Konec tichého špehování. Nová funkce v Androidu odhalí, zda vás někdo tajně odposlouchává
Google začal na telefony s Androidem 16 distribuovat funkci Intrusion Logging, která poprvé systematicky zaznamenává stopy po případném průniku do zařízení.
Obsah článku
Představte si, že vám někdo nainstaluje do telefonu špionážní software, získá přístup k mikrofonu, zprávám i poloze a vy se o tom nikdy nedozvíte. Přesně tak dosud fungovaly pokročilé spywarové útoky na Androidu: tiše, bez viditelných stop. Nová funkce s názvem Intrusion Logging, kterou Google spouští jako volitelnou součást režimu Advanced Protection, tento princip narušuje. Nejde o antivir ani o živý alarm, který by vás upozornil slovy „právě vás někdo odposlouchává“. Jde o šifrovaný deník bezpečnostních událostí (spouštění aplikací, síťová spojení, USB přenosy, změny certifikátů nebo instalace), který se ukládá do vašeho Google účtu a při podezření na napadení ho může bezpečnostní expert analyzovat. Útok tím nemusí být zastaven, ale přestává být neviditelný. A právě to je podle Amnesty Security Lab důležitý krok výrobce operačního systému k tomu, aby se pokročilé útoky na Androidu daly zpětně vyšetřit.
Android byl doposud slepý
Amnesty International ve své forenzní metodologii z roku 2021 otevřeně uvedla, že při vyšetřování spywaru měli analytici na iPhonech k dispozici výrazně více stop než na běžných zařízeních s Androidem. Systémové logy byly krátkodobé, přepisovaly se a nebyly navržené s ohledem na dlouhodobou detekci průniků. Výsledek? Když bezpečnostní analytici zkoumali napadené telefony novinářů nebo aktivistů, u Androidu často naráželi na nedostatek důkazů.
Konkrétní případ přišel v prosinci 2024 ze Srbska. Podle zprávy Amnesty tamní úřady použily forenzní nástroj Cellebrite k odemčení telefonů novinářů během policejních výslechů a následně na ně nainstalovaly spyware NoviSpy. V jednom případě mělo jít o zneužití zranitelnosti v zařízeních s čipy Qualcomm, která se týkala velkého množství zařízení po celém světě. Právě takové incidenty ukázaly, že Android potřebuje vlastní forenzní vrstvu, ne proto, aby útokům zabránil, ale aby po nich zůstaly použitelné důkazy.
Co přesně Intrusion Logging zaznamenává
Funkce běží na pozadí a ukládá šifrované logy do Google účtu uživatele. Podle oficiální nápovědy Googlu jde o tyto kategorie:
- Procesy aplikací – spuštění, instalace a odinstalace aplikací
- Síťová spojení – DNS dotazy a IP adresy; z logů lze odvodit navštívené weby, nikoli konkrétní podstránky
- USB přenosy – připojení externích zařízení
- Změny systémových certifikátů – typický indikátor útoku typu man-in-the-middle
- Zamykání a odemykání zařízení – vzorce přístupu
Logy jsou end-to-end šifrované přímo na zařízení. Klíče chrání heslo Google účtu a zámek obrazovky; bez nich je podle Googlu nedokáže přečíst ani samotný Google. Důležitý detail: logy nelze ručně smazat dříve než po 12 měsících. To posiluje jejich důkazní hodnotu, ale zároveň zvyšuje citlivost uložených dat.
Jak funkci zapnout a kdo ji zatím může využít
Intrusion Logging se nezapne automaticky. Vyžaduje několik kroků:
- Mít zařízení s Androidem 16 (s prosincovou aktualizací QPR2 z roku 2025 nebo novější)
- Nastavit zámek obrazovky
- Přejít do Nastavení → Zabezpečení a ochrana soukromí → Rozšířená ochrana
- Při aktivaci Advanced Protection výslovně povolit Intrusion Logging a vybrat Google účet pro zálohu
- Na některých zařízeních potvrdit restart
Google v květnu 2026 oznámil, že funkce se postupně distribuuje na zařízení s Androidem 16 a novějšími aktualizacemi. V době spuštění ji ale Amnesty potvrdila pouze na telefonech Pixel. Majitelé Samsungů, Xiaomi nebo jiných značek by měli v nastavení zkontrolovat, zda se jim položka Advanced Protection vůbec zobrazuje; dostupnost závisí na konkrétním výrobci a verzi systému.
Android versus iPhone: jiná filozofie, stejný cíl
Apple nabízí svůj Lockdown Mode už déle a staví ho jako preventivní štít: omezuje přílohy ve zprávách, blokuje některé webové technologie, pozvánky na FaceTime od neznámých kontaktů i připojení příslušenství. Je to tvrdý režim, který zmenšuje útočnou plochu ještě před samotným útokem.
Android se prostřednictvím Advanced Protection přibližuje podobnému principu, ale jeho nejvýraznější novinka míří jinam: na forenzní rovinu. Lockdown Mode říká „nedostaň se dovnitř“. Intrusion Logging říká „a pokud se dostaneš, zůstane po tobě stopa“. Jde tedy o doplňující přístupy a pro uživatele, kteří se obávají cílených útoků, dává smysl sledovat vývoj obou platforem.
Pro koho to má smysl a co dělat s logy
Google režim Advanced Protection cílí primárně na ohrožené skupiny: novináře, politiky, aktivisty a veřejně známé osoby. Pro běžného uživatele jsou častějším rizikem podvodné aplikace a phishing než státem podporovaný spyware. Zapnout si funkci ale může kdokoli, kdo preferuje maximum zabezpečení.
Pokud logy stáhnete, nečekejte, že z nich sami vyčtete jednoznačný verdikt. Amnesty uvádí, že její analytický nástroj MVT je určen především pro bezpečnostní specialisty, nikoli pro laické vyhodnocení. Při podezření na napadení je správný postup obrátit se na forenzního experta nebo organizaci typu Amnesty Security Lab.
Špehování telefonů nezačalo včera a neskončí zítra. Poprvé ale existuje systémová vrstva, která z tichého průniku dělá vyšetřitelný incident. A to je víc, než Android nabízel kdykoli předtím.