Android voegt inbraakregistratie toe voor geavanceerd spyware-forensisch onderzoek

Cyberbeveiliging
Android Adds Intrusion Logging

Google heeft dinsdag een nieuwe opt-in Android-functie onthuld genaamd Inbraakregistratie voor het opslaan van forensische logboeken om geavanceerde spyware-aanvallen beter te analyseren.

Inbraakregistratie, beschikbaar als onderdeel van de Geavanceerde Beschermingsmodus, maakt “aanhoudende en privacybehoudende forensische registratie mogelijk om onderzoek van apparaten mogelijk te maken in het geval van een vermoedelijke compromittering”, aldus het bedrijf.

De functie, zo voegde het toe, is ontwikkeld in samenwerking met Amnesty International en Reporters Without Borders. Volgens een door Google gedeeld hulpdocument registreert het dagelijks apparaat- en netwerkactiviteiten, inclusief informatie over apparaatgedrag en de verschillende applicaties die erop draaien.

De soorten geregistreerde activiteiten worden hieronder vermeld –

  • App-activiteit (bijvoorbeeld wanneer een app-proces start)
  • App-installaties, updates en verwijderingen
  • Netwerkverbindingen zoals het starten en stoppen van Wi-Fi, Bluetooth, DNS-lookups en IP-adressen
  • Bestandsoverdracht van of naar het apparaat via USB
  • Wijzigingen in systeemcertificaten
  • Wanneer het apparaat is vergrendeld of ontgrendeld

Google merkte ook op dat de loggegevens end-to-end worden gecodeerd door het apparaat en worden opgeslagen op de servers van Google. De coderingssleutels zijn beveiligd met een Google-accountwachtwoord en schermvergrendelingsgegevens, wat betekent dat de logboeken niet toegankelijk zijn voor derden, inclusief Google zelf, behalve de eigenaar van het apparaat.

“Door de gegevens op een beveiligde server op te slaan, kan zelfs malware die op de smartphone is geïnstalleerd deze niet openen, verwijderen of manipuleren”, aldus Reporters Without Borders. “End-to-end-encryptie zorgt er ook voor dat noch Google, noch overheidsactoren toegang hebben tot de gegevens. Met name de Intrusie Logging-functie maakt detectie en forensische analyse mogelijk van zelfs zeer geavanceerde en voorheen moeilijk te detecteren aanvallen.”

De gecodeerde logs worden gedurende een periode van 12 maanden bewaard, waarna ze automatisch worden gewist. Zodra Inbraakregistratie is ingeschakeld, kan een gebruiker de logboeken niet verwijderen voordat de vervalperiode van 12 maanden is verstreken, zelfs als het account is gesloten of de functie is uitgeschakeld. Gebruikers hebben de mogelijkheid om de logboeken offline te downloaden, als ze ze liever voor langere tijd bewaren.

Dat gezegd hebbende, heeft Google benadrukt dat zodra de logs zijn gedownload en gedecodeerd, gebruikers verantwoordelijk zijn voor hun veiligheid. “In bepaalde wettelijke of regelgevende omgevingen kan de wet u verplichten toegang te verlenen tot uw gedecodeerde gegevens of uw beveiligingsgegevens”, aldus het rapport.

Een ander ding om in gedachten te houden bij het inschakelen van de functie is dat deze ook netwerkgebeurtenissen registreert die worden gegenereerd tijdens het incognito browsen in Chrome, zoals DNS-zoekopdrachten en IP-verbindingen, omdat deze op systeemniveau werkt en geen onderscheid maakt tussen de browsermodi. Met andere woorden: iedereen die toegang heeft tot de gedecodeerde logbestanden kan nagaan welke websites zijn bezocht, maar kan geen specifieke pagina’s op die sites afleiden.

De motivatie achter Inbraakregistratie is dat personen met een hoog risico, die vermoeden dat ze het doelwit zijn van geavanceerde surveillancetools vanwege wie ze zijn en wat ze doen, het activiteitenlogboek kunnen delen met vertrouwde beveiligingsexperts voor gedetailleerd onderzoek.

De logboeken kunnen worden gedownload door naar de app Instellingen te gaan en vervolgens op Beveiliging en privacy -> Geavanceerde bescherming -> Inbraakregistratie -> Toegangslogboeken te tikken. De functie wordt momenteel uitgerold naar alle apparaten met de Android 16 december-update en nieuwer.

“Met Inbraakregistratie is Google de eerste grote leverancier die proactief de uitdaging aangaat van het detecteren van geavanceerde aanvallen op apparaten”, zegt Donncha Ó Cearbhaill, hoofd van het Security Lab bij Amnesty International, in een verklaring. “Door meer op consensus gebaseerde forensische gegevens beschikbaar te maken voor onderzoekers, kunnen we het leven van aanvallers moeilijker maken en het maatschappelijk middenveld helpen verantwoordelijkheid te zoeken wanneer hun apparaten op onrechtmatige wijze het doelwit zijn van spyware en mobiele data-extractietools.”

