Intrusion Logging soll laut Google das Problem adressieren, dass selbst hochentwickelte und bislang schwer erkennbare Angriffe nachträglich analysiert werden können. Reporter ohne Grenzen erklärte, durch die Speicherung auf einem sicheren Server könne „selbst auf dem Smartphone installierte Schadsoftware nicht auf die Daten zugreifen, sie löschen oder manipulieren". Die Ende-zu-Ende-Verschlüsselung stelle zudem sicher, dass weder Google noch staatliche Akteure Zugriff erhielten.
Die verschlüsselten Protokolle werden zwölf Monate lang gespeichert und danach automatisch gelöscht. Ist die Funktion einmal aktiviert, können Nutzer die Protokolle vor Ablauf dieser Frist nicht löschen — auch dann nicht, wenn das Konto geschlossen oder die Funktion wieder deaktiviert wird. Wer die Daten länger aufbewahren möchte, kann sie offline herunterladen.
Sind die Protokolle heruntergeladen und entschlüsselt, liegt ihre Sicherheit allein in der Verantwortung der Nutzer. Google weist darauf hin: „In bestimmten rechtlichen oder regulatorischen Umgebungen können Sie gesetzlich verpflichtet sein, Zugang zu Ihren entschlüsselten Daten oder Ihren Sicherheitsanmeldedaten zu gewähren."
Zu beachten ist außerdem, dass die Funktion auch Netzwerkereignisse aus dem Inkognito-Modus von Chrome erfasst, etwa DNS-Abfragen und IP-Verbindungen. Da sie auf Systemebene arbeitet, unterscheidet sie nicht zwischen den Browsing-Modi. Wer Zugriff auf die entschlüsselten Protokolle hat, kann daher erkennen, welche Websites aufgerufen wurden, nicht jedoch einzelne Unterseiten. Heruntergeladen werden die Protokolle über die Einstellungen unter „Sicherheit & Datenschutz" -> „Advanced Protection" -> „Intrusion Logging" -> „Protokolle abrufen".
Donncha Ó Cearbhaill, Leiter des Security Lab bei Amnesty International, erklärte, Google sei „der erste große Anbieter, der die Herausforderung, fortgeschrittene Angriffe auf Geräte zu erkennen, proaktiv angeht". Indem mehr einvernehmlich erhobene forensische Daten für Forscher verfügbar gemacht würden, lasse sich „Angreifern das Leben schwerer machen".
Neben Intrusion Logging kündigte Google weitere Verbesserungen für Datenschutz und Sicherheit an, darunter verifizierte Finanzanrufe als Schutz vor Anruf-Spoofing. Bei diesen Angriffen geben sich Betrüger als Banken aus, um Nutzer zur Preisgabe sensibler Daten oder zu Überweisungen zu verleiten. Erhält ein Nutzer einen Anruf, der von einer teilnehmenden Bank zu stammen scheint, fragt Android die installierte Online-Banking-App, ob die Bank tatsächlich versucht, den Kunden zu erreichen. Verneint die App, wird der Anruf vom System automatisch beendet.
Banken können zudem Nummern als reine Eingangsnummern kennzeichnen, über die sie Kunden niemals anrufen; eingehende Anrufe von solchen Nummern werden direkt beendet. Die Funktion soll in den kommenden Wochen auf Geräten mit Android 11 und neuer mit Revolut, Itaú und Nubank starten und später im Jahr auf weitere Banken ausgeweitet werden.