Feketedoboz a telefonban: így buktatja le a kémszoftvereket a Google

Mi történik, ha valaki feltöri a telefonodat, majd az első dolga az, hogy törli a betörés minden nyomát? A fejlett kémszoftverek és a hatóságok által használt törvényszéki adatkinyerő eszközök pontosan így működnek. Emiatt az elemzők számára egy megfertőzött mobil sokszor nem szolgáltatott elegendő bizonyítékot. Ezt a paradigmát igyekszik megváltoztatni a Google egy frissen bevezetett, opt-in (külön bekapcsolható) biztonsági funkcióval.

Az androidos eszközök esetében a kutatók sokáig hátrányban voltak az Apple zártabb rendszerével szemben. „Eddig a törvényszéki elemzés olyan naplókra támaszkodott, amelyeket soha nem behatolásérzékelésre terveztek” – írta blogbejegyzésében az Amnesty International, amely részt vett a Google új fejlesztésében. A rendszer eddigi naplófájljait a szoftver viszonylag gyorsan felülírta, így a támadások digitális lábnyomai hamar megsemmisültek.

Donncha Ó Cearbhaill, az Amnesty Security Lab vezetője a TechCrunchnak adott nyilatkozatában rávilágított a helyzet súlyosságára: „Ezek a korlátok azt jelentették, hogy nem tudtuk megbízhatóan észlelni az Android elleni ismert támadásokat”.

Repülőgépes feketedoboz a zsebben

A válasz a problémára az úgynevezett behatolásnaplózás (Intrusion Logging), amely a Google Fejlett Védelem (Advanced Protection Mode) nevű programjának legújabb eleme. A módszer logikája meglepően egyszerű, de technológiailag robusztus: a telefon mostantól olyan eseményeket rögzít, amelyek gyanús tevékenységre utalhatnak, majd ezeket napi egyszer titkosítva feltölti a felhasználó felhőtárhelyére.

Ezzel a lépéssel a Google lényegében kihúzza a talajt a nyomaikat eltüntetni próbáló kémszoftverek alól. Ha a támadó a telefonon törli is a naplót, a felhőben már ott a másolat. A rendszer rögzíti többek között a képernyőfeloldásokat, az alkalmazások telepítését, a meglátogatott szervereket, valamint azt is, ha egy külső eszközzel – például a hatóságok által előszeretettel alkalmazott Cellebrite szoftverrel – próbálnak csatlakozni a mobilhoz.

A módszerek gyakran kombinálódnak a valóságban. Egy dokumentált szerbiai esetben például a hatóságok először fizikai hozzáféréssel feltörték az eszközt, majd kémszoftvert telepítettek rá a folyamatos megfigyelés érdekében. Az új naplózás pontosan az ilyen több lépcsős, összetett akciókat teheti láthatóvá a biztonsági szakemberek számára.

Biztonság kompromisszumokkal

Bár a fejlesztés komoly fegyvertény a kiberbiztonság területén, a gyakorlati alkalmazása egyelőre szűk kört érint. A behatolásnaplózás jelenleg csak az Android 16-os (decemberi vagy újabb) frissítésével érhető el, kizárólag a Google saját gyártású Pixel készülékein, és működéséhez Google-fiókhoz kell kötni az eszközt.

További dilemmát jelent, hogy a naplózás során a böngészési előzmények is rögzítésre kerülnek. Bár a Google ezekhez a titkosítás miatt nem fér hozzá, a felhasználóknak mérlegelniük kell, hogy egy esetleges vizsgálat során hajlandóak-e megosztani ezeket a szenzitív adatokat az elemzőkkel.

Ezek a funkciók nem az átlagfelhasználók mindennapi védelmét szolgálják. A célközönséget a célzott támadásoknak kitett személyek – újságírók, emberi jogi aktivisták és disszidensek – jelentik. A Google megoldása egyértelműen az Apple hasonló fókuszú „Lockdown Mode” funkciójára adott válasz, amely a Citizen Lab 2023-as jelentése szerint már sikeresen blokkolt az NSO csoporthoz köthető kémszoftver-támadást is.

Gyakorlati tanulság: A digitális biztonság egyre kevésbé a feltörhetetlen rendszerekről, sokkal inkább a feltörés tényének gyors és bizonyítható felismeréséről szól.