Google tung ra tính năng "Intrusion Logging" trên Android để chống lại phần mềm gián điệp

Google đang tung ra một tính năng tự chọn mới trên hệ điều hành Android nhằm hỗ trợ các nhà nghiên cứu bảo mật điều tra các cuộc tấn công từ phần mềm gián điệp.

Tính năng này có tên là "Intrusion Logging" (Ghi nhật ký xâm nhập) và là một phần của Chế độ Bảo vệ Nâng cao (Advanced Protection Mode) mà Google ra mắt vào năm ngoái. Đây là chế độ bảo mật đặc biệt tự chọn, kích hoạt các tính năng nhất định nhằm làm cho thiết bị khó bị hack hơn. Chế độ này được thiết kế để đối phó với các cuộc tấn công phần mềm gián điệp của chính phủ và các thiết bị pháp y của cảnh sát cố gắng trích xuất dữ liệu từ điện thoại của người dùng.

Hai loại tấn công này cũng có thể được kết hợp. Trong ít nhất một trường hợp được ghi nhận tại Serbia, chính quyền đã sử dụng công cụ pháp y thực thi pháp luật do Cellebrite sản xuất để mở khóa thiết bị, sau đó cài đặt phần mềm gián điệp như một bước tiếp theo để tiếp tục giám sát mục tiêu.

Việc triển khai Intrusion Logging là lần đầu tiên một nhà sản xuất điện thoại tung ra một tính năng với mục tiêu giúp các nhà nghiên cứu bảo mật điều tra các cuộc tấn công phần mềm gián điệp. Để đạt được điều đó, Intrusion Logging của Android tạo ra một loại nhật ký mới, ghi lại lỗi và thu thập bằng chứng khi có sự cố xảy ra với phần mềm, cung cấp cái nhìn rõ ràng về các cuộc tấn công phần mềm gián điệp bị nghi ngờ.

Tổ chức Ân xá Quốc tế (Amnesty International), đã hợp tác với Google để phát triển tính năng này, gọi Intrusion Logging là "một sự thay đổi cơ bản về số lượng và chất lượng dữ liệu pháp y có sẵn trên các thiết bị Android".

"Cho đến nay, việc phân tích pháp y chủ yếu dựa vào các nhật ký không bao giờ được thiết kế để phát hiện xâm nhập," Ân xá Quốc tế viết trong một bài đăng trên blog giải thích chi tiết cách Intrusion Logging hoạt động. Điều này có nghĩa là các nhật ký trước đó không hữu ích lắm cho các nhà nghiên cứu, vì chúng không tồn tại trên thiết bị trong thời gian dài và thường bị ghi đè, hiệu quả là xóa bỏ bằng chứng tiềm năng của các cuộc tấn công.

Donncha Ó Cearbhaill, người đứng đầu Phòng thí nghiệm Bảo mật của Ân xá Quốc tế, cho biết TechCrunch biết rằng các giới hạn kỹ thuật của Android "đã gây khó khăn cho việc phân tích sâu các nhật ký hệ thống và tệp tin để tìm dấu hiệu bị xâm phạm, không giống như iOS".

"Những giới hạn này có nghĩa là chúng tôi không thể phát hiện đáng tin cậy các cuộc tấn công đã biết chống lại Android," ông Ó Cearbhaill nói, người đã điều tra hàng chục trường hợp lạm dụng phần mềm gián điệp trên toàn thế giới trong nhiều năm qua.

Khả năng phát hiện tốt hơn các cuộc tấn công phần mềm gián điệp dự kiến sẽ được cải thiện với Intrusion Logging. Google đã công bố tính năng này một năm trước, nhưng công ty mới chỉ đang triển khai nó ngay bây giờ. Trong một bài đăng trên blog vào thứ Ba, Google cho biết Intrusion Logging "đang được triển khai đến tất cả các thiết bị chạy bản cập nhật tháng 12 năm 16 của Android và mới hơn".

