對於一般的行動裝置使用者來說,當手機被植入惡意軟體時,最困難的不是發現異常,而是在發現後如何證明「發生了什麼」。高階的間諜軟體(Spyware)通常具有極強的隱匿性,它們在執行完任務後會自我毀滅或清除日誌,導致資安專家在進行數位鑑識(Forensics,指透過技術手段蒐集並分析數位證據以還原事件經過的過程)時,找不到任何線索。
為了對抗這種威脅,Google 在 Android 16 中引入了一項名為 Intrusion Logging(入侵日誌)的新功能。這項功能專為高風險群體設計,旨在將關鍵的系統行為紀錄在設備之外,讓受害者在設備被入侵後,仍能擁有可用於分析的證據。
入侵日誌的核心運作邏輯
傳統的系統日誌儲存在手機本地端,如果駭客取得了系統最高權限(Root 權限),他們可以輕易地刪除或竄改日誌。Intrusion Logging 解決這個問題的方法是將日誌同步到 Google 的安全伺服器上。
這套機制採取了端到端加密(End-to-End Encryption, E2EE),意味著加密金鑰由使用者的 Google 帳號密碼與螢幕鎖定憑證控制。即便資料儲存在 Google 的伺服器上,Google 官方或任何第三方(包括政府機關)在沒有使用者憑證的情況下,都無法解密查看內容。
這項功能會記錄哪些資訊?
為了在不嚴重侵害隱私的前提下提供足夠的鑑識線索,Intrusion Logging 會記錄每日的設備與網路活動,包含:
應用程式行為:例如 App 進程何時啟動、安裝、更新或解除安裝。 網路連接:Wi-Fi 與藍牙的開啟與關閉、DNS 查詢紀錄(DNS Lookup,將網域名稱轉換為 IP 的過程)以及連線的 IP 位址。 資料傳輸:透過 USB 進行的檔案傳輸紀錄。 系統變更:系統憑證的變動以及設備的鎖定與解鎖狀態。
需要注意的是,由於此功能運作於系統底層,即使使用者使用 Chrome 的無痕模式(Incognito mode),其產生的 DNS 查詢與 IP 連線紀錄依然會被記錄在案。
實務上的限制與安全考量
為了防止攻擊者在獲權後立即刪除證據,Intrusion Logging 設定了強制性的保留期。一旦啟用,日誌將儲存 12 個月,期間內使用者無法手動刪除,即便關閉功能或刪除帳號也一樣。
此外,雖然雲端儲存提供了安全性,但如果使用者選擇將日誌下載到本地進行分析,解密後的資料將由使用者自行負責安全管理。在某些法律環境下,使用者仍可能被要求提供解密後的資料或憑證。
Android 16 的其他安全強化方向
除了入侵日誌,Android 16 同時針對金融詐騙與系統底層安全性地進行了多項升級,值得工程師關注的重點包括:
金融通話驗證:針對電信詐騙中的來電顯示偽造(Spoofing),系統會與銀行 App 協作,確認銀行端是否真的發起了該通話,若無紀錄則直接中斷。
權限收緊與監控:限制非輔助工具類 App 存取輔助服務 API(Accessibility Services API),以防止銀行木馬利用該 API 竊取憑證。
硬體級隔離:引入 AISeal 與 pKVM 技術,在硬體層級為 AI 相關的數據處理提供隔離環境,防止敏感資料外洩。
後量子加密(Post-Quantum Cryptography):針對未來量子電腦可能破解現有加密算法的威脅,提前導入更強韌的加密標準。
總結
Intrusion Logging 的推出,將 Android 的安全防禦從單純的 阻擋(Prevention)延伸到了 鑑識(Forensics)。對於開發者與資安從業人員而言,這代表行動裝置的取證能力正在提升,未來面對複雜的供應鏈攻擊或國家級間諜軟體時,將有更多數據支持來還原攻擊路徑。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。