Android lancia Intrusion Logging contro gli attacchi spyware

C’è una categoria di persone, sparse in vari angoli del pianeta, per cui lo smartphone non è soltanto un compagno di pause caffè. È una potenziale prova contro di loro, una porta che governi ostili possono tentare di forzare con strumenti sviluppati apposta da aziende come Cellebrite.

Attivisti, giornalisti, dissidenti, difensori dei diritti umani. Per loro un’analisi forense del telefono può fare la differenza tra capire cosa è successo e brancolare nel buio, magari pagandone le conseguenze. Adesso Google sta finalmente offrendo a queste persone uno strumento serio per ricostruire eventuali intrusioni, e l’ha chiamato Intrusion Logging.

Android lancia Intrusion Logging, come funziona

Intrusion Logging crea un nuovo tipo di registro che documenta in modo sistematico gli eventi che potrebbero indicare un attacco spyware. Non un log generico di quelli che già esistono e che vengono sovrascritti in fretta, lasciando ai ricercatori di sicurezza poche briciole su cui ragionare. Una specie di scatola nera dedicata, pensata fin dall’inizio per la rilevazione delle intrusioni.

I log vengono generati una volta al giorno, cifrati, e salvati nel cloud sull’account Google dell’utente. La scelta del cloud non è casuale. Conservarli sul dispositivo significherebbe lasciarli alla mercè di uno spyware sufficientemente sofisticato, che potrebbe semplicemente cancellarli per nascondere le proprie tracce.

Spostarli in remoto, in forma cifrata, significa metterli al sicuro da chi è entrato nel telefono ma non ha le chiavi del cloud. Anche Google, importante sottolinearlo, non può accedere a quei log, solo l’utente possiede la chiave per decifrarli e condividerli con i ricercatori di sua fiducia.

Cosa registra esattamente

L’elenco delle cose annotate da Intrusion Logging è proprio quello che serve a chi indaga su un attacco. Quando il telefono viene sbloccato, quando le applicazioni vengono installate o disinstallate. Quali siti web e server il dispositivo ha contattato. Se qualcuno ha collegato il telefono ad Android Debug Bridge, il protocollo che permette a un computer o a uno strumento forense di interfacciarsi con un dispositivo Android. E, dettaglio cruciale, se qualcuno ha tentato di cancellare i log stessi, perché un tentativo di cancellazione è di per sé un indizio pesante.

In pratica, se un’autorità sblocca con la forza il telefono di un attivista con uno strumento come Cellebrite, lo collega a una postazione forense ed estrae i dati, oppure ci installa sopra uno spyware per continuare a sorvegliare il bersaglio, queste operazioni lasciano tracce dentro il nuovo log. Tracce che fino a oggi venivano spazzate via dalla normale rotazione dei log di sistema, e che adesso restano accessibili per essere analizzate.

La collaborazione con Amnesty International

A rendere la storia ancora più interessante c’è il fatto che Intrusion Logging è stato sviluppato in collaborazione con Amnesty International.

Donncha Ó Cearbhaill, a capo del Security Lab di Amnesty e veterano di decine di indagini sugli abusi di spyware in giro per il mondo, ha raccontato a TechCrunch quanto i limiti tecnici di Android avessero reso difficile l’analisi profonda dei log di sistema. Per anni gli hacker conosciuti contro Android sono stati molto più difficili da rilevare in modo affidabile rispetto a quelli contro iPhone. Una asimmetria pesante, considerando quante delle persone a rischio nel mondo usano dispositivi Android.

I limiti che ancora restano

Ma non è tutto rose e fiori. Per attivare Intrusion Logging serve aver acceso anche la Modalità avanzata di protezione di Android, lanciata da Google l’anno scorso, pensata appositamente per chi è a rischio di attacchi mirati. La funzione richiede inoltre la versione più recente del sistema, è disponibile soltanto sui dispositivi Pixel prodotti direttamente da Google, e impone che il dispositivo sia collegato a un account Google.

Un’altra questione delicata riguarda la natura stessa dei log. Vengono registrate, tra le altre cose, la cronologia di navigazione e le connessioni di rete. Informazioni che chi si trova a essere bersaglio di sorveglianza statale potrebbe non voler condividere a cuor leggero nemmeno con i ricercatori che indagano sul caso. Una tensione che fa parte del compromesso, per documentare un attacco serve raccogliere dati sensibili, e a quel punto la fiducia nella catena di custodia diventa decisiva.

La parentela con Lockdown Mode

La modalità di protezione avanzata di Android è il cugino spirituale del Lockdown Mode di Apple, lanciato da Cupertino qualche anno fa con obiettivi molto simili. La modalità Apple gode già di una buona reputazione. Lo stesso colosso di Cupertino ha dichiarato a marzo di non aver mai rilevato un attacco riuscito contro utenti che avessero attivato il Lockdown Mode. Nel 2023 i ricercatori del Citizen Lab avevano documentato come la funzione avesse bloccato attivamente un tentativo di infezione tramite lo spyware Pegasus di NSO Group.

Per Google, allinearsi a quel livello di protezione e aggiungere uno strumento forense nativo, cosa che neanche Apple offre pubblicamente, significa colmare un divario che pesava da troppo tempo.

Disponibilità

Google aveva presentato Intrusion Logging più di un anno fa, e da allora la funzione era rimasta in cassetto in attesa di essere completata. Il roll out è iniziato adesso, su tutti i dispositivi che girano sull’aggiornamento di dicembre di Android 16 e successivi.

Amnesty International, dal canto suo, ha pubblicato istruzioni dettagliate passo per passo su come scaricare i log nel caso in cui un utente sospetti di essere stato preso di mira da uno spyware oppure abbia ricevuto una notifica di minaccia dalle big tech.

Apple, Google e Meta inviano da anni queste notifiche agli utenti che ritengono possano essere vittime di attacchi statali. Una rete di allerta che, secondo i ricercatori del settore, è stata cruciale negli ultimi anni per smascherare casi concreti di abuso.