分类: 推荐阅读

一文看懂:谷歌与欧盟“8年恩怨”大事件汇总

彭博社报道,谷歌短短一年内第二次遭到欧盟的反垄断罚款,这一次是被控使用Android手机软件阻碍竞争。欧盟委员会要求该公司支付约43亿欧元(50亿美元)罚款。而在此之前,他们曾在2017年6月要求其因为偏向自家比较购物服务而支付24亿欧元罚款。 欧盟似乎不会就此罢休——第三起调查仍在进行之中,这一次的目标是广告合同,欧盟认为谷歌制定的这类合同限制性太强。 究竟是如何发展到如今的地步?以下就是谷歌与欧盟自2010年以来的这场“8年恩怨”的时间表: 2010年2月:刚刚出任欧盟反垄断负责人的乔奎因·阿尔穆尼亚(Joaquin Almunia)告诉谷歌,他收到来自英国购物Foundem、微软旗下Ciao部门和法国搜索服务eJustice的投诉。 2010年11月30日:欧盟委员会宣布对谷歌涉嫌滥用其网络搜索市场主导地位一事展开调查。欧盟表示,他们怀疑谷歌降低竞争对手在比价服务等垂直搜索结果中的排名。欧盟还担心谷歌在广告合同中施加的限制措施。 2013年1月3日:在谷歌承诺改变部分行为后,美国联邦贸易委员会(FTC)完成了对谷歌搜索和广告行为的反垄断调查。 2013年2月1日:阿尔穆尼亚宣布谷歌提交完整的反垄断和解协议。 2013年4月9日:一个代表微软、Expedia和诺基亚的组织针对谷歌Android系统提交反垄断投诉。该组织表示,欧盟应该调查谷歌在移动市场“阻碍竞争的欺骗行为”。 2014年2月5日:阿尔穆尼亚表示,谷歌提出的和解协议承诺在其自己的专业搜索结果中展示竞争对手的结果。 2014年5月20日:德国和法国部长致信阿尔穆尼亚,批评他的和解计划。 2014年9月10日:阿尔穆尼亚表示,双方未能在两年既定时间内达成和解。 2014年11月1日:新的欧盟竞争专员玛格丽特·维斯塔格(Margrethe Vestager)上任。短短几周内,欧盟又开始对谷歌竞争对手展开问询。 2014年11月27日:欧洲议会投票通过一项决议:倘若欧盟无法解决针对谷歌的反垄断调查,就应该迫使谷歌分拆。但该投票不具有约束力。 2015年4月15日:欧盟升级搜索案,向谷歌发送正式的“异议声明”,指控该公司在通用搜索结果页面中系统性地偏向自家购物比较产品。维斯塔格也对Android手机和平板电脑展开新的调查。 2015年11月13日:Yandex刚刚在俄罗斯取得了与谷歌反垄断官司的胜利,该公司表示,他们将把这场斗争引入欧盟,希望迫使这家美国竞争对手不再把搜索捆绑在Android手机上。 2016年4月20日:欧洲升级Android调查,指控谷歌采取限制性合同,阻止平板电脑和手机厂商添加与之竞争的应用和网络浏览器。欧盟委员会称,该公司还向手机厂商和电信运营商支付费用,使之只能在手机上安装谷歌的搜索应用。 2016年7月14日:谷歌AdSense for Search成为第三项收到欧盟“异议声明”的谷歌服务。与此同时,欧盟也升级了搜索调查,对其发出了第二组异议声明。 2016年11月10日:谷歌表示,Android调查威胁到该公司向手机厂商提供免费软件的能力。他们之前还曾抨击欧盟此次调查“根本不适应多数人的网络上购物方式”。 2017年4月27日:谷歌与俄罗斯就Android反垄断案达成和解,同意放弃任何竞争性搜索引擎或应用的预装。该协议使得俄罗斯搜索公司Yandex也可以预装在Android设备中。 2017年6月27日:欧盟对谷歌开出24亿欧元的创纪录罚单,原因是该公司不公平地歧视与之竞争的比较购物服务。谷歌被要求在90天内停止非法行为,并寻找一种方式来平等对待竞争对手,否则就会面临更多罚款。 2017年9月11日:谷歌提交上诉。 2017年9月27日:谷歌改变欧洲的购物搜索结果显示方式,以避免欧盟的罚款威胁。该公司表示,他们将允许竞争对手竞拍其搜索结果顶部的广告位,而谷歌购物也必须在没有母公司财务帮助的情况下参与竞价。 2017年11月7日:Foundem表示,谷歌正在“自找”大约每天1200万美元的罚款,并指控该公司没有按照欧盟的要求公平对待竞争对手。 2018年5月22日:Yelp针对谷歌在本地搜索领域的行为发起新的反垄断投诉。 2018年6月18日:维斯塔格表示,谷歌展示的来自竞争对手的广告似乎有所增多。但她表示,目前就判断该公司是否采取了足够措施以避免更多罚款还为时尚早。 2018年7月18日:欧盟指控谷歌在Android应用领域采取的措施违法,对其罚款43亿欧元。该公司必须在90天内做出调整,否则会面临进一步罚款。   稿源:cnBeta,封面源自网络;

