C’è una fetta di popolazione mondiale per cui lo smartphone rappresenta qualcosa di molto diverso da un semplice dispositivo quotidiano. Attivisti, giornalisti, dissidenti, difensori dei diritti umani: per tutte queste persone il telefono può diventare una prova a carico, una porta che governi ostili provano a forzare con strumenti creati da aziende come Cellebrite. Ed è proprio pensando a loro che Google ha sviluppato Intrusion Logging, una funzione integrata in Android che promette di cambiare le regole del gioco nella rilevazione delle intrusioni.
Fino a oggi, analizzare un telefono Android dopo un sospetto attacco spyware era un esercizio frustrante. I log di sistema esistevano, certo, ma venivano sovrascritti rapidamente, lasciando pochissimo materiale utile ai ricercatori di sicurezza. Intrusion Logging cambia approccio: genera un registro dedicato, una sorta di scatola nera pensata fin dall’inizio per documentare in modo sistematico gli eventi sospetti. I log vengono creati una volta al giorno, cifrati e salvati nel cloud sull’account Google dell’utente. La scelta di non conservarli sul dispositivo è tutt’altro che banale: uno spyware abbastanza sofisticato potrebbe semplicemente cancellarli. Spostandoli in remoto, in forma cifrata, restano al sicuro anche nel caso in cui qualcuno sia già entrato nel telefono. Dettaglio fondamentale: nemmeno Google può accedere a quei log. Solo chi possiede l’account ha la chiave per decifrarli e, eventualmente, condividerli con esperti di fiducia.
Ma cosa registra, nel concreto, Intrusion Logging? Praticamente tutto quello che serve a chi indaga su un attacco: quando il telefono viene sbloccato, quando le app vengono installate o rimosse, quali siti web e server il dispositivo ha contattato, se qualcuno ha collegato il telefono ad Android Debug Bridge (il protocollo che permette a un computer o a uno strumento forense di interfacciarsi con un dispositivo Android). E, aspetto davvero cruciale, se qualcuno ha tentato di cancellare i log stessi, perché un tentativo di cancellazione è già di per sé un indizio pesante.
La collaborazione con Amnesty International e i limiti ancora presenti
La parte più interessante della storia riguarda il modo in cui questa funzione è nata. Intrusion Logging è stato sviluppato in collaborazione con Amnesty International. Donncha Ó Cearbhaill, a capo del Security Lab di Amnesty e veterano di decine di indagini sugli abusi di spyware nel mondo, ha spiegato quanto i limiti tecnici di Android avessero reso complicata l’analisi dei log di sistema. Per anni, gli attacchi noti contro Android sono risultati molto più difficili da rilevare rispetto a quelli contro iPhone. Un problema enorme, se si considera quante delle persone più a rischio nel mondo usano proprio dispositivi Android.
Detto questo, la funzione porta con sé alcune limitazioni importanti. Per attivarla serve aver abilitato anche la Modalità avanzata di protezione di Android, lanciata da Google l’anno scorso e pensata specificamente per chi rischia attacchi mirati. Intrusion Logging richiede inoltre la versione più recente del sistema operativo, funziona soltanto sui dispositivi Pixel prodotti direttamente da Google e necessita di un account Google collegato. Un’altra questione delicata riguarda la natura stessa dei dati raccolti: tra le informazioni registrate ci sono la cronologia di navigazione e le connessioni di rete. Chi è bersaglio di sorveglianza statale potrebbe non sentirsi a proprio agio nel condividere questi dettagli, nemmeno con i ricercatori che stanno indagando sul caso. È un compromesso inevitabile: per documentare un attacco serve raccogliere dati sensibili, e la fiducia nella catena di custodia diventa decisiva.
Il confronto con Apple e la disponibilità della funzione
La Modalità avanzata di protezione di Android richiama da vicino il Lockdown Mode di Apple, lanciato da Cupertino qualche anno fa con obiettivi molto simili. La modalità Apple gode già di una solida reputazione: lo stesso colosso di Cupertino ha dichiarato a marzo di non aver mai rilevato un attacco riuscito contro utenti che avessero attivato il Lockdown Mode. Nel 2023 i ricercatori del Citizen Lab avevano documentato come la funzione avesse bloccato attivamente un tentativo di infezione tramite lo spyware Pegasus di NSO Group. Per Google, allinearsi a quel livello di protezione e aggiungere uno strumento forense nativo, cosa che neppure Apple offre pubblicamente, significa colmare un divario che pesava da troppo tempo.
Google aveva presentato Intrusion Logging oltre un anno fa, ma la funzione era rimasta in attesa di essere completata. Il rilascio è partito adesso, su tutti i dispositivi che girano sull’aggiornamento di dicembre di Android 16 e successivi. Amnesty International ha pubblicato istruzioni dettagliate su come scaricare i log nel caso in cui un utente sospetti di essere stato preso di mira da uno spyware oppure abbia ricevuto una notifica di minaccia dalle big tech. Apple, Google e Meta inviano da anni queste notifiche agli utenti che ritengono possano essere vittime di attacchi statali, una rete di allerta che secondo i ricercatori del settore è stata cruciale per smascherare casi concreti di abuso.
