Google добавил в Android функцию для выявления шпионских атак на устройство

Google начал массовое развёртывание функции Intrusion Logging для Android — первого в индустрии инструмента, созданного специально для того, чтобы помочь исследователям безопасности расследовать атаки шпионского ПО. Функция входит в состав Advanced Protection Mode и доступна на устройствах Pixel с декабрьским обновлением Android 16 и более новыми версиями.

Разработка велась совместно с Amnesty International, которая охарактеризовала новинку как «фундаментальный сдвиг в объёме и качестве криминалистических данных, доступных на Android-устройствах». До этого момента Android заметно уступал iOS в части возможностей для цифровой криминалистики.

Почему прежние логи не помогали расследованиям

До появления Intrusion Logging исследователи были вынуждены работать с журналами, которые изначально не проектировались для обнаружения вторжений. Они хранились на устройстве недолго, регулярно перезаписывались и фактически уничтожали следы атак.

Donncha Ó Cearbhaill, руководитель Security Lab в Amnesty International, годами расследующий десятки случаев злоупотребления шпионским ПО по всему миру, прямо признал: технические ограничения Android «не позволяли надёжно обнаруживать известные атаки». По его словам, глубокий анализ системных логов на Android был несравнимо сложнее, чем аналогичная работа с iOS.

Отдельную проблему представляла возможность самого шпионского ПО удалять улики. Если вредоносная программа получала достаточно привилегий, она могла зачистить следы своего присутствия ещё до того, как исследователь успевал их зафиксировать.

Как работает Intrusion Logging

Функция собирает журналы событий раз в сутки и загружает их в Google-аккаунт пользователя в зашифрованном виде. Ключевой момент: Google не имеет доступа к этим данным — расшифровать и передать логи следователям может только сам владелец устройства.

Хранение в облаке решает проблему уничтожения улик: даже если шпионское ПО попытается удалить локальные следы своей активности, зашифрованная копия уже будет находиться за пределами устройства. Intrusion Logging также фиксирует сами попытки удалить журналы — это отдельный тревожный сигнал для следователей.

Среди событий, которые отслеживает функция: моменты разблокировки телефона; установка и удаление приложений; адреса сайтов и серверов, к которым подключалось устройство; факты подключения через Android Debug Bridge — интерфейс, которым пользуются в том числе криминалистические инструменты вроде Cellebrite.

Последний пункт особенно важен в свете задокументированного случая в Сербии: там власти использовали инструмент Cellebrite для разблокировки телефона, а затем устанавливали шпионское ПО для дальнейшей слежки за владельцем. Именно такую цепочку атак — сначала физический взлом устройства, затем установка вредоноса — Intrusion Logging способен зафиксировать и сохранить как доказательную базу.

Ограничения и сравнение с Apple

При всей значимости шага у функции есть существенные ограничения. Во-первых, Intrusion Logging пока доступен только на смартфонах Pixel — устройствах собственного производства Google. Во-вторых, требуется привязка к Google-аккаунту и установка актуальной версии Android. В-третьих, функция не включена по умолчанию: пользователь должен самостоятельно активировать Advanced Protection Mode.

Логи включают историю браузера и сетевых подключений — информацию, которую некоторые пользователи могут не захотеть передавать следователям даже в случае атаки. Это компромисс между приватностью и возможностью доказать факт взлома.

Для сравнения: Lockdown Mode у Apple, аналогичный режим повышенной защиты, по состоянию на март 2026 года не допустил ни одной успешной атаки на устройства с включённой функцией. В 2023 году исследователи Citizen Lab зафиксировали, что Lockdown Mode заблокировал попытку заражения шпионским ПО NSO Group. Android с появлением Intrusion Logging делает первый сопоставимый шаг, хотя и с иным подходом: не блокировать атаки, а документировать их.

Google, Apple и Meta уже несколько лет рассылают пользователям уведомления об угрозах — исследователи называют эту практику ключевым инструментом для выявления и публичного разоблачения случаев злоупотребления шпионским ПО.

Что это значит для Беларуси и региона

Для белорусской аудитории тема далеко не абстрактная. Журналисты, правозащитники и активисты в регионе входят именно в ту категорию пользователей, для которых Google и разрабатывал Advanced Protection Mode. Amnesty International опубликовала подробную инструкцию по скачиванию логов для тех, кто подозревает или уже получил уведомление о слежке.

Практическое ограничение для региона — привязка к устройствам Pixel, которые официально не продаются в Беларуси и России. Тем не менее IT-специалисты и журналисты, использующие Pixel через параллельный импорт или работающие из-за рубежа, могут активировать функцию уже сейчас. Для остальных Android-пользователей функция пока недоступна — Google не объявлял сроков расширения поддержки на устройства других производителей.

— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.