень, тому користувачі можуть остерігатися передавати ці дані дослідникам.
Google заявляє, що Advanced Protection Mode та Intrusion Logging орієнтовані на тих, хто вважає себе потенційною мішенню шпигунських і форензік-атак, зокрема правозахисників, активістів, журналістів і дисидентів. Advanced Protection Mode подібний до Lockdown Mode на пристроях Apple, який також створений для користувачів із підвищеними ризиками і вважається ефективним способом захисту від шпигунського ПЗ.
Ще в березні Apple повідомила, що не зафіксувала жодної успішної атаки проти користувачів із увімкненим Lockdown Mode. У 2023 році дослідники Citizen Lab заявили, що Lockdown Mode активно заблокував спробу інфікувати ціль шпигунським ПЗ NSO.
У своєму блозі Amnesty навела покрокові інструкції, як завантажити журнали, якщо користувач підозрює або отримав сповіщення, що став мішенню шпигунського ПЗ. Apple, Google і Meta вже багато років надсилають користувачам попередження про загрози, і дослідники вважають ці сповіщення ключовими для виявлення й викриття випадків зловживань.