Google กำลังเปิดตัว Intrusion Logging ซึ่งเป็นฟีเจอร์ Android แบบสมัครใจใน Advanced Protection Mode โดยจะบันทึกเหตุการณ์ด้านความปลอดภัยเพื่อช่วยให้นักวิจัยสืบสวนการโจมตีด้วยสปายแวร์และการโจมตีเชิงนิติวิทยาศาสตร์บนโทรศัพท์ ตามรายงานของ TechCrunch ฟีเจอร์นี้พร้อมใช้งานบนอุปกรณ์ที่ใช้ Android เวอร์ชันอัปเดต 16 ธันวาคมขึ้นไป แต่ขณะนี้ยังต้องใช้ Advanced Protection Mode ต้องเข้าสู่ระบบด้วยบัญชี Google และต้องเป็นอุปกรณ์ Google Pixel
วิธีการทำงานของ Intrusion Logging
บันทึก (logs) จะถูกสร้างทุกวันและจัดเก็บในรูปแบบที่เข้ารหัสภายในบัญชี Google ของผู้ใช้ ตามที่ Google ระบุ ฟีเจอร์นี้สามารถบันทึกการติดตั้งแอป การเชื่อมต่อเว็บไซต์และเซิร์ฟเวอร์ การเข้าถึงผ่าน Android Debug Bridge การปลดล็อกโทรศัพท์ และความพยายามในการลบระเบียน (records) Amnesty International มีส่วนช่วยพัฒนาฟีเจอร์นี้
การอุดช่องว่างด้านนิติวิทยาศาสตร์ของ Android
Intrusion Logging ถูกออกแบบมาเพื่อแก้ข้อจำกัดสำคัญในงานวิจัยด้านความปลอดภัยของ Android ข้อจำกัดเชิงเทคนิคของ Android ในอดีตทำให้การตรวจจับการโจมตีด้วยสปายแวร์ที่ซับซ้อนทำได้ยากกว่าการโจมตีบน iOS ซึ่งเป็นระบบปฏิบัติการมือถือของ Apple ก่อนหน้านี้ นักวิจัยอาศัยบันทึกของระบบที่ไม่ได้ถูกสร้างมาเพื่อการตรวจจับการแทรกซึม (intrusion) และข้อมูลเหล่านั้นมักถูกเขียนทับ ทำให้ร่องรอยของการโจมตีหายไป
ระบบนี้ถูกออกแบบให้บันทึกการโจมตีจากสปายแวร์ระดับรัฐบาลและเครื่องมือทางนิติวิทยาศาสตร์ของตำรวจ เช่น Cellebrite ซึ่งเป็นบริษัทด้านนิติวิทยาศาสตร์ดิจิทัลที่ซอฟต์แวร์ของบริษัทสามารถช่วยให้หน่วยงานบังคับใช้กฎหมายปลดล็อกอุปกรณ์และดึงข้อมูลออกมา ไม่มีผู้ผลิตโทรศัพท์รายใดก่อนหน้านี้ที่เปิดตัวฟีเจอร์ซึ่งถูกออกแบบมาโดยเฉพาะเพื่อช่วยให้นักวิจัยด้านความปลอดภัยตรวจสอบการโจมตีสปายแวร์ที่เจาะจงเหล่านี้
บริบทความปลอดภัยของ Android ในภาพรวม
Intrusion Logging เข้ากับการปรับโฉมความปลอดภัยของ Android ในวงกว้าง ซึ่งรวมถึงการทำให้ Factory Reset Protection แข็งแกร่งขึ้น เพื่อทำให้โทรศัพท์ที่ถูกขโมบยากต่อการนำกลับมาใช้งาน และยังมีโมเดลสิทธิ์การป้องกันเครือข่ายท้องถิ่น (Local Network Protection) ที่จะมาถึง ซึ่งจะช่วยให้ผู้คนควบคุมได้ว่าแอปใดบ้างที่จะเข้าถึงอุปกรณ์บนเครือข่าย Wi-Fi เดียวกัน
Google วาง Intrusion Logging ไว้ใน Advanced Protection Mode ซึ่งถูกสร้างขึ้นเพื่อต้านสปายแวร์ของหน่วยงานรัฐและอุปกรณ์นิติวิทยาศาสตร์ของตำรวจ แนวทางนี้ต่างจากกลยุทธ์ของ Apple: Apple มี Lockdown Mode ซึ่งเป็นการตั้งค่าความปลอดภัยที่จำกัดฟังก์ชันบางอย่างของโทรศัพท์เพื่อลดการถูกเปิดเผยต่อการโจมตี แม้ Lockdown Mode จะมุ่งลดพื้นผิวการโจมตี (attack surface) แต่ Intrusion Logging จะเพิ่มบันทึกแบบละเอียดที่เข้ารหัสสำหรับงานนิติวิทยาศาสตร์หลังเกิดเหตุการณ์—ซึ่งเป็นความสามารถที่นักวิจัยด้าน Android ประสบปัญหาในการรวบรวมอย่างสม่ำเสมอ
