谷歌推出Android新安全功能助侦测间谍软件攻击
谷歌正在推出一项名为“入侵日志记录”(Intrusion Logging)的新功能,作为Android系统“高级保护模式”的一部分,旨在帮助安全研究人员调查间谍软件攻击。该功能是首次由手机制造商推出,专门用于支持对间谍软件攻击的调查。
“入侵日志记录”会每天创建并收集与安全事件相关的日志,包括设备解锁、应用安装与卸载、网络连接、是否连接Android Debug Bridge(ADB)调试工具,以及是否尝试删除日志等行为。这些日志将加密存储于用户的Google账户云端,防止被间谍软件清除,且仅用户本人可访问和共享,谷歌无法读取。
该功能目前仅适用于运行Android 16及以上版本的谷歌Pixel设备,并需开启“高级保护模式”。用户还需绑定Google账户。大赦国际(Amnesty International)参与了该功能的开发,称其为“安卓设备取证数据质量的根本性转变”,此前系统日志因设计缺陷常被覆盖,难以用于攻击分析。
大赦国际安全实验室负责人Donncha Ó Cearbhaill指出,安卓系统的技术限制长期阻碍深度日志分析,而iOS则相对容易。该功能将提升对已知攻击的检测能力。谷歌此前于一年前宣布该功能,现正式在符合标准的设备上推出。
该功能主要面向人权捍卫者、记者、活动人士等高风险人群。苹果的“锁屏模式”(Lockdown Mode)具有类似功能,谷歌称其与苹果模式目标一致。截至2026年3月,苹果称未发现启用锁屏模式用户遭遇成功攻击。2023年,Citizen Lab研究人员曾证实锁屏模式成功阻止NSO集团间谍软件感染。
大赦国际在其博客中提供了用户在怀疑遭受间谍软件攻击时下载日志的详细步骤。谷歌、苹果、Meta等公司多年来已向用户发送威胁通知,研究人员认为这对发现和揭露滥用案例至关重要。
编辑点评
谷歌推出“入侵日志记录”功能,标志着科技公司在对抗政府级间谍软件方面迈出了关键一步。该功能不仅填补了安卓系统在取证数据保留方面的长期短板,也体现了科技企业与人权组织协同应对数字监控的深化合作。在全球数字监控日益泛滥的背景下,尤其在塞尔维亚等国已出现执法机构结合Cellebrite等工具解锁设备并植入间谍软件的案例,此类技术手段对人权捍卫者、记者等高风险群体构成严重威胁。该功能的推出,有助于提升透明度与问责机制,使攻击行为更易被追溯与披露。
从国际影响看,该功能虽限于Pixel设备和特定系统版本,但其设计逻辑可被其他安卓厂商借鉴,有望推动行业标准演进。同时,其与苹果“锁屏模式”形成呼应,反映出全球科技巨头在数字安全领域的竞争与趋同。然而,该功能仍面临隐私权与安全权的平衡挑战,如浏览器历史和网络连接记录的共享可能引发用户顾虑,未来推广需在技术设计与用户信任之间取得平衡。
长远来看,此类功能可能成为数字人权基础设施的核心组成部分,推动各国政府更谨慎使用数字监控工具。若广泛采用,或可影响国际社会对“合法监控”边界的技术认知,甚至在联合国或人权理事会等平台引发新一轮关于数字隐私权的讨论。当前,数字安全已成为地缘政治与人权斗争的新战场,谷歌此举虽非颠覆性突破,却具备潜在的制度性影响。