新功能助力安全研究，抵御间谍软件威胁

Google正逐步在安卓系统中推出一项可选新功能，名为“入侵日志”（Intrusion Logging），该功能旨在协助安全研究人员深入调查间谍软件攻击事件，为揭露此类威胁提供关键支持。

高级保护模式的延伸：强化设备安全防线

这一新功能属于Google去年推出的“高级保护模式”的一部分。该模式为用户自愿启用的特殊安全设置，通过启用特定功能，显著提升设备抵御黑客攻击的能力。高级保护模式主要针对两类威胁：政府级间谍软件攻击，以及执法部门用于提取手机数据的取证设备。

现实威胁案例：间谍软件与取证工具的联合攻击

这两类攻击常相互结合。例如，在塞尔维亚的一起 documented 案例中，当局先使用Cellebrite公司开发的执法取证工具解锁设备，随后安装间谍软件以持续监控目标。这种“先解锁后植入”的攻击手段凸显了当前安全环境的复杂性。

Intrusion Logging：安全研究的突破性工具

入侵日志功能的推出，是手机制造商首次专门为帮助安全研究人员调查间谍软件攻击而设计。该功能通过创建新型日志系统，在软件出现异常时记录错误并收集证据，从而为疑似间谍软件攻击提供清晰的可见性。

合作与评价：Amnesty International的认可

Amnesty International（大赦国际）作为该功能的合作开发者，将其称为“安卓设备取证数据数量与质量上的根本性转变”。Amnesty在博客中指出，此前取证分析依赖的日志并非为入侵检测设计，存在两大缺陷：日志留存时间短且易被覆盖，导致潜在攻击证据易被抹除，对研究人员参考价值有限。

Amnesty安全实验室负责人Donncha Ó Cearbhaill向TechCrunch表示，安卓的技术限制曾使其难以深度分析系统日志和文件中的妥协迹象，这与iOS系统形成对比，导致“我们无法可靠检测已知的安卓间谍软件攻击”。

功能运作机制：如何记录与保护证据

入侵日志通过以下方式工作：每日收集与安全和潜在入侵相关的事件，并将日志加密存储在用户的Google账户云端。云端存储可防止间谍软件删除设备上的攻击证据，而加密设计确保只有用户本人能访问和分享日志，Google也无法获取。

• 记录设备解锁时间
• 应用安装与卸载记录
• 手机连接的网站和服务器信息
• Android Debug Bridge（ADB）工具的连接情况（如Cellebrite等取证工具的使用）
• 尝试删除相关日志的行为（可能暗示攻击者试图掩盖证据）

在间谍软件攻击事件中，这些日志可帮助调查人员还原攻击过程：例如，当局如何强制解锁设备、连接取证工具，或通过恶意网站安装间谍软件。日志也能揭示手机是否访问过专门用于数据提取的服务器。

部署进展：逐步向用户开放

Google于一年前宣布该功能，目前已开始向运行安卓16 December更新及后续版本的设备推送。这一功能标志着安卓在对抗间谍软件攻击方面迈出了重要一步，为安全研究人员提供了更可靠的取证工具。

关注微信号：智享开源 ，可及时获取信息

原文链接：https://techcrunch.com/2026/05/12/google-launches-new-android-security-feature-to-help-uncover-spyware-attacks/