Google sta lanciando una nuova funzionalità di attivazione in Android che mira advert aiutare i ricercatori di sicurezza a indagare sugli attacchi spy ware.
La funzionalità si chiama “Registrazione delle intrusioni” e fa parte di Android Modalità di protezione avanzatache Google ha lanciato lo scorso anno, una speciale modalità di sicurezza che abilita determinate funzionalità con l’obiettivo di rendere il dispositivo più difficile da hackerare. La modalità di protezione avanzata è progettata per contrastare gli attacchi spy ware del governo e i dispositivi forensi della polizia che tentano di estrarre dati dal telefono di una persona.
Questi due tipi di attacchi possono anche essere combinati. In almeno un caso documentato in Serbia, le autorità hanno utilizzato uno strumento forense creato da Cellebrite per sbloccare un dispositivo, quindi hanno installato uno spy ware come ulteriore passo per continuare a monitorare l’obiettivo.
Il lancio dell’Intrusion Logging rappresenta la prima volta che un produttore di telefoni lancia una funzionalità con l’obiettivo di aiutare i ricercatori di sicurezza a indagare sugli attacchi spy ware. Per raggiungere questo obiettivo, la funzione di registrazione delle intrusioni di Android crea un nuovo tipo di registro, che registra gli errori e raccoglie show quando qualcosa va storto con il software program, per fornire visibilità sui sospetti attacchi spy ware.
Amnesty Worldwide, che ha collaborato con Google per sviluppare la funzionalità, ha definito la registrazione delle intrusioni “un cambiamento fondamentale nella quantità e nella qualità dei dati forensi disponibili sui dispositivi Android”.
“Fino advert ora, l’analisi forense si è basata su registri che non erano mai stati progettati per il rilevamento delle intrusioni”, ha scritto Amnesty in un post sul suo blog che spiega in dettaglio come funziona la registrazione delle intrusioni. Ciò significava che i registri precedenti non erano così utili per i ricercatori, poiché non rimanevano a lungo sul dispositivo e spesso venivano sovrascritti, cancellando di fatto potenziali show di attacchi.
Donncha Ó Cearbhaill, capo del Safety Lab di Amnesty, ha dichiarato a TechCrunch che i limiti tecnici di Android “hanno reso difficile l’analisi approfondita dei registri e dei file di sistema per individuare eventuali segni di compromissione, a differenza di iOS”.
“Questi limiti ci hanno impedito di rilevare in modo affidabile gli attacchi noti contro Android”, ha affermato Ó Cearbhaill, che per anni ha indagato su dozzine di casi di abuso di spy ware in tutto il mondo.
La capacità di rilevare meglio gli attacchi spy ware dovrebbe migliorare con la registrazione delle intrusioni. Google ha annunciato la funzionalità un anno fama l’azienda lo sta implementando solo ora. In un submit sul weblog di martedì, Google ha affermato che la registrazione delle intrusioni “è attualmente disponibile su tutti i dispositivi che eseguono l’aggiornamento Android del 16 dicembre e versioni successive”.
Come funziona la registrazione delle intrusioni
La registrazione delle intrusioni acquisisce eventi relativi alla sicurezza e potenziali intrusioni. Per cominciare, la funzionalità crea e raccoglie log una volta al giorno e li archivia crittografati nell’account Google degli utenti nel cloud. Il caricamento dei registri nel cloud impedisce potenzialmente allo spy ware di eliminare le show di una compromissione del dispositivo. I registri sono inoltre crittografati in modo che solo l’utente possa accedervi e condividerli con gli investigatori e Google non possa accedervi.
Tra gli eventi di cui tiene traccia Intrusion Logging, figurano: quando il telefono è stato sbloccato; quando le applicazioni sono state installate e disinstallate; a quali siti Net e server è connesso il telefono; se qualcuno si è connesso advert Android Debug Bridge, uno strumento che consente a un laptop o un dispositivo come uno strumento forense come Cellebrite per connettersi a un dispositivo Android; e se qualcuno ha tentato di eliminare i registri relativi a questi eventi, il che potrebbe indicare un tentativo di nascondere le show di un attacco.
In caso di attacco di spy ware, questi registri possono aiutare gli investigatori a capire quando e come le autorità potrebbero aver violato o sbloccato con la forza il dispositivo di qualcuno e averlo collegato a uno strumento forense o utilizzato per installare spy ware o stalkerware. I registri possono anche determinare se un telefono a un certo punto si è connesso a un sito Net dannoso che tenta di hackerare il dispositivo visitato o accede a server progettati per estrarre dati dal telefono.
Contattaci
Hai ulteriori informazioni sugli attacchi spy ware o sui produttori di spy ware? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram e Keybase @lorenzofb, o e mail.
Sebbene rappresenti un passo avanti, la registrazione delle intrusioni presenta alcuni limiti. Per ora, oltre a dover abilitare la modalità di protezione avanzata, la funzionalità richiede l’ultima versione del software program Android, è disponibile solo per i dispositivi Pixel prodotti da Google e che il dispositivo deve essere collegato a un account Google. La registrazione delle intrusioni conserva i report della cronologia di navigazione e delle connessioni del browser, che le persone potrebbero essere caute nel condividere con gli investigatori.
Google afferma che la modalità di protezione avanzata e la registrazione delle intrusioni sono destinate a persone che pensano di poter essere a rischio di attacchi effettuati con spy ware e dispositivi forensi, come difensori dei diritti umani, attivisti, giornalisti e dissidenti. La modalità di protezione avanzata è simile alla modalità di blocco per i dispositivi Apple, anch’essa pensata per gli utenti a rischio ed è vista come un modo efficace per proteggersi dallo spy ware.
Fino a marzo, Apple ha dichiarato di non aver mai rilevato un attacco riuscito contro gli utenti che avevano abilitato la modalità di blocco. Nel 2023, i ricercatori sulla sicurezza di Citizen Lab hanno affermato che la modalità di blocco ha bloccato attivamente un tentativo di infettare un obiettivo con lo spy ware di NSO.
Nel suo submit sul weblog, Amnesty ha incluso istruzioni dettagliate su come scaricare i registri se un utente sospetta o è stato informato di essere stato preso di mira da spy ware. Apple, Google e Meta inviano da anni notifiche di minacce agli utenti, che secondo i ricercatori sono state cruciali per individuare e denunciare casi di abuso.
Quando acquisti tramite i hyperlink presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
