功能概述

某些行业从业者，如政府、商界或新闻工作者，面临被复杂黑客攻击的高风险。这些攻击者往往不局限于简单的钓鱼手段，而是部署高级恶意软件，悄无声息地入侵设备及其数据。为了更好地保护这些高风险用户，谷歌在 Android 16 中推出了全新安全功能"入侵日志"，旨在帮助用户检测设备是否遭到入侵。

行业首创的隐私保护日志

据谷歌介绍，入侵日志是一项"行业首创"的功能，以"保护隐私且防篡改"的方式安全备份设备日志。这些日志采用端到端加密存储于云端，"仅用户本人可访问"。若怀疑设备遭到入侵，调查人员可对这些日志进行取证分析，查找可疑活动。

技术细节

谷歌今日的公告未详细介绍入侵日志功能，但我们在本月早些时候的 APK 拆解中已详细分析其功能。入侵日志收集的"活动日志"包括以下信息：

• USB 连接事件
• 网络信息(如浏览历史)
• 应用安装记录
• 蓝牙连接
• 锁屏信息
• Wi-Fi 连接

活动日志使用用户的谷歌账户密码和设备锁屏密码进行加密，确保仅用户本人可查看。这些日志存储于"私人且加密的谷歌云端硬盘"中，进一步防止未经授权的访问。

入侵检测 API

在底层技术上，入侵日志利用 Android 16 中新增的入侵检测 API(因此其开发阶段名称为 Intrusion Detection)。该 API "收集各类设备事件，供离线设备调查潜在的设备入侵"。其功能类似于 Android 设备管理 API 提供的网络日志功能(常用于企业管理应用)，但无需设备管理软件，且可由现有系统应用(如谷歌 Play 服务)直接使用。

发布时间与可用性

尽管入侵检测 API 已在 Android 16 中可用，但谷歌尚未将其集成至谷歌 Play 服务。因此，入侵日志功能不会随 Android 16 发布，而将在今年晚些时候推出。由于其面向特定用户群体，该功能默认不启用。启用入侵日志需在 Android 16 中激活高级保护安全模式。