Google анонсувала нову функцію Android під назвою Intrusion Logging, яка допоможе виявляти складні шпигунські атаки та аналізувати компрометацію смартфонів. Система автоматично зберігатиме зашифровані журнали активності пристрою, які можна буде використовувати для цифрової криміналістики.
Функція стала частиною режиму Advanced Protection Mode і орієнтована насамперед на журналістів, активістів, правозахисників та інших користувачів із підвищеним ризиком стеження.
У Google заявили, що Intrusion Logging забезпечує «постійне та конфіденційне ведення журналів криміналістичної експертизи» для розслідування можливих зламів пристрою. Розробкою системи компанія займалася разом із Amnesty International та «Репортерами без кордонів».
Функція щодня фіксуватиме активність смартфона та мережеві події. Серед даних, які потраплятимуть до журналів:
-
запуск процесів застосунків;
-
встановлення, оновлення та видалення програм;
-
Wi-Fi, Bluetooth, DNS-запити та IP-підключення;
-
передача файлів через USB;
-
зміни системних сертифікатів;
-
блокування та розблокування пристрою.
Google наголосила, що всі журнали шифруються безпосередньо на смартфоні та зберігаються на серверах компанії у форматі end-to-end encryption. Ключі захищені паролем Google-акаунта та даними блокування екрана, тому доступ до журналів не матимуть навіть співробітники Google.
У «Репортерах без кордонів» заявили, що такий підхід дозволяє захистити журнали навіть після зараження пристрою шпигунським ПЗ.
«Навіть malware на смартфоні не зможе отримати доступ до цих журналів, видалити їх або змінити», – зазначили в організації.
Зашифровані журнали автоматично зберігатимуться протягом 12 місяців, після чого видалятимуться. Видалити їх раніше користувач не зможе навіть після вимкнення функції або закриття акаунта. Водночас журнали можна буде вручну експортувати для локального зберігання.
Google також попередила про важливий нюанс: система працює на рівні Android і записує мережеву активність навіть під час використання Chrome Incognito. У журналах можуть залишатися DNS-запити та IP-з’єднання, які дозволяють побачити, які сайти відвідувалися, хоча конкретні сторінки не фіксуються.
У компанії пояснили, що головна ідея функції полягає в тому, щоб користувачі, які підозрюють стеження або зараження шпигунським ПЗ, могли передати журнали незалежним експертам для детального аналізу.
Завантажити журнали можна через «Налаштування» → «Безпека та конфіденційність» → «Додатковий захист» → «Реєстрація вторгнень» → «Журнали доступу». Функція вже доступна для пристроїв із Android 16 December Update та новішими версіями.
Керівник Security Lab в Amnesty International Доннча О’Кербхайл назвав нову систему «першим великим кроком» серед виробників смартфонів у напрямку виявлення складних атак на мобільні пристрої.
Окрім Intrusion Logging, Google представила й інші нові функції безпеки для Android. Серед них:
-
перевірка банківських дзвінків для боротьби зі spoofing-атаками;
-
нові механізми виявлення шахрайства у чатах;
-
перевірка APK-файлів через Chrome перед встановленням;
-
блокування доступу до Accessibility API для підозрілих застосунків;
-
приховування SMS-кодів підтвердження від більшості програм;
-
посилений захист від brute-force спроб підбору PIN-коду;
-
підтримка постквантової криптографії;
-
нові налаштування конфіденційності для доступу до геолокації та контактів.
Також Google покращила функцію Find Hub. Тепер смартфон, позначений як втрачений, можна додатково захистити біометричним блокуванням, а система автоматично приховуватиме швидкі налаштування та заборонятиме нові Wi-Fi і Bluetooth-з’єднання.
За словами директора з безпеки Android Юджина Лідермана, компанія хоче зробити Android «найбезпечнішою платформою» завдяки новим механізмам захисту від банківського шахрайства, шпигунського ПЗ та складних мобільних атак.
