Android introduce Intrusion Logging per contrastare gli spyware

Google ha introdotto una nuova funzione di sicurezza per Android con un obiettivo preciso: individuare tracce di spyware avanzati e attività forensi sui dispositivi mobili.

Si chiama Intrusion Logging e arriva in un periodo segnato da campagne di sorveglianza digitale sempre più aggressive. Negli ultimi anni spyware commerciali come Pegasus di NSO Group e Predator hanno colpito giornalisti, attivisti e oppositori politici sfruttando vulnerabilità zero-click.

Apple aveva risposto a questo contesto pericoloso nel 2022, con la sua Modalità di isolamento; Google aveva seguito nel 2025 con Advanced Protection Mode. Intrusion Logging aggiunge ora un livello investigativo ulteriore per la piattaforma Android.

Come funziona Intrusion Logging

La funzione crea registri di sicurezza avanzati direttamente sullo smartphone. I log vengono raccolti una volta al giorno e caricati in forma cifrata sull’account Google dell’utente tramite cifratura end-to-end: nemmeno Google può accedervi. Il sistema registra eventi considerati sensibili per le indagini forensi: sblocco del dispositivo, installazione o rimozione di app, connessioni verso server esterni, utilizzo di Android Debug Bridge e tentativi di cancellazione dei log stessi.

L’elemento più rilevante è proprio la copia remota. Molti spyware moderni eliminano automaticamente le tracce locali dopo l’infezione. Conservare registri cifrati nel cloud rende molto più difficile nascondere completamente un attacco riuscito. Amnesty International, che ha collaborato con Google allo sviluppo della funzione, ha sottolineato come Android soffra da anni di una scarsità strutturale di log persistenti utili alle indagini. A differenza di iOS, molti eventi di sistema vengono sovrascritti rapidamente, rendendo spesso impossibile stabilire con certezza se un dispositivo sia stato compromesso.

Google collega direttamente Intrusion Logging agli attacchi condotti tramite spyware governativi. TechCrunch cita un caso documentato in Serbia in cui le autorità avrebbero usato il software Cellebrite per sbloccare un dispositivo Android e installare successivamente uno spyware persistente. Una volta compromesso il telefono, un malware può acquisire messaggi cifrati, posizione GPS, accesso al microfono e alla fotocamera e contenuti delle applicazioni. Ricostruire una timeline dell’attacco diventa quindi un elemento cruciale nelle indagini.

Chi può usarla e cosa preoccupa

Al momento la funzione richiede uno smartphone Pixel aggiornato ad Android 16 con pacchetto di sicurezza di dicembre 2026 e un account Google associato. Non è attiva automaticamente: l’utente deve abilitare manualmente Advanced Protection Mode, che limita connessioni USB, installazioni rischiose e alcune funzioni considerate vulnerabili. Google prevede di estendere il supporto ad altri produttori Android nei prossimi mesi.

La nuova architettura introduce però interrogativi sulla privacy. I log includono cronologia delle connessioni, accessi di rete e attività applicative potenzialmente sensibili. Google sostiene che i dati restino accessibili solo all’utente e possano essere condivisi volontariamente con ricercatori in caso di sospetta compromissione. Alcuni esperti evidenziano tuttavia che un archivio dettagliato delle attività del dispositivo potrebbe diventare un obiettivo attraente per attaccanti sofisticati.