Google está lanzando una nueva función de suscripción en Android destinada a ayudar a los investigadores de seguridad a investigar los ataques de software espía.
Esta función se llama “Registro de intrusiones” y es parte de Android Modo de protección avanzadaque Google lanzó el año pasado, un modo de seguridad opcional que habilita ciertas funciones con el objetivo de hacer que los dispositivos sean más difíciles de piratear. El modo de protección avanzada está diseñado para contrarrestar los ataques de software espía del gobierno y las herramientas forenses policiales que intentan extraer datos del teléfono de una persona.
Estos dos tipos de ataques también se pueden combinar. En al menos un caso documentado en Serbia, las autoridades utilizaron una herramienta forense creada por Cellebrite para desbloquear un dispositivo y luego instalaron software espía como un paso adicional para continuar monitoreando al objetivo.
El lanzamiento de Intrusion Logging es la primera vez que un fabricante de teléfonos lanza una función con el objetivo de ayudar a los investigadores de seguridad a investigar ataques de software espía. Para lograr esto, Android Intrusion Logging crea un nuevo tipo de registro, que registra errores y recopila evidencia cuando hay problemas con el software, para brindar visibilidad sobre presuntos ataques de software espía.
Amnistía Internacional, que trabajó con Google para desarrollar la función, calificó el registro de intrusiones como “un cambio fundamental en la cantidad y calidad de los datos forenses disponibles en los dispositivos Android”.
“Hasta ahora, el análisis forense se ha basado en registros que nunca fueron diseñados para detectar intrusiones”. Amnistía escribió en una publicación de blog. que explica en detalle cómo funciona el registro de intrusiones. Esto significa que los registros anteriores no son muy útiles para los investigadores, ya que no permanecen en el dispositivo por mucho tiempo y, a menudo, se sobrescriben, borrando efectivamente la posible evidencia de un ataque.
Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía, dijo a TechCrunch que las limitaciones técnicas de Android “hacen que sea difícil analizar en profundidad los registros y archivos del sistema en busca de signos de compromiso, a diferencia de iOS”.
“Esta limitación significa que no podemos detectar de manera confiable ataques conocidos contra Android”, dijo Ó Cearbhaill, quien a lo largo de los años ha investigado docenas de casos de abuso de software espía en todo el mundo.
La capacidad de detectar mejor los ataques de software espía se mejora con el registro de intrusiones. Google anunció la función. hace un añopero las empresas recién lo están implementando ahora. En una publicación de blog el martes, Google dijo que el registro de intrusiones “actualmente se está implementando en todos los dispositivos que ejecutan la actualización de Android del 16 de diciembre y posteriores”.
Cómo funciona el registro de intrusiones
El registro de intrusiones captura eventos relacionados con la seguridad y posibles intrusiones. Para empezar, la función crea y recopila registros una vez al día y los almacena cifrados en la cuenta de Google del usuario en la nube. Cargar registros en la nube puede potencialmente evitar que el software espía borre la evidencia de que el dispositivo está comprometido. Los registros también están cifrados para que solo los usuarios puedan acceder y compartirlos con los investigadores, y Google no puede acceder a ellos.
Entre los eventos rastreados por Intrusion Logging se incluyen cuando el teléfono está desbloqueado; cuando la aplicación ha sido instalada y desinstalada; a qué sitios web y servidores se conecta el teléfono; ¿Se conecta uno al Android Debug Bridge, una herramienta que permite que una computadora o dispositivo como herramientas forenses como Cellebrite conectarse a un dispositivo Android; y si alguien intentó eliminar los registros asociados con este evento, lo que podría indicar un intento de ocultar evidencia de un ataque.
En caso de un ataque de software espía, estos registros pueden ayudar a los investigadores a comprender cuándo y cómo las autoridades piratearon o abrieron el dispositivo de alguien y lo conectaron a herramientas forenses, o lo usaron para instalar software espía o acosadores. Los registros también pueden determinar si el teléfono se conectó en algún momento a un sitio web malicioso que intentó piratear el dispositivo visitante o accedió a un servidor diseñado para extraer datos del teléfono.
contáctanos
¿Tiene más información sobre ataques de software espía o creadores de software espía? Desde un dispositivo que no funciona, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram y Keybase @lorenzofb, o por correo electrónico.
Si bien esto es un paso adelante, el registro de intrusiones tiene algunas limitaciones. Por ahora, además de tener habilitado el Modo de protección avanzada, la función requiere la última versión del software de Android, solo está disponible para dispositivos Pixel fabricados por Google y el dispositivo debe estar vinculado a una cuenta de Google. El registro de intrusiones mantiene un registro del historial de navegación y conexión de su navegador, que quizás no desee compartir con los investigadores.
Google dice que el Modo de protección avanzada y el Registro de intrusiones están dirigidos a personas que sienten que corren el riesgo de sufrir ataques realizados con software espía y herramientas forenses, como defensores de derechos humanos, activistas, periodistas y disidentes. El modo de protección avanzada es similar al modo de bloqueo para dispositivos Apple, que también está dirigido a usuarios en riesgo y se considera una forma eficaz de proteger contra el software espía.
En marzo, Apple dijo que nunca había detectado un ataque exitoso contra usuarios que tenían habilitado el modo de bloqueo. En 2023, los investigadores de seguridad de Citizen Lab dijeron que el modo Lockdown bloquea activamente los intentos de infectar objetivos con software espía NSO.
En su blog, Amnistía ha incluido instrucciones paso a paso sobre cómo descargar los registros si los usuarios sospechan o han sido notificados de que han sido atacados por software espía. Apple, Google y Meta han estado enviando notificaciones de amenazas a los usuarios durante años, lo que, según los investigadores, es fundamental para encontrar y exponer casos de abuso.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
