O Google Lança o Registro de Intrusões para Dispositivos Pixel com Android

O Google está lançando o Intrusion Logging, um recurso do Android com opção de ativação no Modo de Proteção Avançada que registra eventos de segurança para ajudar pesquisadores a investigarem ataques de spyware e de forense em telefones, de acordo com a TechCrunch. O recurso está disponível em dispositivos com a atualização do Android de 16 de dezembro e mais recentes, embora atualmente exija Modo de Proteção Avançada, uma conta do Google com sessão iniciada e um dispositivo Google Pixel.

Como o Intrusion Logging Funciona

Os logs são criados diariamente e armazenados de forma criptografada na conta do Google do usuário. De acordo com o Google, o recurso pode registrar instalações de apps, conexões de sites e servidores, acesso ao Android Debug Bridge, desbloqueios do telefone e tentativas de excluir registros. A Amnesty International ajudou a desenvolver o recurso.

Tratando Lacunas de Forense no Android

O Intrusion Logging foi criado para resolver uma limitação significativa na pesquisa de segurança do Android. As restrições técnicas do Android historicamente dificultaram ataques sofisticados de spyware de serem detectados de forma confiável em comparação com o iOS, o sistema operacional móvel da Apple. Antes desse recurso, os pesquisadores dependiam de logs do sistema que não foram criados para detecção de invasões, e esses registros muitas vezes eram sobrescritos, apagando sinais de um ataque.

O sistema foi projetado para registrar ataques de spyware de nível governamental e de ferramentas forenses policiais como a Cellebrite, uma empresa de forense digital cujo software pode ajudar as autoridades a desbloquear dispositivos e extrair dados. Nenhum fabricante de telefones tinha lançado anteriormente um recurso desenvolvido especificamente para ajudar pesquisadores de segurança a analisar esses ataques direcionados de spyware.

Contexto Mais Amplo de Segurança no Android

O Intrusion Logging se encaixa em uma reformulação mais ampla da segurança do Android que inclui uma Proteção contra Reinicialização de Fábrica mais forte, que torna telefones roubados mais difíceis de reutilizar, além de um modelo de permissão futuro de Proteção de Rede Local que permitiria que as pessoas controlassem quais apps conseguem acessar dispositivos na mesma rede Wi-Fi.

O Google coloca o Intrusion Logging dentro do Modo de Proteção Avançada, que foi criado para combater spyware governamental e dispositivos forenses policiais. Essa abordagem difere da estratégia da Apple: a Apple oferece o Modo de Bloqueio, uma configuração de segurança que limita algumas funções do telefone para reduzir a exposição a ataques. Enquanto o Modo de Bloqueio busca diminuir a superfície de ataque, o Intrusion Logging adiciona registros criptografados detalhados para trabalho forense após um incidente — uma capacidade que pesquisadores do Android tiveram dificuldade de reunir de forma consistente.