Google 正在 Android 推出全新選擇加入功能,旨在協助安全研究人員調查間諜軟件攻擊。此功能名為「Intrusion Logging」,屬於 Android 的 Advanced Protection Mode 一部分,該模式由 Google 於去年推出,為選擇加入的特別安全模式,啟用特定功能以令裝置更難被入侵。Advanced Protection Mode 旨在對抗政府間諜軟件攻擊及警方取證裝置,後者試圖從個人手機提取數據。
這兩類攻擊亦可結合使用。至少有一宗已記錄的塞爾維亞案例,當局使用 Cellebrite 製作的執法取證工具解鎖裝置,然後安裝間諜軟件以持續監控目標。
Intrusion Logging 的運作與優勢
Intrusion Logging 的推出,是手機製造商首次推出專為協助安全研究人員調查間諜軟件攻擊的功能。為達致此目的,Android 的 Intrusion Logging 建立新型日誌,記錄軟件錯誤並在出現問題時收集證據,提供對疑似間諜軟件攻擊的洞察。與 Google 合作開發此功能的國際特赦組織(Amnesty International)形容 Intrusion Logging 是「Android 裝置上可用取證數據的數量與質素的根本轉變」。
「至今,取證分析依賴從未為入侵偵測而設計的日誌,」國際特赦組織在其詳細解釋 Intrusion Logging 運作方式的網誌文章中寫道。這意味早期日誌對研究人員幫助不大,因為它們不會長時間留存於裝置,且常被覆寫,從而抹除潛在攻擊證據。國際特赦組織 Security Lab 主管 Donncha Ó Cearbhaill 向 TechCrunch 表示,Android 的技術限制「令深入分析系統日誌及檔案以尋找入侵跡象變得困難,不同於 iOS」。
「這些限制意味我們無法可靠偵測針對 Android 的已知攻擊,」Ó Cearbhaill 說,他多年來調查全球數十宗間諜軟件濫用個案。Intrusion Logging 有助提升偵測間諜軟件攻擊的能力。Google 於一年前宣布此功能,但公司僅現正部署。在周二的網誌文章中,Google 表示 Intrusion Logging 「目前正向所有運行 Android 16 年 12 月更新或更新版本的裝置推出」。
Intrusion Logging 捕捉與安全及潛在入侵相關的事件。初步而言,此功能每日建立並收集日誌,並以加密形式儲存於用戶的 Google 帳戶雲端。將日誌上傳雲端可防止間諜軟件刪除裝置入侵證據。日誌亦經加密,僅用戶可存取並分享予調查人員,Google 無法存取。其中記錄的事件包括手機解鎖時間;應用程式安裝及卸載情況;手機連接的網站及伺服器;是否有人連接 Android Debug Bridge(一種允許電腦或裝置如 Cellebrite 等取證工具連接 Android 裝置的工具);以及
是否有人試圖刪除這些事件相關日誌,這可能顯示隱瞞攻擊證據的企圖。在間諜軟件攻擊事件中,這些日誌可助調查人員了解當局何時及如何入侵或強制解鎖某人裝置並連接取證工具,或用以安裝間諜軟件或跟蹤軟件。日誌亦可確定手機是否曾連接試圖入侵訪客裝置的惡意網站,或存取設計用以從手機提取數據的伺服器。 雖然是進步一步,Intrusion Logging 仍有局限。目前,除需啟用 Advanced Protection Mode 外,此功能要求 Android 最新軟件版本,僅適用於 Google 自家 Pixel
裝置,且裝置須連結 Google 帳戶。Intrusion Logging 記錄瀏覽器瀏覽歷史及連接記錄,用戶可能猶豫與調查人員分享。Google 表示 Advanced Protection Mode 及 Intrusion Logging 適用於認為自己可能面臨間諜軟件及取證裝置攻擊風險的人士,例如人權捍衛者、活動人士、記者及異見人士。Advanced Protection Mode 類似 Apple 裝置的 Lockdown Mode,後者亦針對高風險用戶,並被視為對抗間諜軟件的有效方法
。直至最近 3 月,Apple 表示從未偵測到成功攻擊已啟用 Lockdown Mode 的用戶。2023 年,Citizen Lab 的安全研究人員表示 Lockdown Mode 主動阻擋了感染目標 NSO 間諜軟件的企圖。在其網誌文章中,國際特赦組織提供逐步指示,解釋用戶若懷疑或獲通知遭間諜軟件針對時,如何下載日誌。Apple、Google 及 Meta 多年來向用戶發送威脅通知,研究人員指這對發現及揭露濫用個案至關重要。