FBI 安全级别!韩国研发全屏指纹扫描技术

环球网科技综合报道,据《每日邮报》7月3日报道,现代智能手机的设计逐渐都转向了全面屏,然而这种设计的问题就在于该如何在手机上安置指纹扫描器。在全屏幕的iPhone X上,苹果完全放弃了扫描器,转而使用它的面部识别解决方案,即FaceID。与此同时,竞争对手一加手机则是将指纹传感器移到了手机的背面。 研究人员现在手机制造商提供了一个理想的解决方案,这要归功于一项新技术,该技术将整个显示屏变成了一个巨大的传感器。他们表示,研究结果与FBI设定的指纹识别标准相吻合,而这项技术可能在未来12个月内给上线。 来自韩国蔚山国家科学技术研究所的专家们开发了一种透明传感器,可以同时检测触觉压力和皮肤温度。研究人员称,检测热量和压力的能力确保了系统更安全。 超薄设计的秘诀在于创造出新的透明电极,这种电极基于一种相互连接的超长银纳米纤维和细银纳米线的网络。这些组件非常小,一旦嵌入到显示器中,它们就几乎是隐形的,而且能够同时保持足够大的电力来扫描用户的指纹以进行认证。 参与这项研究的Jang-Ung Park博士在接受采访时表示:“我们开发了‘透明’指纹传感器,旨在检测手机显示屏上的指纹。我们的指纹传感器达到了FBI设定的分辨率标准。” 人类的指纹由独特的脊状和谷状结构组成,检测指纹的一种方法是感知电荷的变化,这是由山脊和山谷之间的空隙造成的。然而,传统的透明材料——用于使现代智能手机屏幕触敏的铟锡氧化物(ITO)却无法胜任这项任务。ITO的电阻太大,它无法检测到指纹传感器所需电荷的微小变化。 研究小组通过将细银纳米线结合在一起解决了这一问题,这种纳米线具有良好的透明性,而银中纤维具有较低电阻。研究人员称,这种配置对电荷变化的敏感度是ITO的17倍。 这种柔性阵列也非常耐弯曲,使其在智能手机和平板电脑等设备上的应用会变得非常耐磨。   稿源:环球网,封面源自网络;

新型技术利用 UPnP 协议避免 DDoS 缓解方案

据外媒 15 日报道,美国知名网络安全公司 Imperva 于本周一发布报告称攻击者正在尝试使用 UPnP 协议来屏蔽 DDoS 泛洪期间发送的网络数据包源端口,从而避免一些 DDoS 缓解方案。 根据 Imperva 的说法,他们已在野外发现了至少两起采用该技术的 DDoS 攻击,并且也通过其内部 POC 成功测试了其中之一。该 PoC 代码通过搜索暴露其 rootDesc.xml 文件的路由器(其中包含端口映射配置),添加了隐藏源端口的自定义端口映射规则,随后发起了 DDoS 放大攻击。 Imperva 认为,使用 UPnP 隐藏源端口和在 DDoS 泛洪期间利用 DNS 和 NTP 协议,将会意味着该种新技术在攻击者选择使用的 DDoS 放大技术的类型方面是不可知的,并且很有可能随着时间的推移,这项技术将变得越来越流行。因此出于安全考虑,Imperva 建议路由器用户在非必需要情况下禁用 UPnP 支持。 Imperva 完整分析报告: 《New DDoS Attack Method Demands a Fresh Approach to Amplification Assault Mitigation》 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

