根據 TechCrunch,Google 正在推出「入侵記錄(Intrusion Logging)」,這是一項在「進階保護模式(Advanced Protection Mode)」中的可選擇加入(opt-in)Android 功能,會記錄安全事件,以協助研究人員調查手機上的間諜軟體與數位鑑識裝置攻擊。該功能適用於已安裝 Android 16 December update 及更新版本的裝置,不過目前仍需要啟用進階保護模式、登入 Google 帳戶,以及使用 Google Pixel 裝置。
這些記錄會每天產生,並以加密形式儲存在使用者的 Google 帳戶中。根據 Google,該功能可記錄應用程式安裝、網站與伺服器連線、Android Debug Bridge 存取、手機解鎖,以及嘗試刪除記錄的行為。Amnesty International 協助開發了這項功能。
入侵記錄是為了因應 Android 安全研究中一個顯著限制而打造的。由於 Android 的技術限制,過去在偵測上,複雜的間諜軟體攻擊歷來比起蘋果的行動作業系統 iOS 更難被可靠地偵測到。這項功能推出之前,研究人員仰賴並非為入侵偵測而建置的系統記錄,而這些記錄常常會被覆寫,導致攻擊跡象消失。
系統旨在記錄來自等同政府等級間諜軟體以及警方法務鑑識工具的攻擊,例如數位鑑識公司 Cellebrite,其軟體可協助執法單位解鎖裝置並提取資料。過去沒有任何手機製造商推出過一項功能,專門用來協助安全研究人員檢視這些針對性的間諜軟體攻擊。
入侵記錄屬於一項更全面的 Android 安全改造的一部分,包含更強的「恢復原廠保護(Factory Reset Protection)」,讓遭竊手機更難被重複使用;以及即將推出的「本機網路保護」權限模型,將讓人們能控制哪些應用程式能存取同一個 Wi-Fi 網路上的裝置。
Google 將入侵記錄放在進階保護模式之內,而進階保護模式是為了對抗政府間諜軟體與警方法務鑑識裝置所打造。這種做法不同於蘋果的策略:蘋果提供「鎖定模式(Lockdown Mode)」,這是一種安全設定,會限制部分手機功能以降低遭受攻擊的風險。鎖定模式旨在縮小攻擊面,而入侵記錄則是在事件發生後,提供用於鑑識工作的詳細加密記錄——這項能力過去一直是 Android 研究人員難以穩定取得的。
