Google lança novo recurso de segurança do Android para ajudar a descobrir ataques de spyware and adware

O Google está lançando um novo recurso opcional no Android que visa ajudar os pesquisadores de segurança a investigar ataques de spyware and adware.

O recurso se chama “Intrusion Logging” e faz parte do Android Modo de proteção avançadoque o Google lançou no ano passado, um modo de segurança especial opcional que ativa certos recursos com o objetivo de tornar o dispositivo mais difícil de ser hackeado. O Modo de Proteção Avançada foi projetado para combater ataques de spyware and adware do governo e dispositivos forenses policiais que tentam extrair dados do telefone de uma pessoa.

Esses dois tipos de ataques também podem ser combinados. Em pelo menos um caso documentado na Sérvia, as autoridades utilizaram uma ferramenta forense de aplicação da lei fabricada pela Cellebrite para desbloquear um dispositivo e, em seguida, instalaram spyware and adware como mais um passo para continuar a monitorizar o alvo.

O lançamento do Intrusion Logging é a primeira vez que um fabricante de telefones lança um recurso com o objetivo de ajudar os pesquisadores de segurança a investigar ataques de spyware and adware. Para conseguir isso, o Intrusion Logging do Android cria um novo tipo de log, que registra erros e coleta evidências quando algo dá errado com o software program, para fornecer visibilidade sobre suspeitas de ataques de spyware and adware.

A Anistia Internacional, que trabalhou com o Google para desenvolver o recurso, chamou o Intrusion Logging de “uma mudança elementary na quantidade e qualidade dos dados forenses disponíveis em dispositivos Android”.

“Até agora, a análise forense dependia de registros que nunca foram projetados para detecção de intrusões”, A Anistia escreveu em uma postagem de blog que explica em detalhes como funciona o Intrusion Logging. Isso significava que os registros anteriores não eram tão úteis para os pesquisadores, pois não permaneciam no dispositivo por muito tempo e eram frequentemente substituídos, apagando efetivamente possíveis evidências de ataques.

Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia, disse ao TechCrunch que os limites técnicos do Android “tornaram difícil a análise profunda dos logs e arquivos do sistema em busca de sinais de comprometimento, ao contrário do iOS”.

“Esses limites significam que não conseguimos detectar com segurança ataques conhecidos contra o Android”, disse Ó Cearbhaill, que durante anos investigou dezenas de casos de abuso de spyware and adware em todo o mundo.

A capacidade de detectar melhor ataques de spyware and adware deve melhorar com o Intrusion Logging. Google anunciou o recurso há um anomas a empresa está implantando-o apenas agora. Em uma postagem no weblog de terça-feira, o Google disse que o Intrusion Logging “está atualmente sendo implementado em todos os dispositivos que executam a atualização do Android 16 de dezembro e mais recentes”.

Como funciona o registro de invasões

O Intrusion Logging captura eventos relacionados à segurança e possíveis invasões. Para começar, o recurso cria e coleta registros uma vez por dia e os armazena criptografados na conta do Google dos usuários na nuvem. O add de logs para a nuvem evita potencialmente que o spyware and adware exclua evidências de comprometimento de um dispositivo. Os registros também são criptografados para que apenas o usuário possa acessar e compartilhar os registros com os investigadores, e o Google não possa acessá-los.

Entre os eventos que o Intrusion Logging acompanha estão: quando o telefone foi desbloqueado; quando os aplicativos foram instalados e desinstalados; a quais websites e servidores o telefone está conectado; se alguém está conectado ao Android Debug Bridge, uma ferramenta que permite que um computador ou dispositivo como uma ferramenta forense como a Cellebrite para conectar-se a um dispositivo Android; e se alguém tentou excluir os logs relacionados a esses eventos, o que poderia indicar uma tentativa de ocultar evidências de um ataque.

No caso de um ataque de spyware and adware, esses registros podem ajudar os investigadores a entender quando e como as autoridades podem ter hackeado ou desbloqueado à força o dispositivo de alguém e conectado-o a uma ferramenta forense, ou usado para instalar spyware and adware ou stalkerware. Os registros também podem determinar se um telefone, em algum momento, se conectou a um web site malicioso que tenta hackear o dispositivo visitante ou acessa servidores projetados para extrair dados do telefone.

Embora seja um avanço, o Intrusion Logging tem alguns limites. Por enquanto, além de ativar o Modo de Proteção Avançada, o recurso requer a versão mais recente do software program Android, está disponível apenas para dispositivos Pixel fabricados pelo Google e o dispositivo deve estar vinculado a uma conta do Google. O Intrusion Logging mantém registros do histórico de navegação e conexões do navegador, que as pessoas podem ter receio de compartilhar com os investigadores.

O Google afirma que o Modo de Proteção Avançada e o Registro de Intrusão são para pessoas que pensam que podem estar em risco de ataques realizados com spyware and adware e dispositivos forenses, como defensores de direitos humanos, ativistas, jornalistas e dissidentes. O Modo de Proteção Avançada é semelhante ao Modo Lockdown para dispositivos Apple, que também se destina a usuários em risco e é visto como uma forma eficaz de proteção contra spyware and adware.

Recentemente, em março, a Apple disse que nunca detectou um ataque bem-sucedido contra usuários com o Modo Lockdown ativado. Em 2023, pesquisadores de segurança do Citizen Lab disseram que o Modo Lockdown bloqueou ativamente uma tentativa de infectar um alvo com o spyware and adware da NSO.

Em sua postagem no weblog, a Anistia incluiu instruções passo a passo sobre como baixar os registros caso um usuário suspeite ou tenha sido notificado de que foi alvo de spyware and adware. Apple, Google e Meta enviam notificações de ameaças aos usuários há anos, o que os pesquisadores dizem ter sido essential para encontrar e expor casos de abuso.