哥伦比亚大学研究人员创建隐藏嵌入文本信息新方法

哥伦比亚工程计算机科学家发明了一种新的方法 FontCode,可以在不干扰文字的情况下将隐藏信息嵌入文本中。FontCode 创建使用字体扰动来编码信息,之后可以进行解码以恢复信息。与其它隐藏嵌入信息的文本和文档的方法不同,这个方法适用于大多数字体和文档类型,即使打印文档或转换为其他文件类型时也可以保留隐藏信息。这项研究报告将于8月12日-16日在温哥华的 SIGGRAPH 上展示。 此项研究的主要作者、计算机科学郑教授说: 尽管很明显可能会被用于间谍活动,但我们认为对于希望防止文档篡改或保护版权的公司,以及想要嵌入二维码和其它元数据而不改变文档外观和布局的商家和艺术家来说,FontCode 更为实用。 郑教授带领他的学生创建了这个文本隐写方法,无论是数字存储还是纸质打印,都可以将文本、元数据、URL或数字签名嵌入到文本文档或图像中。它适用于 Times Roman、Helvetica和Calibri 等常用字体系列,并且与大多数文字处理程序(包括 Word 和 FrameMaker )以及图像编辑和绘图程序(如 Photoshop 和 Illustrator )兼容。由于每个字母都可能受到干扰,所以秘密传达的信息量仅受正规文本长度的限制。信息使用微小的字体扰动编码——改变笔画宽度,调整上行和下行高度,或者调整例如字母 o、p 和 b 的曲线。 【研究演示视频】FontCode: Embedding Information in Text Documents using Glyph Perturbation 使用 FontCode 隐藏的数据可能非常难以检测到。即使攻击者检测到两个文本之间的字体变化,扫描公司内部每一个文件也是不切实际的。 “如果攻击者能够检测到使用字体变化来传达秘密信息,加密只是提供了一种备份级别的保护,”郑教授说,“因为很难看到这些变化,这使得 FontCode 成为一种非常强大的技术,可以通过现有的防御措施获取数据。” 研究作者已经向哥伦比亚科技风险投资公司提交了专利,计划将 FontCode 扩展到其他语言和字符集,包括中文。 “我们对FontCode的广泛应用感到非常兴奋,”郑教授说,“从文档管理软件到隐形QR码,保护法律文件,FontCode可能是一个改变游戏规则的游戏。” 该研究的题目是“FontCode: Embedding Information in Text Documents using Glyph Perturbation.”   消息来源:TechXplore,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

安全研究人员提醒AI助理需谨防人耳听不到的“海豚攻击”

中美研究人员已经验证了一种可向 Siri 等 AI 助理发出“隐藏式攻击命令”的方法,因其采用了人耳察觉不到的音频,从而强迫智能助理执行非机主下达的恶意命令。《纽约时报》指出,如果被别有用心的人得逞,这种攻击手段可用于拨打电话、打开网站、甚至更糟糕的事情。根据来自加州、伯克利、以及乔治城大学的学生团队在本月发表的一篇研究论文,他们甚至可以将恶意命令嵌入音乐录音或口述文本中。 当在亚马逊 Echo 或苹果 iPhone 附近播放时,普通人只能听到单纯的歌曲或语音。但智能设备能够捡拾起一条潜在的指令,比如向购物车中添加一些东西。 往更危险的层面去讲,恶意攻击者可以下达锁门、卷钱、或购买线上商品等操作 —— 尽管在通常情况下,为了不引起事主的注意,事情都是静悄悄地进行、涉及金额也不会太大。 然而论文作者之一、来自加州大学博客利分校的五年制计算机安全博士生 Nicholas Carlini 坚信,或许早已有恶意攻击者实施过类似的技术: 我们想要知道自己是否能够让它变得更加隐秘,虽然没有证据表明这些技术已经跑出了实验室,但它被人利用只是时间的问题。我的的猜测是,恶意攻击者早已雇人干过我提到的事情。 【视频】:Dolphin Attack_ Inaudible Voice Command 去年的时候,美国普林斯顿和中国浙江大学的研究人员们已经执行过类似的测试,证明了 AI 助理可以通过不被人耳所听到的音频给激活。 如上方的“海豚攻击”演示所示,研究人员打造了一台可以下达隐藏命令的发送器,并顺利地让手机执行了拨打特定电话的操作(另有拍照和发送短信等测试)。 当然,海豚攻击的范围是有限的,因为攻击者必须足够接近接受设备。   稿源:cnBeta,封面源自网络; 相关阅读:Alexa and Siri Can Hear This Hidden Command. You Can’t.

Google Chrome 66稳定版更新:修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新,最新版本号为v66.0.3359.170,目前已经面向Linux、Mac和Windows三大平台开放,重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞,包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。 目前Google并未对外披露具体有多少用户受到这些漏洞影响,官方日志中写道:“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。” 除了上文提及的安全漏洞之外,Chrome 66.0.3359.170同时还包含了其他大量修复,因此推荐Chrome用户尽快完成升级,避免被黑客有机可乘。 Stable 稳定版 32位 最新版本:66.0.3359.170,文件大小:46.457MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D41B3356256A232D6891CC86C1C616557BD4AE59, SHA256:35BAF449DC70849EEB6B0DF3F933429422527A5844B7F1F3DFAFD5B1EABF2CD1 Stable 稳定版 64位 最新版本:66.0.3359.170,文件大小:46.879MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D49EE37219DF6972C8B98A2233D3C5DA617F17E1 SHA256:8E0F91236CDC5E8A4EEB529551806890E96D745DA451556BEC8DEE6803D268DE   稿源:cnBeta,封面源自网络;