Andere privacy- en beveiligingsfuncties die naar Android komen

Naast Inbraakregistratie heeft Google een reeks privacy- en beveiligingsverbeteringen aangekondigd, waaronder geverifieerde financiële oproepen en een nieuwe beveiligingsfunctie voor het spoofen van telefoongesprekken om aanvallen te bestrijden waarbij oplichters zich voordoen als banken om gebruikers te misleiden om gevoelige gegevens vrij te geven of geld over te maken.

Wanneer gebruikers een telefoontje ontvangen dat afkomstig lijkt te zijn van een deelnemende bank, vraagt ​​Android de geïnstalleerde app voor online bankieren om te bevestigen of ze daadwerkelijk proberen de klant te bereiken. Als de app bevestigt dat dit niet het geval is, wordt het gesprek automatisch door het systeem beëindigd.

“Uw bank of financiële instelling kan nummers ook aanwijzen als alleen inkomend, wat betekent dat ze deze nooit gebruiken om klanten te bellen”, aldus Google. “Inkomende oproepen van deze nummers worden direct beëindigd.” De functie zal naar verwachting de komende weken live gaan op Android 11+ apparaten met Revolut, Itaú en Nubank, voordat deze later dit jaar naar meer banken wordt uitgebreid.

Andere opmerkelijke veranderingen vindt u hieronder:

  • Uitbreiding van Live Threat Detection om waarschuwingen te geven over verdacht app-gedrag, inclusief het doorsturen van sms-berichten en toegankelijkheidsoverlays die doorgaans worden gebruikt door Android-banktrojans om inloggegevens te stelen.
  • Evalueren van gedownloade APK-bestanden via Chrome op Android op bekende malware wanneer Safe Browsing is ingeschakeld voordat het wordt geïnstalleerd.
  • Toegang tot de API voor toegankelijkheidsservices verwijderen voor alle apps die niet zijn gelabeld als toegankelijkheidstools.
  • Apparaat-naar-apparaat-ontgrendeling en Chrome WebGPU-ondersteuning uitschakelen.
  • Oplichtingsdetectie toegevoegd voor chatmeldingen.
  • Verbetering van de functie Markeren als verloren van Find Hub met de mogelijkheid om een ​​telefoon te vergrendelen met biometrische authenticatie, waardoor dieven het volgen van apparaten niet kunnen uitschakelen als een apparaat als verloren wordt gemarkeerd. Als u Markeren als verloren activeert, worden ook extra beveiligingen ingeschakeld, zoals het verbergen van Snelle instellingen en het uitschakelen van nieuwe Wi-Fi- en Bluetooth-verbindingen.
  • Het verminderen van het aantal keren dat een derde partij met fysieke toegang tot een apparaat de pincode of het wachtwoord kan raden, naast het implementeren van langere wachttijden tussen mislukte pogingen.
  • Apparaatherstel verbeteren door het IMEI-nummer van een apparaat toegankelijk te maken via het vergrendelscherm op apparaten met Android 12 of hoger.
  • Betere privacycontroles waarmee gebruikers hun precieze locatie tijdelijk kunnen delen voor specifieke taken terwijl een specifieke app open is, en toegang geven tot specifieke contacten met een app van derden, in plaats van het hele adresboek te delen.
  • Introductie van AISeal met pKVM voor door hardware ondersteunde isolatie op het apparaat van kunstmatige intelligentie (AI)-gerelateerde gegevensverwerking.
  • Uitbreiding van binaire transparantie in Android om integriteit te garanderen door verificatie van officiële builds en een openbaar grootboek voor authentieke Google-apps en fundamentele GMS API’s.
  • Het verbergen van eenmalige sms-wachtwoorden (OTP’s) voor de meeste apps gedurende drie uur om OTP-diefstal te blokkeren door kwaadwillende apps die de sms-toestemming hebben gekregen.
  • Dit geeft providers de mogelijkheid om 2G standaard uit te schakelen om klanten te beschermen tegen kwetsbaarheden in de oudere technologie.
  • Verbetering van de gegevensbescherming door post-kwantumcryptografie te introduceren ter bescherming tegen toekomstige bedreigingen.
  • Met expliciete gebruikersopties voor het aan- en afmelden van volledige functies, beveiligingsmaatregelen en transparantie bij het gebruik van Gemini op Android.

“Door de bescherming tegen bankfraude te verbeteren en krachtige bescherming zoals Live Threat Detection en Android Advanced Protection uit te breiden, zorgen we ervoor dat Android het veiligste platform blijft”, zegt Eugene Liderman, directeur Android-beveiliging en privacy.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

OpenAI lanceert Daybreak voor AI-aangedreven detectie van kwetsbaarheden en patchvalidatie

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]