标签: 谷歌

华尔街日报:Facebook隐私丑闻把苹果谷歌一块拖下水

近日,《华尔街日报》科技专栏作家克里斯托弗·米姆斯( Christopher Mims )周日撰文称,在用户隐私保护上,美国科技巨头过去几乎处于自由放任的监管环境中,自律意识淡薄,但是一切即将改变。虽然现在只有 Facebook 数据泄露丑闻被曝光,但是苹果、谷歌、亚马逊的“底子也不干净”,也会被一同纳入监管。 文章内容如下: 我们终于认识到了一个现实:我们不仅仅是 Facebook、谷歌等公司的“产品”。正如一位硅谷投资者所言,我们还是他们增长的助推剂。 至少,从我们的个人数据来讲是这样的。每周,我们似乎都能在美国和欧洲听到关于我们信息被盗、被泄露和利用的最新报道。同时,人们不断呼吁政府加强监管和消费者保护。 我们认识不够的是,苹果、亚马逊公司同时会受到多大程度的影响,不管是正面影响还是负面影响,因为他们必须与付费用户保持直接联系。(另一科技巨头微软公司在智能机革命过程中并未发挥重大影响力,也没有实现与其他公司类似的增长,但是也必须遵守未来出台的监管规定)。 过去 10 年,营收和市值的爆炸式增长足以令这四家公司傲视全球经济。但是,他们身处的自由放任的监管环境似乎真的即将结束。 Facebook 是导火索 Facebook 是造成科技巨头面临更严格监管的导火索:在政治圈里,公众人物的表态和近期调查显示,美国人突然对 Facebook 的“权力”感到更加担心。就在 6 个月前,这种担心还有些杞人忧天,但是现在却成了现实。密苏里州总检察长正要求 Facebook 披露哪些政治活动通过付费方式获得了用户个人数据,以及用户是否知道个人信息被分享。 在欧洲,严格的数据保护规定《通用数据保护条例》(GDPR)将在今年 5 月 25 日生效。《通用数据保护条例》加入了“有效而且具有劝诫作用”的罚款。根据违例程度的不同,包括不当处理个人数据,让儿童使用非适龄服务或查看不宜内容等,最高罚款可达到一家公司全球营收的 4%。按照 2017 年营收计算,Facebook 可能面临 16 亿美元罚款。 Facebook CEO 马克·扎克伯格( Mark Zuckerberg )近期表示,他的公司正在努力把《通用数据保护条例》适用范围扩大到每一名用户身上。他还表示,Facebook 等公司的自律必不可少,并支持对发布政治广告的互联网公司进行检查。在这一点上,Facebook 此前就已经承诺过。 苹果谷歌亚马逊受波及 谷歌的广告模式对数据的需求程度与 Facebook 不相上下,只是不收集我们的搜索历史和位置。谷歌旗下 YouTube 平台能够追踪用户的媒体喜好。自 2012 年以来,谷歌从其所有产品中收集我们的数据。 在与监管部门打交道上,谷歌更有经验。2013 年,谷歌与美国联邦贸易委员会就竞争争议达成和解。几个月来,谷歌一直在宣传他们在遵守《通用数据保护条例》上付出的努力。不过,和Facebook不同的是,谷歌并不打算把类似于《通用数据保护条例》的规定应用到所有国家,所以类似规定应该不会很快在美国实施。 亚马逊已经在运营一项年营收达到 28 亿美元的广告业务,通过收集数据投放目标广告。鉴于亚马逊的零售和广告生态系统几乎能够自给自足,所以它不必像对手那样对其许多行为展开大幅调整。不过,《通用数据保护条例》对亚马逊造成的负担目前还不清楚,这需要用户以及他们律师的检验。 “长期以来,亚马逊一直坚守在隐私和数据安全上的承诺。当《通用数据保护条例》生效后,我们致力于遵守它的规定,”亚马逊发言人称。 《通用数据保护条例》很可能会在短期内加强苹果在隐私保护上的声望。“苹果会发现,《通用数据保护条例》与他们的价值观十分契合,”Facebook 早期投资人罗杰·迈克内米(Roger McNamee)表示。 苹果 CEO蒂姆·库克(Tim Cook)称,他们从来不会在用户隐私上犯下和 Facebook 一样的错误。但是,库克的信心掩饰了一个事实:现在,绝大多数用户通过移动设备访问 Facebook。如果没有 iPhone 和其他 Android 手机,Facebook 甚至都不会存在。 苹果还为开发者获取有利可图的个人信息创造了机会。例如,iPhone 和 Android 手机的权限设置模糊,这就意味着我们距离让陌生人出售我们的位置数据只有一次点击。 尽管苹果在 App Store 中实施了隐私规定,要求开发者在获得不同寻常的丰富信息时需要获得用户的同意,但是它并不要求每一位开发者按照相同的严格标准保护隐私。 现在,Facebook 可能是被报道最多的公司,但是从长期来看,苹果、谷歌以及亚马逊很可能也会面临理直气壮的监管部门的审查。监管部门不仅会为企业如何处理用户数据制定新规,还会对直接收集数据的设备进行监管。 稿源:cnBeta、凤凰网科技,封面源自网络;

