Google تطلق ميزة أمان لكشف حالات التجسس على Android

تقوم Google بإطلاق ميزة اختيارية جديدة في Android تهدف إلى مساعدة الباحثين الأمنيين على التحقيق في هجمات برامج التجسس.
وتُسمى هذه الميزة “Intrusion Logging”، وهي جزء من وضع الحماية المتقدمة في Android (Advanced Protection Mode)، الذي أطلقته Google العام الماضي، وهو وضع أمان خاص اختياري يفعّل بعض الميزات بهدف جعل الجهاز أكثر صعوبة في الاختراق. وتم تصميم وضع الحماية المتقدمة لمواجهة هجمات برامج التجسس الحكومية وأدوات التحليل الجنائي التي تحاول استخراج البيانات من هاتف الشخص.
ويمكن أيضًا دمج هذين النوعين من الهجمات. ففي حالة موثقة في صربيا، استخدمت السلطات أداة جنائية تابعة لإنفاذ القانون من شركة Cellebrite لفتح جهاز، ثم قامت لاحقًا بتثبيت برنامج تجسس لمواصلة مراقبة الهدف.
ويُعد إطلاق Intrusion Logging أول مرة تقوم فيها شركة مصنّعة للهواتف بإطلاق ميزة بهدف مساعدة الباحثين الأمنيين على التحقيق في هجمات برامج التجسس. ولتحقيق ذلك، تنشئ الميزة نوعًا جديدًا من السجلات (logs) التي تسجل الأخطاء وتجمع الأدلة عند حدوث خلل في البرنامج، لتوفير رؤية أوضح حول هجمات برامج التجسس المشتبه بها.
وقالت منظمة Amnesty International، التي تعاونت مع Google لتطوير الميزة، إن Intrusion Logging يمثل “تحولًا جذريًا في كمية وجودة البيانات الجنائية المتاحة على أجهزة Android”.
وأضافت المنظمة: “حتى الآن، كان التحليل الجنائي يعتمد على سجلات لم تُصمم أصلًا لاكتشاف الاختراقات”، موضحة أن السجلات السابقة لم تكن مفيدة بما يكفي للباحثين لأنها لا تبقى على الجهاز لفترة طويلة وغالبًا ما يتم استبدالها، مما يؤدي إلى فقدان الأدلة المحتملة.
وقال دوناتشا أو تشيرفيال، رئيس مختبر الأمن في Amnesty International، إن القيود التقنية في Android “جعلت من الصعب تحليل سجلات النظام والملفات بعمق لاكتشاف علامات الاختراق، على عكس ما هو ممكن في iOS”.
وأضاف أن هذه القيود “أدت إلى عدم قدرتنا على اكتشاف هجمات معروفة ضد Android بشكل موثوق”.
ومن المتوقع أن تتحسن القدرة على اكتشاف هجمات برامج التجسس مع Intrusion Logging. وكانت Google قد أعلنت عن الميزة قبل عام، لكنها بدأت الآن فقط في طرحها. وقالت الشركة في منشور يوم الثلاثاء إن الميزة “تصل حاليًا إلى جميع الأجهزة التي تعمل بتحديث Android 16 لشهر ديسمبر وما بعده”.
كيف تعمل Intrusion Logging
تقوم Intrusion Logging بتسجيل الأحداث المتعلقة بالأمان ومحاولات التسلل المحتملة. في البداية، تقوم الميزة بإنشاء وجمع سجلات مرة واحدة يوميًا وتخزينها مشفرة داخل حساب المستخدم في السحابة.
إن رفع السجلات إلى السحابة قد يمنع برامج التجسس من حذف أدلة الاختراق. كما أن السجلات تكون مشفرة بحيث لا يستطيع الوصول إليها إلا المستخدم، ويمكنه مشاركتها فقط مع المحققين، بينما لا تستطيع Google الوصول إليها.
ومن بين الأحداث التي تتتبعها الميزة: وقت فتح الهاتف؛ التطبيقات التي تم تثبيتها أو إلغاء تثبيتها؛ المواقع والخوادم التي اتصل بها الهاتف؛ ما إذا كان شخص ما قد اتصل بأداة Android Debug Bridge، وهي أداة تسمح لجهاز كمبيوتر أو أداة جنائية مثل Cellebrite بالاتصال بجهاز Android؛ وما إذا كان هناك محاولة لحذف هذه السجلات، وهو ما قد يشير إلى محاولة إخفاء أدلة هجوم.
وفي حال حدوث هجوم ببرنامج تجسس، يمكن لهذه السجلات أن تساعد المحققين على فهم متى وكيف ربما قامت جهات ما باختراق الجهاز أو فتحه قسرًا أو توصيله بأداة تحليل جنائي، أو استخدامه لتثبيت برامج تجسس أو برامج تتبع. كما يمكنها تحديد ما إذا كان الهاتف قد اتصل بموقع خبيث يحاول اختراق الجهاز الزائر، أو وصل إلى خوادم مصممة لاستخراج البيانات من الهاتف.
ورغم أن هذه الميزة تمثل خطوة متقدمة، إلا أن لها بعض القيود. فهي تتطلب تفعيل وضع الحماية المتقدمة، وأحدث إصدار من Android، وهي متاحة فقط على أجهزة Pixel من Google حاليًا، ويجب أن يكون الجهاز مرتبطًا بحساب Google.
وتشير Google إلى أن وضع الحماية المتقدمة وIntrusion Logging موجهان للأشخاص الأكثر عرضة لهجمات برامج التجسس وأدوات التحليل الجنائي، مثل المدافعين عن حقوق الإنسان والصحفيين والنشطاء والمعارضين السياسيين. ويشبه هذا الوضع “Lockdown Mode” في أجهزة Apple، المصمم أيضًا للمستخدمين المعرضين للخطر.
وفي أحدث تصريح في مارس، قالت Apple إنها لم ترصد أي هجوم ناجح ضد مستخدمين مفعّل لديهم Lockdown Mode. وفي عام 2023، قال باحثون في Citizen Lab إن Lockdown Mode نجح فعليًا في منع محاولة إصابة هدف ببرنامج تجسس تابع لشركة NSO.
وأوضحت Amnesty في منشورها أيضًا تعليمات خطوة بخطوة حول كيفية تنزيل السجلات إذا اشتبه المستخدم بأنه مستهدف بهجوم تجسس أو تم تنبيهه بذلك. وقد قامت Apple وGoogle وMeta بإرسال إشعارات تهديد للمستخدمين منذ سنوات، وهي إشعارات يعتبرها الباحثون مهمة جدًا لاكتشاف وكشف حالات الاستهداف وسوء الاستخدام.
الخبر منقول ومترجم من TechCrunch.
المصدر