Google 为 Android Pixel 设备推出入侵日志记录功能

根据 TechCrunch 的说法，Google 正在推出入侵日志（Intrusion Logging），这是一项 Advanced Protection Mode（高级防护模式）中的可选 Android 功能，会记录安全事件，以帮助研究人员调查手机上的间谍软件和取证设备攻击。该功能适用于运行搭载 16 December 更新的 Android 设备及更高版本的设备，但目前需要开启 Advanced Protection Mode、登录的 Google 账号以及一台 Google Pixel 设备。

入侵日志如何工作

日志每天生成，并以加密形式存储在用户的 Google 账号中。根据 Google 的说法，该功能可以记录应用安装、网站和服务器连接、Android Debug Bridge（Android 调试桥）访问、手机解锁，以及尝试删除记录。Amnesty International（国际特赦组织）帮助开发了该功能。

补足 Android 取证方面的漏洞

入侵日志旨在应对 Android 安全研究中的一项重大限制。Android 的技术约束在历史上使得复杂的间谍软件攻击更难被稳定地可靠检测，而相比之下 iOS（苹果的移动操作系统）更容易做到。在该功能推出之前，研究人员依赖的系统日志并非为入侵检测而构建，而且这些记录往往会被覆盖，从而抹去攻击迹象。

该系统旨在记录来自政府级间谍软件以及警方法证工具（例如数字取证公司 Cellebrite）中的攻击。Cellebrite 的软件可帮助执法人员解锁设备并提取数据。此前没有任何手机制造商推出过专门为帮助安全研究人员审查这些针对性间谍软件攻击而构建的功能。

更广泛的 Android 安全背景

入侵日志属于更全面的 Android 安全大改造的一部分，内容包括更强的出厂重置保护（Factory Reset Protection），从而让被盗手机更难被再次使用；以及即将推出的本地网络保护（Local Network Protection）权限模型，该模型将允许人们控制哪些应用能够访问同一 Wi-Fi 网络上的设备。

Google 将入侵日志置于 Advanced Protection Mode 内，该模式旨在对抗政府间谍软件和警方法证设备。该做法有别于苹果的策略：苹果提供锁定模式（Lockdown Mode），这是一项安全设置，用于限制部分手机功能，以减少暴露于攻击的风险。锁定模式旨在缩小攻击面，而入侵日志则是在事件发生后为取证工作提供更详细的加密记录——这一能力是 Android 研究人员长期难以稳定获取的。