Vào thứ Ba, Google đã ra mắt một tính năng Android mới tùy chọn có tên là Intrusion Logging nhằm lưu trữ các nhật ký pháp y (forensic logs) để phân tích tốt hơn các cuộc tấn công mã độc gián điệp (spyware) tinh vi.
Tính năng Intrusion Logging, có sẵn như một phần của Advanced Protection Mode, cho phép "ghi nhật ký pháp y liên tục và bảo vệ quyền riêng tư để phục vụ việc điều tra các thiết bị trong trường hợp nghi ngờ bị xâm nhập," công ty cho biết.
Google cho biết thêm, tính năng này được phát triển với sự hợp tác của Tổ chức Ân xá Quốc tế (Amnesty International) và Tổ chức Phóng viên Không Biên giới (Reporters Without Borders). Theo một tài liệu hướng dẫn được Google chia sẻ, tính năng này ghi lại các hoạt động của thiết bị và mạng hàng ngày, bao gồm thông tin về hành vi của thiết bị và các ứng dụng khác nhau chạy trên đó.
Các loại hoạt động được ghi lại bao gồm:
- Hoạt động của ứng dụng (ví dụ: khi một tiến trình ứng dụng bắt đầu)
- Cài đặt, cập nhật và gỡ bỏ ứng dụng
- Các kết nối mạng như bật/tắt Wi-Fi, Bluetooth, truy vấn DNS và địa chỉ IP
- Truyền tệp đến hoặc từ thiết bị qua cổng USB
- Các thay đổi đối với chứng chỉ hệ thống (system certificates)
- Khi thiết bị được khóa hoặc mở khóa
Google cũng lưu ý rằng dữ liệu nhật ký được mã hóa đầu cuối (end-to-end encrypted) bởi thiết bị và được lưu trữ trên máy chủ của Google. Các khóa mã hóa được bảo vệ bằng mật khẩu Tài khoản Google và thông tin đăng nhập khóa màn hình, nghĩa là không bên thứ ba nào, kể cả chính Google, có thể truy cập nhật ký ngoại trừ chủ sở hữu thiết bị.
"Bằng cách lưu trữ dữ liệu trên một máy chủ an toàn, ngay cả phần mềm độc hại được cài đặt trên điện thoại thông minh cũng không thể truy cập, xóa hoặc thao túng dữ liệu đó," Tổ chức Phóng viên Không Biên giới cho biết. "Mã hóa đầu cuối cũng đảm bảo rằng cả Google và các cơ quan chính phủ đều không thể truy cập dữ liệu. Chức năng Intrusion Logging đặc biệt cho phép phát hiện và phân tích pháp y ngay cả với các cuộc tấn công cực kỳ tinh vi và trước đây khó phát hiện."
Các nhật ký được mã hóa sẽ được lưu trữ trong thời gian 12 tháng, sau đó chúng sẽ tự động được xóa sạch. Khi Intrusion Logging được bật, người dùng không thể xóa nhật ký trước thời hạn 12 tháng, ngay cả khi tài khoản bị đóng hoặc tính năng bị tắt. Người dùng có tùy chọn tải xuống nhật ký ngoại tuyến nếu muốn lưu giữ chúng trong thời gian dài hơn.
Tuy nhiên, Google nhấn mạnh rằng một khi nhật ký được tải xuống và giải mã, người dùng phải chịu trách nhiệm về tính bảo mật của chúng. "Trong một số môi trường pháp lý hoặc quy định nhất định, bạn có thể được yêu cầu theo luật định phải cung cấp quyền truy cập vào dữ liệu đã giải mã hoặc thông tin bảo mật của mình," công ty lưu ý.
Một điều khác cần lưu ý khi bật tính năng này là nó cũng ghi lại các sự kiện mạng được tạo ra trong quá trình duyệt web ở chế độ Chrome Incognito, chẳng hạn như truy vấn DNS và kết nối IP, vì nó hoạt động ở cấp độ hệ thống và không phân biệt giữa các chế độ duyệt web. Nói cách khác, bất kỳ ai có quyền truy cập vào các nhật ký đã giải mã đều có thể biết những trang web nào đã được truy cập, nhưng không thể suy ra các trang cụ thể trên các trang web đó.
Động lực đằng sau Intrusion Logging là những cá nhân có rủi ro cao, những người nghi ngờ mình có thể bị nhắm mục tiêu bởi các công cụ giám sát tiên tiến do đặc thù công việc hoặc danh tính, có thể chia sẻ nhật ký hoạt động với các chuyên gia an ninh đáng tin cậy để kiểm tra chi tiết.
Nhật ký có thể được tải xuống bằng cách điều hướng đến ứng dụng Settings (Cài đặt) -> Security & privacy (An ninh & quyền riêng tư) -> Advanced Protection (Bảo vệ nâng cao) -> Intrusion Logging -> Access logs. Tính năng này hiện đang được triển khai cho tất cả các thiết bị chạy bản cập nhật Android 16 tháng 12 trở lên.
"Với Intrusion Logging, Google là nhà cung cấp lớn đầu tiên chủ động giải quyết thách thức trong việc phát hiện các cuộc tấn công tiên tiến trên thiết bị," Donncha Ó Cearbhaill, người đứng đầu Security Lab tại Amnesty International, cho biết. "Bằng cách cung cấp nhiều dữ liệu pháp y hơn cho các nhà nghiên cứu, chúng ta có thể khiến cuộc sống của những kẻ tấn công trở nên khó khăn hơn và giúp xã hội dân sự tìm kiếm trách nhiệm giải trình khi thiết bị của họ bị nhắm mục tiêu trái phép bởi spyware và các công cụ trích xuất dữ liệu di động."
