Google додала в Android функцію, яка фіксує спроби злому смартфона

Функція “Журналювання вторгнень” (Intrusion Logging) є частиною Android Advanced Protection Mode – розширеного режиму безпеки, який Google почала впроваджувати для користувачів із підвищеним ризиком атак. Його головна ідея полягає в тому, щоб ускладнити злам пристрою та водночас залишити більше слідів для подальшого розслідування інцидентів.

Режим орієнтований насамперед на захист від складних атак, зокрема шпигунського ПЗ та інструментів цифрової криміналістики, які можуть використовуватися як державними структурами, так і злочинними групами. У деяких задокументованих випадках подібні сценарії поєднувалися: спочатку пристрій розблоковували через криміналістичні засоби, а потім на нього встановлювали шпигунське програмне забезпечення для подальшого стеження.

“Журналювання вторгнень” стало першим випадком, коли Android отримав системний механізм, спеціально створений не лише для захисту, а й для збору доказів атак. Функція формує зашифровані журнали подій, які фіксують підозрілі або критичні дії в системі: розблокування пристрою, встановлення й видалення застосунків, мережеві з’єднання, підключення через ADB, а також спроби видалення логів.

Ці дані зберігаються в зашифрованому вигляді у хмарному обліковому записі користувача, що зменшує ризик їх знищення шкідливим ПЗ на самому пристрої. Водночас доступ до них має лише власник, а сама Google заявляє, що не може їх переглядати.

Правозахисна організація Amnesty International, яка співпрацювала з Google над розробкою функції, називає її важливим кроком уперед у сфері цифрової криміналістики. За їхніми словами, раніше системні журнали Android не були розраховані на виявлення вторгнень і часто перезаписувалися, що ускладнювало розслідування атак.

Новий підхід дозволяє слідчим точніше реконструювати інциденти – наприклад, визначати, коли пристрій міг бути зламаний, чи підключався до підозрілих серверів або чи використовувалися інструменти на кшталт Cellebrite для фізичного доступу до даних.

Втім, функція має обмеження. Вона доступна лише на певних пристроях (переважно Pixel), потребує активованого режиму захисту та оновленої версії Android. Крім того, частина користувачів може обережно ставитися до збереження даних про вебактивність і мережеві з’єднання навіть у зашифрованому вигляді.

У цілому ця система наближає Android до більш “прозорої” моделі безпеки, де важливо не лише запобігти зламу, а й залишити чіткий цифровий слід для його подальшого аналізу.