Долгое время мобильное устройство в расследованиях оставалось «черным ящиком»: логов нет, либо они перезаписаны, либо недоступны без аппаратного извлечения. И вот Google впервые встраивает инструмент, меняющий правила.
Функция Intrusion Logging в Advanced Protection Mode для Pixel (Android 16+) формирует зашифрованный журнал событий безопасности и сразу отправляет его в облако владельца. Сквозное шифрование: Google не видит содержимое, а шпионское ПО на телефоне не может удалить логи с сервера. Это критично — улики больше не живут только на устройстве.
Журнал фиксирует именно те артефакты, которые я первым делом проверяю при осмотре подозрительного аппарата: разблокировка экрана (время и количество), подключения через ADB, установка/удаление приложений, сетевые соединения. Если жертву принудили разблокировать телефон, подключили Cellebrite или залили троян — всё останется в логах. Защищенных от подделки и физически неуязвимых для злоумышленника.
Для практика это тектонический сдвиг. Раньше подобную хронику собирали постфактум, с допущениями, требовался физический доступ и root. Теперь производитель дает пользователю персональный «черный ящик» расследователя. Нападающим придется перестраивать тактики: любое действие может быть запротоколировано.
Ложка дегтя в том, что функция работает только на Pixel с Android 16, нужна привязка к Google-аккаунту, и ее надо активировать заранее. Как с видеорегистратором — включать до аварии, а не после. И боюсь, большинство вспомнит об этом слишком поздно.
