为应对近年来愈演愈烈的国家级间谍软件攻击,Google正在为Android系统开发新可选功能:入侵日志记录。该功能并非面向普通用户,而是帮助网络安全研究人员通过深度检查系统日志排查设备是否已经遭到间谍软件感染。
入侵日志记录被放在Android高级保护模式中,Android高级保护模式是Google为Android用户推出的可选功能,用户启用该功能后系统部分选项会被禁用从而提升安全性,例如启用高级保护模式后想要通过浏览器内核漏洞进行感染的难度就会显著增加。
高级保护模式还可以应对取证设备试图从系统里提取关键信息,此前在塞尔维亚的国家级间谍软件攻击案例中,塞尔维亚当局就使用 Cellebrite 开发的取证工具解锁Android设备,然后安装间谍软件后继续对目标进行持续监控。
入侵日志记录可以为研究人员提供全方位日志:
入侵日志记录功能本质上是Google为Android系统开发的新型日志,这种新型日志要比Android系统常规日志更加全面和细致,用于记录软件各类事件并收集证据,从而帮助用户和网络安全研究人员了解疑似间谍软件攻击的来龙去脉。
以前取证分析主要依赖于并非为了检测入侵而设计的日志,这种日志对网络安全研究人员来说用处不是很大,因为这类日志保存时间短且经常会被覆盖,而间谍软件潜伏时间可能会非常长,如果日志被覆盖则研究人员无法溯源攻击源头。
现在有了入侵日志记录功能后,当启用该功能,系统就会每天创建并收集日志,收集的日志会采用高强度算法进行加密后上传到用户的Google账户中,因此即便日志在本地被抹除,研究人员也依然可以通过云端继续查找日志。
说到这里还需要提下,其实入侵日志记录功能在 2025 年就已经开发,不过Google现在才开始逐渐部署,Google在博客中表示,该功能正在面向运行 Android 16 2025 年 12 月更新或更高版本的设备推出。
入侵日志记录提供哪些跟踪事件:
Android设备何时解锁过
应用程序何时安装、启动或卸载
Android设备连接过哪些网站或服务器
是否有人使用目标设备连接到 ADB (取证工具就需要通过 ADB 连接并读取数据)
是否有人尝试删除以上跟踪记录的日志 (这表明有人试图隐藏攻击证据)