夜雨聆风
原文标题:Google launches new Android security feature to help uncover spyware attacks 来源:TechCrunch | 类型:网络安全 | 发布:2026-05-12 17:00:00
谷歌(Google)正在安卓(Android)系统中推出一项新的可选功能,旨在帮助安全研究人员调查间谍软件攻击。
该功能被称为“入侵日志”(Intrusion Logging),是安卓(Android)“高级保护模式”(Advanced Protection Mode)的一部分。谷歌(Google)于去年推出了这一模式,这是一种用户可选择开启的特殊安全模式,旨在通过启用特定功能来增加设备被破解的难度。高级保护模式(Advanced Protection Mode)的设计初衷是防御政府间谍软件攻击,以及试图从个人手机中提取数据的警方取证设备。
这两种攻击方式也可以结合使用。在塞尔维亚(Serbia)至少一起有记录的案例中,当局使用了由 Cellebrite 公司制造的执法取证工具来解锁设备,随后作为进一步措施安装了间谍软件(spyware),以继续监控目标。
入侵日志记录(Intrusion Logging)的推出,是手机制造商首次发布旨在帮助安全研究人员调查间谍软件攻击的功能。为了实现这一目标,安卓(Android)的入侵日志记录(Intrusion Logging)会创建一种新型日志,在软件出现问题时记录错误并收集证据,从而为疑似间谍软件攻击提供可见性。
国际特赦组织(Amnesty International)曾与谷歌(Google)合作开发该功能,该组织称入侵日志(Intrusion Logging)是“安卓(Android)设备上可用取证数据的数量和质量的一次根本性转变”。
“此前,取证分析一直依赖于并非为入侵检测(intrusion detection)而设计的日志,”国际特赦组织(Amnesty)在一篇详细解释入侵日志记录(Intrusion Logging)工作原理的博客文章中写道。这意味着早期的日志对研究人员来说用处不大,因为它们在设备上留存的时间较短,且经常被覆盖,从而实际上抹除了潜在的攻击证据。
国际特赦组织安全实验室 (Amnesty’s Security Lab) 负责人唐纳查·奥·切尔贝尔 (Donncha Ó Cearbhaill) 告诉 TechCrunch,安卓 (Android) 的技术限制“使得深度分析系统日志和文件以寻找受攻击迹象变得十分困难,这与 iOS 的情况不同。”
“这些限制意味着我们一直无法可靠地检测到针对安卓(Android)系统的已知攻击,”多年来在全球范围内调查过数十起间谍软件滥用案例的奥·凯比尔(Ó Cearbhaill)表示。
随着入侵日志记录(Intrusion Logging)功能的推出,检测间谍软件攻击的能力将得到提升。谷歌(Google)在一年前就宣布了这项功能,但直到现在才开始正式部署。在周二发布的一篇博客文章中,谷歌(Google)表示,入侵日志记录(Intrusion Logging)“目前正推送到所有运行 Android 16 12 月更新及更高版本的设备上”。
入侵日志记录的工作原理
入侵日志记录(Intrusion Logging)功能可捕获与安全及潜在入侵相关的事件。首先,该功能每天会创建并收集一次日志,并将其加密存储在用户的云端谷歌(Google)账号中。将日志上传到云端可以有效防止间谍软件(spyware)删除设备被攻破的证据。这些日志同样经过加密处理,只有用户本人可以访问并将其分享给调查人员,谷歌(Google)也无法访问这些内容。
入侵日志(Intrusion Logging)记录的事件包括:手机解锁的时间;应用程序的安装与卸载时间;手机连接过的网站和服务器;是否有人连接过安卓调试桥(Android Debug Bridge)——这是一种允许计算机或 Cellebrite 等取证工具连接到安卓(Android)设备的工具;以及是否有人试图删除与这些事件相关的日志,这可能表明有人正试图掩盖攻击证据。
在发生间谍软件攻击时,这些日志可以帮助调查人员了解相关部门可能在何时以及如何侵入或强制解锁了某人的设备,并将其连接到取证工具,或是利用其安装间谍软件或跟踪软件(stalkerware)。这些日志还可以确定手机是否曾在某个时间点连接过试图入侵访问设备的恶意网站,或者访问过旨在从手机中提取数据的服务器。
如果您有更多关于间谍软件攻击或间谍软件制造商的信息,请使用非工作设备,通过 Signal(号码:+1 917 257 1382)、Telegram 或 Keybase(账号均为 @lorenzofb)安全地联系洛伦佐·弗朗切斯基-比基埃拉伊 (Lorenzo Franceschi-Bicchierai),或发送电子邮件。
虽然这是一个进步,但入侵日志 (Intrusion Logging) 功能仍存在一些局限性。目前,除了需要开启高级保护模式 (Advanced Protection Mode) 外,该功能还要求安装最新版本的安卓 (Android) 系统,且仅适用于谷歌 (Google) 自家的 Pixel 设备,同时设备必须关联谷歌 (Google) 账号。入侵日志 (Intrusion Logging) 会记录浏览器的导航历史和连接信息,用户可能会对向调查人员分享这些数据持谨慎态度。
谷歌(Google)表示,高级保护模式(Advanced Protection Mode)和入侵日志(Intrusion Logging)是为那些认为自己可能面临间谍软件(spyware)和取证设备(forensic devices)攻击风险的人群设计的,例如人权捍卫者、活动人士、记者和异见人士。高级保护模式(Advanced Protection Mode)类似于苹果(Apple)设备的锁定模式(Lockdown Mode),后者同样针对高风险用户,并被视为防御间谍软件(spyware)的有效手段。
就在今年 3 月,苹果(Apple)表示,尚未检测到针对已开启锁定模式(Lockdown Mode)用户的成功攻击。2023 年,公民实验室(Citizen Lab)的安全研究人员表示,锁定模式(Lockdown Mode)主动拦截了一次试图利用 NSO 集团(NSO Group)间谍软件感染目标设备的尝试。
国际特赦组织(Amnesty)在其博客文章中提供了详细的操作指南,指导用户在怀疑或收到被间谍软件攻击的通知时如何下载日志。苹果(Apple)、谷歌(Google)和 Meta 多年来一直向用户发送威胁通知,研究人员表示,这些通知对于发现和揭露滥用案例至关重要。
本文为个人翻译,原文版权归原作者所有。
