Google, Android işletim sistemine, casus yazılım saldırılarının araştırılmasına yardımcı olacak yeni bir isteğe bağlı güvenlik özelliği ekliyor.
Casus Yazılım Saldırılarına Karşı Yeni Bir Savunma Hattı: Intrusion Logging
Intrusion Logging adını taşıyan bu özellik, geçen yıl kullanıma sunulan ve cihazları hacklemeye karşı daha dirençli hale getirmeyi amaçlayan Android Gelişmiş Koruma Modu'nun bir parçası olarak sunuluyor. Gelişmiş Koruma Modu, özellikle devlet destekli casus yazılım saldırıları ve bir kişinin telefonundan veri çıkarmaya çalışan adli cihazlara karşı koruma sağlamak üzere tasarlandı. Bu iki saldırı türü, Sırbistan'da belgelenen bir vakada olduğu gibi birleştirilerek de kullanılabiliyor; yetkililer bir cihazı açmak için Cellebrite gibi bir adli araç kullandıktan sonra, hedefi izlemeye devam etmek amacıyla casus yazılım yükleyebiliyor.
Intrusion Logging'in piyasaya sürülmesi, bir telefon üreticisinin güvenlik araştırmacılarının casus yazılım saldırılarını araştırmasına yardımcı olmak amacıyla bir özellik sunmasının ilk örneği olma özelliğini taşıyor. Bu amaca ulaşmak için Android'in Intrusion Logging özelliği, yazılımla ilgili bir sorun olduğunda hata kaydı tutan ve kanıt toplayan yeni bir günlük türü oluşturarak, şüpheli casus yazılım saldırılarına karşı görünürlük sağlıyor.
Özelliğin geliştirilmesinde Google ile işbirliği yapan Amnesty International, Intrusion Logging'i "Android cihazlarda bulunan adli verilerin miktarında ve kalitesinde temel bir değişim" olarak nitelendirdi. Amnesty, blog yazısında, "Şimdiye kadar adli analizler, giriş tespiti için tasarlanmamış kayıtlara dayanıyordu" diyerek, önceki kayıtların cihazda uzun süre kalmaması ve genellikle üzerine yazılarak potansiyel saldırı kanıtlarını silmesi nedeniyle araştırmacılar için çok kullanışlı olmadığını belirtti.
Amnesty'nin Güvenlik Laboratuvarı başkanı Donncha Ó Cearbhaill, TechCrunch'a yaptığı açıklamada, Android'in teknik sınırlamalarının, iOS'un aksine, sistem günlüklerini ve dosyalarını derinlemesine analiz ederek uzlaşma belirtilerini tespit etmeyi zorlaştırdığını söyledi. Ó Cearbhaill, bu sınırlamaların, yıllardır dünya çapında casus yazılım istismarı vakalarını araştıran kendisinin, Android'e karşı bilinen saldırıları güvenilir bir şekilde tespit edememesine neden olduğunu ekledi.
Casus yazılım saldırılarını daha iyi tespit etme yeteneği, Intrusion Logging ile iyileştirilecek. Google özelliği bir yıl önce duyurmuş olsa da, şu anda kullanıma sunuyor. Google'ın Salı günkü blog yazısında belirttiği üzere, Intrusion Logging "şu anda Android 16 Aralık güncellemesi ve daha yeni sürümleri çalıştıran tüm cihazlara yayılıyor."
Intrusion Logging, güvenlik ve potansiyel girişlerle ilgili olayları yakalıyor. Özellik, günde bir kez günlükler oluşturup topluyor ve bunları kullanıcının buluttaki Google hesabına şifreli olarak saklıyor. Günlüklerin buluta yüklenmesi, casus yazılımların bir cihazın ele geçirilmesine ilişkin kanıtları silmesini potansiyel olarak engelliyor. Günlükler ayrıca yalnızca kullanıcının erişip araştırmacılarla paylaşabileceği şekilde şifreleniyor ve Google bu kayıtlara erişemiyor.
Intrusion Logging'in takip ettiği olaylar arasında telefonun ne zaman kilidinin açıldığı, uygulamaların ne zaman kurulup kaldırıldığı, telefonun hangi web siteleri ve sunucularla bağlantı kurduğu, bir bilgisayar veya Cellebrite gibi bir adli araç gibi bir cihazın Android cihazına bağlanmasına izin veren bir araç olan Android Debug Bridge'e birinin bağlanıp bağlanmadığı ve bu olaylarla ilgili günlükleri silme girişimi olup olmadığı yer alıyor. Bu tür girişimler, bir saldırının kanıtlarını gizleme çabasını gösterebilir.
Bir casus yazılım saldırısı durumunda, bu günlükler araştırmacıların, yetkililerin bir kişinin cihazını ne zaman ve nasıl hacklemiş veya zorla kilidini açmış olabileceğini ve bir adli araçla bağlamış olabileceğini veya casus yazılım veya takip yazılımı yüklemek için kullanmış olabileceğini anlamalarına yardımcı olabilir. Günlükler ayrıca bir telefonun bir noktada ziyaret eden cihazı hacklemeye çalışan kötü amaçlı bir web sitesiyle bağlantı kurup kurmadığını veya telefondan veri çıkarmak üzere tasarlanmış sunuculara erişip erişmediğini belirleyebilir.
Bu bir ileri adım olsa da, Intrusion Logging'in bazı sınırlamaları bulunuyor. Şu anda, Gelişmiş Koruma Modu'nu etkinleştirmenin yanı sıra, özellik Android'in en son yazılım sürümünü gerektiriyor, yalnızca Google tarafından üretilen Pixel cihazlar için mevcut ve cihazın bir Google hesabıyla ilişkilendirilmiş olması gerekiyor. Intrusion Logging, tarayıcı gezinme geçmişini ve bağlantıları kaydediyor; bu da kullanıcıların araştırmacılarla paylaşmaktan çekinebileceği bilgilerdir.
Google, Gelişmiş Koruma Modu ve Intrusion Logging'in, insan hakları savunucuları, aktivistler, gazeteciler ve muhalifler gibi casus yazılım ve adli cihazlarla yapılan saldırılara maruz kalma riski taşıdığını düşünen kişiler için olduğunu belirtiyor. Gelişmiş Koruma Modu, Apple cihazları için benzer şekilde risk altındaki kullanıcıları hedefleyen ve casus yazılımlara karşı etkili bir koruma yöntemi olarak görülen Kilit Modu'na benziyor. Mart ayında Apple, Kilit Modu etkinleştirilmiş kullanıcılara karşı başarılı bir saldırı tespit etmediğini bildirmişti. 2023 yılında Citizen Lab'dan güvenlik araştırmacıları, Kilit Modu'nun bir hedefi NSO'nun casus yazılımıyla enfekte etme girişimini aktif olarak engellediğini belirtmişti.
Uzman Analizi:Google'ın Intrusion Logging özelliği, Android ekosisteminde güvenlik ve gizlilik alanında önemli bir gelişme olarak öne çıkıyor. Özellikle risk altındaki kullanıcılar için tasarlanan bu araç, casus yazılım saldırılarının tespiti ve soruşturulması konusunda daha önce görülmemiş bir şeffaflık sunarak, dijital savunma mekanizmalarını güçlendiriyor.
