谷歌正在为安卓系统推出一项名为“入侵日志” (Intrusion Logging) 的新功能,旨在帮助安全研究人员发现和调查间谍软件攻击。该功能作为“高级保护模式”的一部分,通过记录设备上与安全相关的事件,并将加密日志上传到用户的谷歌云账户中来保存证据。然而,这项功能目前有一定限制,它需要用户主动开启,并且仅适用于运行安卓 16 及更新版本的 Pixel 设备。
一项帮助揭露间谍软件的新功能
谷歌正在安卓系统中推出一项新的可选功能,名为“入侵日志” (Intrusion Logging)。它是“高级保护模式”的一部分,该模式旨在通过启用特定安全措施,使设备更难被黑客入侵,以对抗政府级间谍软件和警方试图提取手机数据的取证设备。
这是手机制造商首次推出以帮助调查间谍软件为目的的功能。与谷歌合作开发此功能的大赦国际 (Amnesty International) 称其为:
“安卓设备上可用的取证数据在数量和质量上的一次根本性转变。”
为何这项功能很重要
过去,对安卓设备进行取证分析非常困难。大赦国际指出,以前的分析依赖于那些“并非为入侵检测而设计”的日志。
- 证据易丢失: 此前的日志在设备上保存时间不长,经常被覆盖,这相当于抹去了潜在的攻击证据。
- 分析困难: 安卓系统的技术限制使得深入分析系统日志以寻找入侵迹象变得困难,尤其与 iOS 相比。大赦国际安全实验室负责人表示:“这些限制意味着我们一直无法可靠地检测到针对安卓的已知攻击。”
“入侵日志”功能的推出,正是为了解决这些长期存在的问题。
它是如何运作的
“入侵日志”功能会捕获与安全和潜在入侵相关的事件,并将日志加密储存在用户的谷歌账户中。
- 保护证据: 将日志上传到云端可以有效防止间谍软件删除其在设备上留下的入侵痕迹。
- 用户控制: 日志经过加密,只有用户本人可以访问和分享给调查人员,谷歌也无法访问。
该功能会追踪并记录以下关键事件:
- 手机何时被解锁。
- 应用程序的安装和卸载。
- 手机连接过的网站和服务器。
- 是否有人连接到安卓调试桥 (Android Debug Bridge),这是一种常被取证工具利用的连接方式。
- 是否有人试图删除这些事件的日志,这可能是隐藏攻击证据的迹象。
目前的限制与目标用户
尽管这是一大进步,但“入侵日志”功能目前存在一些限制:
- 用户必须主动选择并开启“高级保护模式”。
- 它目前仅适用于谷歌自家的 Pixel 设备。
- 设备需要运行 2023 年 12 月更新的安卓 16 或更新版本。
- 设备必须关联一个谷歌账户。
谷歌明确表示,此功能主要面向那些认为自己可能面临间谍软件和取证设备攻击风险的人群,例如人权捍卫者、活动家、记者和持不同政见者。这类似于苹果为高风险用户推出的“锁定模式” (Lockdown Mode),该模式已被证明能有效抵御间谍软件攻击。