La lotta agli spyware su dispositivi mobili fa un passo avanti piuttosto significativo. Google ha presentato una funzione di sicurezza pensata appositamente per Android che si chiama Intrusion Logging e punta a fare qualcosa che fino a oggi era complicatissimo: rintracciare le impronte lasciate da software spia avanzati e attività forensi sugli smartphone. Il tempismo non è casuale. Negli ultimi anni, campagne di sorveglianza digitale sempre più aggressive hanno preso di mira giornalisti, attivisti e oppositori politici attraverso spyware commerciali come Pegasus di NSO Group e Predator, capaci di sfruttare vulnerabilità zero-click, cioè falle che non richiedono nemmeno un tocco da parte della vittima per essere attivate.
Vale la pena ricordare il contesto. Apple aveva già reagito nel 2022 con la sua Modalità di isolamento, e Google aveva seguito nel 2025 con Advanced Protection Mode. Intrusion Logging si inserisce in questo percorso aggiungendo un livello investigativo che prima mancava del tutto sulla piattaforma Android.
Come funziona Intrusion Logging e perché cambia le cose
Il meccanismo è abbastanza elegante nella sua logica. La funzione genera registri di sicurezza avanzati direttamente sullo smartphone. Questi log vengono raccolti una volta al giorno e caricati in forma cifrata sull’account Google dell’utente tramite cifratura end-to-end, il che significa che nemmeno Google può leggerli. Il sistema tiene traccia di eventi che, dal punto di vista delle indagini forensi, sono considerati particolarmente sensibili: lo sblocco del dispositivo, l’installazione o la rimozione di app, le connessioni verso server esterni, l’utilizzo di Android Debug Bridge e perfino i tentativi di cancellazione dei log stessi.
Ed è proprio quest’ultimo dettaglio a rendere il tutto particolarmente interessante. Molti spyware moderni sono progettati per eliminare automaticamente le tracce locali dopo aver infettato un telefono. Conservare una copia cifrata dei registri nel cloud rende molto più difficile, per chi attacca, nascondere completamente le proprie mosse. Amnesty International, che ha collaborato con Google nello sviluppo della funzione, ha sottolineato come Android soffrisse da anni di una scarsità strutturale di log persistenti utili alle indagini. A differenza di iOS, molti eventi di sistema venivano sovrascritti rapidamente, e questo rendeva spesso impossibile stabilire con certezza se un dispositivo fosse stato compromesso.
Google collega direttamente Intrusion Logging agli attacchi condotti tramite spyware governativi. Esiste un caso documentato in Serbia in cui le autorità avrebbero usato il software Cellebrite per sbloccare un dispositivo Android e installare successivamente uno spyware persistente. Una volta compromesso, un telefono può essere usato per acquisire messaggi cifrati, posizione GPS, accesso al microfono e alla fotocamera, oltre ai contenuti delle applicazioni. Ricostruire una timeline dell’attacco diventa quindi un passaggio cruciale.
Disponibilità e qualche dubbio sulla privacy
Per ora la funzione richiede uno smartphone Pixel aggiornato ad Android 16 con il pacchetto di sicurezza di dicembre 2026 e un account Google associato. Non si attiva da sola: bisogna abilitare manualmente Advanced Protection Mode, che tra le altre cose limita le connessioni USB, le installazioni rischiose e alcune funzioni considerate vulnerabili. Google prevede di estendere il supporto ad altri produttori Android nei prossimi mesi.
La nuova architettura introduce però interrogativi che non si possono ignorare. I log includono cronologia delle connessioni, accessi di rete e attività applicative potenzialmente sensibili. Google sostiene che i dati restino accessibili solo all’utente e possano essere condivisi volontariamente con ricercatori in caso di sospetta compromissione. Alcuni esperti evidenziano tuttavia che un archivio così dettagliato delle attività del dispositivo potrebbe diventare, a sua volta, un obiettivo attraente per attaccanti sofisticati.
