После выпуска обновления Android 17 на прошлой неделе Google начала раскатывать Intrusion Logging — новую функцию в составе режима расширенной защиты Android. Она создаёт зашифрованный журнал активности устройства, который помогает обнаружить следы шпионского ПО. Это первый в истории случай, когда производитель смартфонов выпускает инструмент, специально рассчитанный на расследование атак с использованием шпионских программ.
Новая функция защиты будет искать шпионское ПО
Что такое Intrusion Logging и зачем он нужен
До сих пор у Android была серьёзная проблема: стандартные системные журналы не подходили для анализа взломов. Они быстро перезаписывались и не сохраняли нужные данные. Раньше цифровая криминалистика опиралась на логи, «которые никогда не создавались для обнаружения вторжений». В итоге следы атак часто просто исчезали с устройства.
Intrusion Logging решает эту проблему. Функция раз в сутки собирает ключевые события безопасности, шифрует их и сохраняет в облаке — в привязанном аккаунте Google. Логи защищены сквозным шифрованием: доступ к ним есть только у владельца устройства, ни Google, ни кто-либо ещё прочитать их не может. Хранение в облаке не случайно — если шпионское ПО попадёт на телефон, оно не сможет удалить улики с сервера.
Как работает новая функция защиты Android
Журнал записывает действия, которые типичны для атак на устройство. В логи попадают следующие действия:
- разблокировка экрана (когда и сколько раз)
- установка и удаление приложений
- подключения к сайтам и серверам
- подключение через Android Debug Bridge (ADB)
- попытки удалить сами логи — что может указывать на сокрытие следов взлома
На практике это означает, что если устройство было разблокировано принудительно, к нему подключили криминалистическое оборудование или установили шпионскую программу, всё это останется в зашифрованном журнале. Пользователь или привлечённый эксперт смогут скачать логи и разобраться, что произошло. Особенно актуально в условиях распространения национального мессенджера MAX.
Кому полезен Intrusion Logging на Android
Google прямо говорит, что защита телефона Android и Intrusion Logging рассчитаны на людей с повышенным риском: правозащитников, журналистов, активистов и диссидентов. Это не массовая функция для повседневного использования, а скорее аналог режима блокировки (Lockdown Mode) у Apple, который тоже ориентирован на тех, за кем могут следить с помощью государственного шпионского ПО.
Зашифрованные логи автоматически загружаются в облако, где шпионское ПО не может их удалить
Так, в Сербии правоохранительные органы использовали криминалистический инструмент Cellebrite, чтобы разблокировать телефон журналиста, а затем установили на него шпионскую программу для дальнейшей слежки. Именно такие сценарии Intrusion Logging призван фиксировать. Для обычного пользователя, который не находится под прицелом спецслужб, функция вряд ли станет повседневной необходимостью. Но само её появление — важный сигнал: Google признаёт проблему слежки за пользователями и выпускает инструмент, которого раньше не было ни у одного производителя Android-смартфонов.
Ограничения новой защиты Android
У функции Intrusion Logging есть несколько ограничений, которые не позволяют использовать её всем:
- функция доступна только на смартфонах Google Pixel с обновлением Android 16 от декабря и новее
- необходимо включить Advanced Protection Mode (расширенный режим защиты)
- устройство должно быть привязано к аккаунту Google
- функцию нужно активировать заранее (она не восстанавливает данные задним числом)
- логи содержат историю браузера и подключений, что может смущать тех, кому придётся делиться ими с экспертами
Отдельно стоит отметить, что логи хранятся 12 месяцев и не могут быть удалены вручную — это защита от ситуации, когда злоумышленник пытается замести следы. При этом на другие Android-смартфоны — Samsung, Xiaomi и другие — функция пока не распространяется, хотя Google обещает расширение доступности в будущем.
Подписывайся на AndroidInsider в Telegram
Как включить Intrusion Logging на Pixel
Если у вас Pixel с Android 16 (обновление от декабря или свежее), включить защиту телефона можно так:
- Откройте «Настройки»
- Перейдите в раздел «Безопасность и конфиденциальность»
- Выберите «Расширенная защита» (Advanced Protection)
- Прокрутите вниз до пункта Intrusion Logging и включите его
- Перезагрузите устройство
Функция включается через настройки защиты Google
После активации логи начнут собираться автоматически. Если вы подозреваете, что устройство было скомпрометировано, скачать логи можно в том же разделе настроек, нажав «Access logs». Для анализа данных Amnesty International выпустила обновлённые инструменты — AndroidQF и Mobile Verification Toolkit (MVT), — которые позволяют автоматически разбирать логи и выявлять подозрительные события.
