Google lance la journalisation des intrusions pour les appareils Android Pixel

Google déploie Intrusion Logging, une fonctionnalité Android facultative du mode de protection avancée, qui enregistre des événements de sécurité pour aider les chercheurs à enquêter sur les attaques par logiciels espions et sur les attaques forensiques visant des téléphones, indique TechCrunch. La fonctionnalité est disponible sur les appareils exécutant la mise à jour du 16 décembre d’Android et ultérieure, mais elle nécessite actuellement le mode de protection avancée, un compte Google connecté et un appareil Google Pixel.

Comment fonctionne Intrusion Logging

Les journaux sont créés chaque jour et stockés sous forme chiffrée dans le compte Google de l’utilisateur. D’après Google, la fonctionnalité peut enregistrer l’installation d’applications, les connexions aux sites web et aux serveurs, l’accès via Android Debug Bridge, les déverrouillages du téléphone, et les tentatives de suppression des enregistrements. Amnesty International a contribué au développement de la fonctionnalité.

Comblement des lacunes en forensique Android

Intrusion Logging a été conçu pour répondre à une limite importante de la recherche en sécurité Android. Les contraintes techniques d’Android ont historiquement rendu les attaques sophistiquées de logiciels espions plus difficiles à détecter de manière fiable que sur iOS, le système d’exploitation mobile d’Apple. Avant cette fonctionnalité, les chercheurs s’appuyaient sur des journaux système qui n’étaient pas conçus pour la détection d’intrusions, et ces enregistrements étaient souvent écrasés, effaçant ainsi les traces d’une attaque.

Le système est conçu pour enregistrer les attaques issues de logiciels espions de niveau gouvernemental et d’outils forensiques de la police tels que Cellebrite, une société de forensique numérique dont le logiciel peut aider les forces de l’ordre à déverrouiller des appareils et à extraire des données. Aucun fabricant de téléphones n’avait auparavant lancé une fonctionnalité conçue spécifiquement pour aider les chercheurs en sécurité à examiner ces attaques ciblées par des logiciels espions.

Contexte plus large de la sécurité Android

Intrusion Logging s’inscrit dans une refonte plus large de la sécurité Android qui comprend une protection renforcée contre la réinitialisation d’usine, rendant les téléphones volés plus difficiles à réutiliser, ainsi qu’un modèle de permission à venir pour la protection du réseau local, qui permettrait aux utilisateurs de contrôler quelles applications peuvent accéder aux appareils sur le même réseau Wi‑Fi.

Google place Intrusion Logging dans le mode de protection avancée, qui a été conçu pour contrer les logiciels espions gouvernementaux et les appareils forensiques de la police. Cette approche diffère de la stratégie d’Apple : Apple propose Lockdown Mode, un paramètre de sécurité qui limite certaines fonctions du téléphone afin de réduire l’exposition aux attaques. Alors que Lockdown Mode vise à réduire la surface d’attaque, Intrusion Logging ajoute des enregistrements chiffrés détaillés pour le travail forensique après un incident — une capacité que les chercheurs Android avaient du mal à obtenir de façon constante.