Các tính năng Bảo mật và Quyền riêng tư khác sắp có trên Android
Bên cạnh Intrusion Logging, Google đã công bố hàng loạt cải tiến về quyền riêng tư và bảo mật, bao gồm xác minh cuộc gọi tài chính (verified financial calls), một tính năng chống giả mạo cuộc gọi mới để chống lại các cuộc tấn công mà kẻ lừa đảo giả danh ngân hàng để lừa người dùng tiết lộ dữ liệu nhạy cảm hoặc chuyển tiền.
Khi người dùng nhận được cuộc gọi có vẻ như từ một ngân hàng tham gia hệ thống, Android sẽ yêu cầu ứng dụng ngân hàng trực tuyến đã cài đặt xác nhận xem họ có thực sự đang cố gắng liên lạc với khách hàng hay không. Nếu ứng dụng xác nhận không có cuộc gọi nào như vậy, hệ thống sẽ tự động chấm dứt cuộc gọi.
"Ngân hàng hoặc tổ chức tài chính của bạn cũng có thể chỉ định các số điện thoại chỉ dành cho chiều gọi đến (inbound-only), nghĩa là họ không bao giờ sử dụng chúng để gọi cho khách hàng," Google cho biết. "Các cuộc gọi đến từ những số này sẽ được kết thúc trực tiếp." Tính năng này dự kiến sẽ ra mắt trên các thiết bị Android 11+ với Revolut, Itaú và Nubank trong những tuần tới, trước khi mở rộng sang nhiều ngân hàng khác vào cuối năm nay.
Các thay đổi đáng chú ý khác bao gồm:
- Mở rộng Live Threat Detection để đưa ra cảnh báo về hành vi ứng dụng đáng ngờ, bao gồm chuyển tiếp SMS và accessibility overlays (lớp phủ hỗ trợ tiếp cận) thường được các trojan ngân hàng Android sử dụng để đánh cắp thông tin đăng nhập.
- Đánh giá các tệp APK đã tải xuống qua Chrome trên Android để tìm mã độc đã biết khi Safe Browsing được bật trước khi cài đặt.
- Loại bỏ quyền truy cập vào accessibility services API từ tất cả các ứng dụng không được gắn nhãn là công cụ hỗ trợ tiếp cận.
- Vô hiệu hóa mở khóa từ thiết bị này sang thiết bị khác (device-to-device unlocking) và hỗ trợ Chrome WebGPU.
- Thêm tính năng phát hiện lừa đảo (scam detection) cho thông báo tin nhắn.
- Nâng cao tính năng Mark as lost của Find Hub với khả năng khóa điện thoại bằng xác thực sinh trắc học, ngăn chặn kẻ trộm tắt tính năng theo dõi thiết bị. Kích hoạt Mark as lost cũng bật các biện pháp bảo vệ bổ sung như ẩn Quick Settings và vô hiệu hóa các kết nối Wi-Fi và Bluetooth mới.
- Giảm số lần một bên thứ ba có quyền truy cập vật lý vào thiết bị có thể đoán mã PIN hoặc mật khẩu, đồng thời thực hiện thời gian chờ lâu hơn giữa các lần thử thất bại.
- Cải thiện khôi phục thiết bị bằng cách cho phép truy cập số IMEI của thiết bị thông qua màn hình khóa trên các thiết bị chạy Android 12 trở lên.
- Kiểm soát quyền riêng tư tốt hơn, cho phép người dùng chia sẻ vị trí chính xác tạm thời cho các tác vụ cụ thể và cung cấp quyền truy cập vào các liên hệ cụ thể cho ứng dụng bên thứ ba, thay vì chia sẻ toàn bộ danh bạ.
- Giới thiệu AISeal với pKVM để cách ly việc xử lý dữ liệu liên quan đến trí tuệ nhân tạo (AI) dựa trên phần cứng trên thiết bị.
- Mở rộng Binary Transparency trong Android để đảm bảo tính toàn vẹn thông qua việc xác minh các bản dựng chính thức và sổ cái công khai cho các ứng dụng Google xác thực và các GMS APIs nền tảng.
- Ẩn mật mã một lần (OTP) qua SMS khỏi hầu hết các ứng dụng trong ba giờ để chặn hành vi trộm OTP bởi các ứng dụng độc hại đã được cấp quyền SMS.
- Cho phép các nhà mạng vô hiệu hóa 2G theo mặc định để bảo vệ khách hàng khỏi các lỗ hổng công nghệ cũ.
- Tăng cường bảo vệ dữ liệu bằng cách giới thiệu post-quantum cryptography để bảo vệ trước các mối đe dọa trong tương lai.
- Kết hợp các kiểm soát người dùng rõ ràng để tham gia hoặc từ chối các tính năng, rào chắn bảo mật và tính minh bạch khi sử dụng Gemini trên Android.
"Bằng cách cải thiện khả năng bảo vệ chống lại các vụ lừa đảo ngân hàng và mở rộng các tính năng bảo vệ mạnh mẽ như Live Threat Detection và Android Advanced Protection, chúng tôi đang đảm bảo rằng Android vẫn là nền tảng an toàn nhất," Eugene Liderman, giám đốc an ninh và quyền riêng tư của Android, cho biết.