微软披露细节:重复进入UEFI导致英特尔SSD升Windows 10失败

微软上周已经承认:使用英特尔固态硬盘的计算机无法升级至Windows 10 April 2018 Update;今天公司再次提供为何不允许升级的更多细节。在累积更新KB4103721的已知问题中表示,英特尔SSD 600p系列和SSD Pro 6000p系列证实受到影响,如果使用这两个系列的SSD,推荐用户不要升级至最新版本。而且也不推荐用户手动升级,因为可能会影响系统稳定性和性能。 微软解释道:“在尝试升级Windows 10 April 2018 Update过程中,使用英特尔SSD 600p Series和英特尔SSD Pro 6000p Series的磁盘可能会重复进入UEFI屏幕导致设备重启或者无法正常工作。” 目前相关的解决方案仍在处理中,在此之前微软解释道受影响用户重新安装此前版本是唯一解决方案。公司表示:“我们已经和OEM合作商以及英特尔进行合作解决。如果你遭遇到这个问题,那么推荐重新安装此前版本(Windows 10 Version 1709),并等到补丁出炉重新进行升级。”   稿源:cnBeta,封面源自网络;

GitHub 在其内部日志中记录了明文密码

近期,有一定数量的用户认为,GitHub 密码重置功能中存在 Bug,公司内部日志内的明文格式记录了用户的密码。该公司表示,明文密码只向少数可以访问这些日志的 GitHub 员工公开,没有其他 GitHub 用户看到用户的明文密码。 GitHub 说,通常情况下,密码是安全的,因为它们是用 bcrypt 算法散列的。该公司指责其内部日志中存在明文密码的错误。只有最近重置密码的用户才受到影响,受影响的用户数量预计很低。数十名用户分享了他们今天早些时候在 Twitter 上收到的 GitHub 电子邮件的图片。最初,用户认为这是一个大规模的网络钓鱼攻击。GitHub 表示,它在例行审计中发现了它的错误,并明确表示它的服务器没有被黑客入侵。 稿源:freebuf,封面源自网络;

研究人员发现大众、奥迪易受黑客远程攻击

一家荷兰网络安全公司发现,部署大众汽车集团部分车型的车载信息娱乐(IVI)系统容易受到远程黑客攻击。 Computest 的安全研究人员 Daan Keuper 和 Thijs Alkemade 表示,他们成功验证了他们的发现并利用大众 Golf GTE 和奥迪 A3 Sportback e-tron 车型(奥迪是大众汽车集团的品牌部分)的连锁店。利用汽车的WiFi连接来利用一个暴露的接口,并获得由电子产品供应商 Harman 制造的汽车 IVI。研究人员还可以访问 IVI 系统的根帐户,们允许他们访问其他汽车数据。在某些情况下,攻击者可以通过车载套件收听司机正在进行的谈话,打开和关闭麦克风,以及访问完整的地址簿和对话历史记录。 稿源:freebuf,封面源自网络;

用于崩溃多数最新 Windows 版本的 POC 代码已发布

近日,一名罗马尼亚硬件专家在 GitHub 上发布了能立即崩溃多数 Windows 版本的 POC 代码,即使计算机处于锁定状态也能在几秒钟内崩溃。据悉,该 PoC 利用了微软处理 NTFS 文件系统映像时存在的一个漏洞,该漏洞由 Bitdefender 公司的研究员 Marius Tivadar 发现。 NTFS 漏洞和 Windows autoplay 功能不完全兼容 该 POC 中包含了一个格式错误的 NTFS 映像,用户可以提取该映像并将其放在 U 盘中。当 Windows 计算机中插入了该U盘后,系统会在几秒内崩溃,导致死机蓝屏(BSOD)。 Tivadar 在详细说明该漏洞情况及其影响时指出,Windows autoplay 功能被默认激活。即使它被禁用,当文件被访问时,系统也会崩溃。例如,当 Windows Defender 扫描或使用其它工具打开 U 盘时就能够导致系统崩溃。 微软拒绝修复 其实 Tivadar 早在 2017 年 7 月就此问题与微软联系,但是微软拒绝将此问题归类为安全漏洞。微软降低了该漏洞的严重程度,因为他们认为利用漏洞需要物理访问或社交工程(指欺骗用户)。 不过 Tivadar 并不同意微软方面的解释。他指出,物理访问不一定是必需的,因为攻击者可以使用恶意软件远程部署 POC。 NTFS 漏洞也会导致锁定的 PC 崩溃 Tivadar 认为 NTFS 漏洞比微软认为的更危险,因为它也可以在 PC 锁定的情况下工作。Tivadar 表示操作系统不应该从插入端口的随机 U盘中读取数据。一般来说,当系统被锁定并且外部设备插入机器时,不应该加载驱动程序和执行代码。 完整 POC: 《 PoC for a NTFS crash that I discovered, in various Windows versions 》 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。