Někdo vám špehuje telefon a vy o tom nevíte. Android teď umí útočníka vystopovat, stačí funkci zapnout – ale jenom na vlastní riziko

Google v Androidu 16 spustil funkci Intrusion Logging, která na pozadí zaznamenává bezpečnostní stopy z vašeho telefonu.

Zdroj fotografie: Unsplash

Představte si, že vám někdo v noci odemkne telefon, nainstalujte aplikaci, kterou ráno nenajdete, a připojíte se na server, o kterém jste nikdy neslyšeli. Nic nezazvoní, nic neblikne. Přesně pro tenhle scénář Google 12. května 2026 oznámil novou vrstvu v režimu Advanced Protection: Intrusion Logging. Funkce neblokuje útočníka v reálném čase. Místo toho tiše zapisuje desítky typů událostí, odemčení obrazovky přes DNS dotazy až po USB přenosy, a ukládá je v šifrované podobě do vašeho účtu Google. Když pak přijde podezření, forenzní specialista z těch stop zpětně složí, co se s telefonem dělo. Je to poprvé, co je velkým výrobcem běžného uživatele nástroje, který byl dosud doménou bezpečnostních laboratoří. Ale má to svou cenu.

Co přesně Intrusion Logging zaznamenává

Seznam logovaných událostí je široký. Podle oficiální pomoci Googlu funkce zapisuje:

• spuštění procesů aplikací,
• instalace, aktualizace a odinstalace aplikací,
• připojení a odpojení Wi-Fi a Bluetooth,
• DNS dotazy a IP spojení,
• přenosy souborů přes USB,
• změny systémových certifikátů,
• zamknutí a odemknutí obrazovky.

Z pohledu forenzního specialisty je tohle materiál, ze kterého lze rekonstruovat celý příběh kompromitace. Amnesty International Security Lab, která se na vývoji funkce uvádí, popisuje konkrétní scénář: odemčení telefonu v cizích rukách, příkazy ADB shellu, nasazení a následné odstranění spywaru, komunikace s podezřelými servery. Z logů lze vyčíst i navštívený web, být ne konkrétní podstránku. A pozor: zapisují se i DNS události z Chrome Incognito.

Slovo „vystopovat“ tedy neznamená, že vám telefon zobrazí jméno potenciálního. Znamená, že uchovává stopy, které by jinak zmizely, a které odborník dokáže přečíst.

Kde to zapnout a co to uděláte s vaším telefonem

Cesta v nastavení: Nastavení → Zabezpečení a soukromí → Pokročilá ochrana → Ochrana zařízení → Zapnout . Alternativně přes Google → Všechny služby → Pokročilá ochrana. Podmínkou je aktivní zámek obrazovky; některá zařízení lze restartovat.

Intrusion Logging je součástí širšího režimu Advanced Protection, který mění chování telefonu výrazněji, než by většina uživatelů čekala. Blokuje instalaci aplikací z neznámých zdrojů. Na podporovaných zařízeních vypíná 2G. Vypíná optimalizátor JavaScriptu v Chrome. Blokuje USB datová spojení při zamčené obrazovce. Google Play Protect nejde vypnout. Pro někoho, kdo si občas stáhne APK mimo obchod nebo používá vývojářské nástroje, to může být zásadní omezení.

K 25. květnu 2026 Google uvádí, že se funkce postupně nasazuje na všechna zařízení s Androidem 16 a novějším. Konkrétní seznam modelů po značkách firma veřejně nepublikovala. Pokud v nastavení nevidíte sekci Advanced Protection, váš telefon ji nejspíš ještě nemá.

Proč „na vlastní riziko“ nejsou fráze

Tady začíná ta méně pohodlná část. Logy se ukládají do účtu Google šifrované end-to-end. Google tvrdí, že je bez hesla a zámku obrazovky nelze přečíst. Drží se 12 měsíců. Nejdou ručně smazat, ani vámi, ani Googlem.

Po stažení a dešifrování přechází odpovědnost na vás. Google v nápovědě počítat na scénář, který většina uživatelů nepromýšlí: v některých právních režimech být nuceni dešifrovaná data nebo přístupové údaje vydat. Jinými slovy, archiv, který vám má pomoci prokázat útok, se může v rukou soudu nebo regulátora obrátit i proti vám.

Další detail: pokud chcete odstranit zámek obrazovky, můžete ztratit možnost logy později dešifrovat. A pokud chcete, aby se do logů spolehlivě zapisovaly události DNS z Chrome, Google doporučuje vypnout v prohlížeči Secure DNS a místo toho používat systémový Private DNS. Tohle jsou věci, které se v marketingovém oznámení nedočtete.

Kdo je skutečně v ohrožení, a proč se to týká i Česka

Google Advanced Protection primárně doporučuje novinářům, aktivistům, firemním špičkám a lidem zapojeným do voleb. Jenže český kontext ukazuje, že hrozba není tak úzce vymezená. ESET v roce 2024 zdokumentoval malware NGate, který přes phishing cílil na klienty tří českých bank a přes NFC přenášel data platebních karet. Žádní disidenti, žádní politici, běžní lidé s běžnými telefony.

Druhá kategorie, o které se mluví méně, je stalkerware. Podle výzkumu ESETu bývá útočník typicky z blízkého okolí oběti, partner, rodinný příslušník, kolega. Stačí mu fyzický přístup k odemčenému telefonu na pár minut. Intrusion Logging by v takovém případě zaznamenal instalaci aplikace, start jejího procesu a případnou síťovou komunikaci, i kdyby ji útočník později smazal.

Pokud logy ukáží podezřelou aktivitu, postup je jasný: neinstalovat, nepanikařit. Udělat screenshot, poznamenat čas, přepnout telefon do režimu Letadlo. Podle metodiky NÚKIBu pro zajištění dat je forenzní analýza mobilu vysoce specializovaná činnost, telefon by měl skončit v rukách odborníka, ne zvědavého kamaráda s IT vzděláním. Prvním kontaktním bodem v Česku je CSIRT.CZ.

Android vs. Apple: jiná filozofie ochrany

Srovnání s Apple Lockdown Mode se nabízí, ale kulhá. Apple vsadil na extrémní hardening: blokuje v Messages, omezuje webové technologie FaceTime od neznámých, konfigurační přílohy, nezabezpečené Wi-Fi. Je to zeď. Android Advanced Protection staví podobnou zeď, ale Intrusion Logging k ní přidává bezpečnostní kameru. Ne takovou, která zloděje zastaví, ale takovou, která se natočí.

Pro čisté zmenšení útočné plochy je Apple ekosystémovější a tvrdší. Pro zachování důkazů po incidentu je nyní Android specifičtější. Podle nás je to poprvé, co má smysl říct, že Android v jedné konkrétní bezpečnostní disciplíně nabízí něco, co iPhone nemá. Intrusion Logging není alarm ani štít. Je to černá skříňka vašeho telefonu, a jako každá černá skříňka má největší hodnotu ve chvíli, kterou byste nejraději nikdy nezažili.