Android, güvenlik araştırmacılarının casus yazılım saldırılarını incelemelerine yardımcı olmayı amaçlayan yeni bir opt-in özelliği olan “İhlal Kaydı”nı kullanıma sunuyor.
Bu özellik, geçen yıl piyasaya sürülen Android’in Gelişmiş Koruma Modunun bir parçası olarak tanıtılıyor. Gelişmiş Koruma Modu, cihazın hacklenmesini zorlaştırmak amacıyla belirli özellikleri etkinleştiren, opt-in olan özel bir güvenlik modudur. Bu mod, hükümetlerin casus yazılım saldırılarına ve bir kişinin telefonundan veri çıkarmaya çalışan polis adli cihazlarına karşı önlem almak için tasarlanmıştır.
İki tür saldırı birleştirilebilir. Belgeye geçmiş bir olayda, Sırbistan’daki yetkililer, bir cihazı açmak için Cellebrite tarafından üretilen adli bir aracı kullandı ve ardından hedefi izlemeye devam etmek için casus yazılım yükledi.
İhlal Kaydı’nın sunulması, bir telefon üreticisinin güvenlik araştırmacılarına casus yazılım saldırılarını incelemeleri için yardımcı olmayı amaçlayan bir özellik sunmasıyla gerçekleşiyor. Android’in İhlal Kaydı, yazılımda bir sorun çıktığında hataları kaydeden yeni bir günlük oluşturarak şüpheli casus yazılım saldırıları hakkında daha fazla görünürlük sağlıyor.
Amnesty International, bu özelliğin geliştirilmesi için Google ile iş birliği yaptı ve İhlal Kaydı’nı “Android cihazlarda mevcut olan adli verilerin miktarını ve kalitesinde temel bir değişim” olarak nitelendirdi.
“Şimdiye kadar, adli analiz, ihlal tespiti için tasarlanmayan günlüklerle sınırlıydı,” Amnesty, İhlal Kaydı’nın nasıl çalıştığını detaylı bir şekilde açıklayan bir blog gönderisinde yazdı. Bu da araştırmacılar için daha önceki günlüklerin pek faydalı olmadığı anlamına geliyordu çünkü bu günlükler cihazda uzun süre kalmıyor ve sık sık üzerine yazılıyordu, bu da potansiyel saldırı kanıtlarını etkili bir şekilde silmiş oluyordu.
Amnesty’nin Güvenlik Laboratuvarı’nın başı Donncha Ó Cearbhaill, Android’in teknik sınırlarının “sistem günlüklerini ve dosyalarını derinlemesine analiz etmeyi zorlaştırdığını, iOS’a kıyasla” söyledi.
“Bu sınırlar, Android’e karşı bilinen saldırıları güvenilir bir şekilde tespit etme olağını ortadan kaldırıyordu,” dedi Ó Cearbhaill, yıllarca dünya çapında casus yazılım suistimalleri üzerine sayısız araştırma yaptığını belirterek.
İhlal Kaydı ile casus yazılım saldırılarını tespit etme yeteneği gelişmelidir. Google, bu özelliği bir yıl önce duyurdu, fakat şirket bunu sadece şimdi dağıtmaya başlıyor. Salı günü yayımlanan bir blogda, Google İhlal Kaydı’nın “şu anda Android 16 Aralık güncellemesi ve daha yenisini çalıştıran tüm cihazlara dağıtıldığını” belirtti.
İhlal Kaydı’nın Çalışma Prensibi
İhlal Kaydı, güvenlik ve potansiyel ihlallere ilişkin olayları kaydeder. Özellik, günlükleri günde bir kez oluşturur ve şifreli olarak kullanıcıların Google hesabında bulut ortamında saklar. Günlüklerin buluta yüklenmesi, potansiyel olarak casus yazılımın bir cihaz ihlali kanıtını silmesini önler. Günlükler ayrıca sadece kullanıcının erişip paylaşabileceği şekilde şifrelenmiştir; bu nedenle Google bu günlüklere erişemez.
İhlal Kaydı’nın takip ettiği olaylar arasında telefonun ne zaman açıldığı, hangi uygulamaların yüklendiği veya kaldırıldığı, telefonu hangi web siteleri ve sunucularla bağlantı kurduğu, Android Debug Bridge adlı bir aracın (bir adli aracın bir Android cihaza bağlanması gibi) kullanılıp kullanılmadığı ve bu olaylarla ilgili günlüğün silinmeye çalışıldığı gibi olaylar yer alır. Bu durum, bir saldırının kanıtını gizlemeye yönelik bir girişim olabileceğini gösterir.
Casus yazılım saldırısı durumunda, bu günlükler araştırmacılara ne zaman ve nasıl yetkililerin birisinin cihazına saldırdığı veya zorla açıp bir adli araca bağladıkları hakkında bilgi sağlayabilir. Ayrıca, bir telefonun kötü niyetli bir web sitesine bağlanıp bağlanmadığını veya telefonun verilerini çıkarmaya yönelik sunucuları ziyaret edip etmediğini belirleyebilir.
Ihlal Kaydı ileri bir adım olmasına rağmen bazı sınırlamalara sahiptir. Şu anda, Gelişmiş Koruma Modu’nu etkinleştirmekle birlikte, bu özellik yalnızca Android’in en son yazılım sürümünde bulunmakta ve sadece Google tarafından üretilen Pixel cihazlarında mevcuttur. Ayrıca cihazın bir Google hesabıyla bağlantılı olması gerekmektedir. İhlal Kaydı, kullanıcıların adli araştırmacılarla paylaşmak konusunda tedirgin olabileceği tarayıcı geçmişi ve bağlantı kayıtlarını da tutar.
Google, Gelişmiş Koruma Modu ve İhlal Kaydı’nın casus yazılım ve adli cihazlardan saldırı riski altında olabileceğini düşünen insanlar için tasarlandığını, bu gruba insan hakları savunucuları, aktivistler, gazeteciler ve muhaliflerin dâhil olduğunu belirtiyor. Gelişmiş Koruma Modu, hedef kullanıcılar için tasarlanmış olan Apple cihazlardaki Kilitli Mod’a benzer.
Mart ayında Apple, Kilitli Modu etkinleştirilmiş kullanıcılara karşı başarılı bir saldırı tespit edemediğini açıkladı. 2023 yılında Citizen Lab araştırmacıları, Kilitli Mod’un hedefe NSO’nun casus yazılımını bulaştırma girişimini engellediğini bildirdi.
Amnesty, eğer kullanıcı casus yazılıma maruz kalmışsa günlükleri indirmek için adım adım talimatları içeren bir blog gönderisi yayımladı. Apple, Google ve Meta, kullanıcılarına yıllardır tehdit bildirimleri göndermekte ve araştırmacılar bunun ihlalleri bulma ve açığa çıkarma konusunda kritik olduğunu belirtiyor.
