Google добавляет журналирование вторжений для Android, которое можно использовать для устранения атак шпионских программ

В ответ на учащение шпионских атак на уровне штата в последние годы Google разрабатывает новую дополнительную функцию для системы Android: ведение журнала вторжений. Эта функция не предназначена для обычных пользователей, но помогает исследователям сетевой безопасности проверить, не заражено ли устройство шпионским ПО, посредством углубленной проверки системных журналов.

Регистрация вторжений осуществляется в режиме расширенной защиты Android. Режим расширенной защиты Android — это дополнительная функция, запущенная Google для пользователей Android. После того, как пользователи включат эту функцию, некоторые системные параметры будут отключены для повышения безопасности. Например, после включения режима расширенной защиты заразиться через уязвимости ядра браузера будет существенно сложнее.

Режим расширенной защиты также может бороться с криминалистическими устройствами, пытающимися извлечь ключевую информацию из системы. В ходе предыдущей шпионской атаки на национальном уровне в Сербии сербские власти использовали криминалистические инструменты, разработанные Cellebrite, для разблокировки устройств Android, затем установили шпионское ПО и продолжили наблюдение за целью.

Регистрация вторжений может предоставить исследователям подробные журналы:

Функция регистрации вторжений — это, по сути, новый тип журнала, разработанный Google для системы Android. Этот новый тип журнала является более полным и подробным, чем обычный журнал системы Android. Он используется для записи различных событий программного обеспечения и сбора доказательств, тем самым помогая пользователям и исследователям сетевой безопасности понять все тонкости предполагаемых атак шпионских программ.

Раньше криминалистический анализ в основном опирался на журналы, которые не были предназначены для обнаружения вторжений. Такие журналы не очень полезны для исследователей сетевой безопасности, поскольку такие журналы хранятся в течение короткого времени и часто перезаписываются. Задержка шпионского ПО может быть очень большой, и если журналы перезаписываются, исследователи не смогут отследить источник атаки.

Теперь благодаря функции регистрации вторжений, когда эта функция включена, система будет создавать и собирать журналы каждый день. Собранные логи будут зашифрованы с использованием высоконадежных алгоритмов и загружены в учетную запись Google пользователя. Таким образом, даже если логи будут удалены локально, исследователи все равно смогут продолжать поиск логов через облако.

Здесь следует отметить, что функция регистрации вторжений на самом деле была разработана в 2025 году, но Google лишь сейчас внедряет ее постепенно. Google заявил в своем блоге, что эта функция внедряется на устройствах под управлением обновления Android от 16 декабря 2025 года или выше.

Какие события отслеживания обеспечивает регистрация вторжений:

• Когда Android-устройство было разблокировано?

• Когда приложение установлено, запускается или удаляется

• К каким веб-сайтам или серверам подключено устройство Android?

• Использует ли кто-то целевое устройство для подключения к ADB (инструментам криминалистики необходимо будет подключиться через ADB и прочитать данные)

• Кто-нибудь пытался удалить журналы для указанной выше трассировки (это предполагает, что кто-то пытался скрыть доказательства атаки)