Cách Intrusion Logging hoạt động

Intrusion Logging ghi lại các sự kiện liên quan đến bảo mật và các cuộc xâm nhập tiềm ẩn. Để bắt đầu, tính năng này tạo và thu thập nhật ký một lần mỗi ngày và lưu trữ chúng được mã hóa trong tài khoản Google của người dùng trên đám mây. Việc tải nhật ký lên đám mây có khả năng ngăn chặn phần mềm gián điệp xóa bằng chứng về việc thiết bị bị xâm nhập. Các nhật ký cũng được mã hóa để chỉ người dùng mới có thể truy cập và chia sẻ nhật ký với các điều tra viên, và Google không thể truy cập chúng.

Trong số các sự kiện mà Intrusion Logging theo dõi bao gồm: thời điểm điện thoại được mở khóa; khi các ứng dụng đã được cài đặt và gỡ cài đặt; những trang web và máy chủ mà điện thoại đã kết nối; liệu có ai đó đã kết nối với Cầu gỡ lỗi Android (Android Debug Bridge - ADB) hay không, một công cụ cho phép máy tính hoặc thiết bị như công cụ pháp y của Cellebrite kết nối với thiết bị Android; và liệu có ai đó đã cố gắng xóa nhật ký liên quan đến các sự kiện này hay không, điều này có thể cho thấy một nỗ lực che giấu bằng chứng của cuộc tấn công.

Trong trường hợp xảy ra cuộc tấn công phần mềm gián điệp, các nhật ký này có thể giúp các điều tra viên hiểu khi nào và cách thức chính quyền có thể đã hack hoặc mở khóa cưỡng bức điện thoại của ai đó và kết nối nó với công cụ pháp y, hoặc sử dụng để cài đặt phần mềm gián điệp hoặc stalkerware. Các nhật ký cũng có thể xác định xem điện thoại tại một thời điểm nào đó đã kết nối với một trang web độc hại cố gắng hack thiết bị truy cập, hay truy cập các máy chủ được thiết kế để trích xuất dữ liệu từ điện thoại.

Mặc dù đây là một bước tiến, Intrusion Logging có một số giới hạn. Hiện tại, cùng với việc phải bật Chế độ Bảo vệ Nâng cao, tính năng này yêu cầu phiên bản phần mềm mới nhất của Android, chỉ có sẵn cho các thiết bị Pixel do Google sản xuất, và thiết bị phải được liên kết với tài khoản Google. Intrusion Logging giữ lại lịch sử duyệt web và kết nối, điều mà mọi người có thể e ngại khi chia sẻ với các điều tra viên.

Google cho biết Chế độ Bảo vệ Nâng cao và Intrusion Logging dành cho những người nghĩ rằng họ có thể gặp rủi ro bị tấn công bằng phần mềm gián điệp và thiết bị pháp y, chẳng hạn như những người bảo vệ nhân quyền, nhà hoạt động, nhà báo và những người bất đồng chính kiến. Chế độ Bảo vệ Nâng cao tương tự như Chế độ Khóa (Lockdown Mode) cho các thiết bị Apple, cũng dành cho người dùng có rủi ro cao và được coi là một cách hiệu quả để bảo vệ chống lại phần mềm gián điệp.

Gần đây nhất là vào tháng 3, Apple cho biết họ chưa bao giờ phát hiện một cuộc tấn công thành công nào chống lại người dùng đã bật Chế độ Khóa. Năm 2023, các nhà nghiên cứu bảo mật tại Citizen Lab cho biết Chế độ Khóa đã chủ động chặn một nỗ lực lây nhiễm mục tiêu bằng phần mềm gián điệp của NSO.

Trong bài đăng trên blog của mình, Ân xá Quốc tế đã đưa ra hướng dẫn từng bước về cách tải xuống nhật ký nếu người dùng nghi ngờ hoặc đã được thông báo rằng họ là mục tiêu của phần mềm gián điệp. Apple, Google và Meta đã gửi thông báo mối đe dọa cho người dùng trong nhiều năm, điều mà các nhà nghiên cứu cho rằng đã rất quan trọng trong việc tìm kiếm và phơi bày các trường hợp lạm dụng.