Google推出新的Android安全功能以帮助发现间谍软件攻击

Google正在Android中推出一项新的选择加入功能，旨在帮助安全研究人员调查间谍软件攻击。

该功能称为“入侵日志”，是Android高级保护模式的一部分，该模式Google于去年推出，这是一种可选择的特殊安全模式，可启用某些功能，以使设备更难被黑客攻击。高级保护模式旨在对抗政府间谍软件攻击和试图从个人手机中提取数据的警方取证设备。

这两种类型的攻击也可以组合起来。在塞尔维亚至少有一个记录在案的案例中，当局使用Cellebrite制造的执法取证工具来解锁设备，然后安装间谍软件作为继续监视目标的进一步步骤。

入侵日志的推出是手机制造商首次推出旨在帮助安全研究人员调查间谍软件攻击的功能。为了实现这一目标，Android的入侵日志创建了一种新型日志，它会在软件出现问题时记录错误并收集证据，以提供对可疑间谍软件攻击的可见性。

国际特赦组织与Google合作开发了该功能，称入侵日志“是Android设备上可用取证数据数量和质量的根本性转变”。

“到目前为止，取证分析一直依赖于从未设计用于入侵检测的日志，”国际特赦组织在一篇详细解释入侵日志工作原理的博客文章中写道。这意味着早期的日志对研究人员来说没有多大用处，因为它们不会在设备上保留很长时间，并且经常被覆盖，从而有效地消除了潜在的攻击证据。

国际特赦组织安全实验室负责人Donncha Ó Cearbhaill告诉TechCrunch，Android的技术限制“使得深入分析系统日志和文件以寻找妥协迹象变得困难，这与iOS不同。”

“这些限制意味着我们无法可靠地检测针对Android的已知攻击，”多年来一直在世界各地调查数十起间谍软件滥用案件的 Ó Cearbhaill说。

通过入侵日志记录可以提高更好地检测间谍软件攻击的能力。 Google一年前宣布了该功能，但该公司现在才部署它。 Google在周二的博客文章中表示，入侵日志“目前正在向运行Android 12月16日更新及更新版本的所有设备推出”。

入侵日志的工作原理

入侵日志记录与安全和潜在入侵相关的事件。对于初学者来说，该功能每天创建和收集一次日志，并将其加密存储在云中用户的Google帐户中。将日志上传到云端可能会阻止间谍软件删除设备泄露的证据。日志也经过加密，因此只有用户可以访问日志并与调查人员共享日志，Google无法访问它们。

入侵日志记录的事件包括：手机何时解锁；何时安装和卸载应用程序；手机连接到哪些网站和服务器；是否有人连接到Android Debug Bridge，这是一种允许计算机或设备（例如Cellebrite等取证工具）连接到Android设备的工具；并且，是否有人试图删除与这些事件相关的日志，这可能表明有人试图隐藏攻击的证据。

如果发生间谍软件攻击，这些日志可以帮助调查人员了解当局何时以及如何侵入或强行解锁某人的设备并将其连接到取证工具，或用于安装间谍软件或跟踪软件。这些日志还可以确定手机是否在某个时刻连接到试图入侵访问设备的恶意网站，或访问旨在从手机中提取数据的服务器。

联系我们您是否有关于间谍软件攻击或间谍软件制造商的更多信息？在非工作设备上，您可以通过Signal（+1 917 257 1382）或通过Telegram和Keybase @lorenzofb、oremail安全地联系Lorenzo Franceschi-Bicchierai。

虽然这是向前迈出的一步，但入侵日志也有一些限制。目前，除了必须启用高级保护模式外，该功能还需要Android最新的软件版本，仅适用于Google制造的Pixel设备，并且该设备必须与Google帐户关联。入侵日志记录浏览器导航历史记录和连接记录，人们可能会谨慎地与调查人员分享这些记录。

Google表示，高级保护模式和入侵日志适用于那些认为自己可能面临间谍软件和取证设备攻击风险的人，例如人权捍卫者、活动人士、记者和持不同政见者。高级保护模式类似于Apple设备的锁定模式，这也适用于高风险用户，被视为防范间谍软件的有效方法。

就在三月份，Apple表示从未检测到针对启用了锁定模式的用户的成功攻击。 2023年，公民实验室的安全研究人员表示，锁定模式积极阻止了用NSO间谍软件感染目标的企图。

国际特赦组织在其博客文章中提供了有关如何在用户怀疑或已收到间谍软件攻击目标时下载日志的分步说明。 Apple、Google和Meta多年来一直向用户发送威胁通知，研究人员表示这对于发现和揭露滥用案件至关重要。