谷歌将禁止所有加密货币挖矿扩展程序进入 Chrome 商店

谷歌周一在 Chromium 博客中发文称,该公司将不允许任何新的加密数字货币“ 挖矿 ”扩展程序进入 Chrome 浏览器的网络商店,而此前已经进入了这个商店的挖矿扩展程序也将在不久之后被移除。谷歌 Play Store 应用商店中已有大量基于数字加密技术的虚假应用,这些应用以“抢劫”下载者、获取用户数据或秘密为第三方开采加密数字货币而闻名。 而现在看来类似的问题已在 Chrome Store 网络商店中浮出水面,有些挖矿扩展程序未遵守谷歌的相关政策。 谷歌在博文中称:“到目前为止,Chrome Web Store 的政策允许上传加密数字货币挖矿扩展程序,前提为挖矿是其唯一用途,并需就挖矿行为向用户发出适当的通知。不幸的是,在开发者尝试向 Chrome Web Store 上传的带有挖矿脚本的扩展程序中,约有 90% 都并未遵循这些政策,因此已被拒绝进入该商店或已被移除。从今天开始,Chrome Web Store 将不再接受开采加密数字货币的扩展程序,现有扩展程序将于 6 月底被下架。区块链相关用途而非挖矿用途的扩展程序则仍可继续上传到 Chrome Web Store。” 虽然 Facebook、职业社交网站领英(LinkedIn)、Twitter、谷歌、“阅后即焚”通信应用 Snapchat 和邮件营销工具 MailChimp 都已禁止对 ICO(首次代币发行)或其他区块链相关产品做广告,但谷歌看起来不会对区块链而非挖矿用途的扩展程序“动刀”,这对 MetaMask 等服务来说是个好消息。 当然,谷歌致力于打击的并非只有明确与挖矿相关的扩展程序。举例来说,号称可“保护浏览”的扩展程序 MetaMask 被发现在后台秘密开采门罗币(Monero),而该程序的 14 万余名用户对此毫不知情,更不必说同意其这样做了。 稿源:cnBeta、新浪科技,封面源自网络;

1.5 亿用户数据被泄露 Under Armour:不涉及敏感信息

本周四,美国著名运动装备品牌 Under Armour 称有 1.5 亿 MyFitnessPal 用户数据在上个月被泄露了,MyFitnessPal 是一款 Under Armour 旗下的食物和营养主题应用。此次关于用户数据泄露的声明使得该公司的股票价格下跌了 2.4%。 据该公司称,此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。 Under Armour 表示,该数据泄露事件并没有涉及到用户的社会安全号码(Social Security numbers)、驾驶证号、和银行卡号等隐私信息。 该运动装备制造商称,是在 3 月 25 日才发现的此次数据泄露事件,并从那时就开始通知受影响用户。 Under Armour 正在和一家数据安全公司一起协作调查此次事件,有关监管部门也参与到了其中。 MyFitnessPal 是一款在苹果和谷歌应用商店中很受欢迎的应用,允许用户跟踪每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据,还可以分享运动成果到类似 Facebook 这样的社交平台上。 稿源:cnBeta、新浪科技,封面源自网络;

谷歌应用商城存多款安卓二维码恶意应用 下架前下载量超 50 万次

上周安全公司  SophosLabs 报告了在谷歌 Play 官方应用商城有多款安卓二维码恶意应用,下架前这些恶意应用的下载量超过了 50 万次。SophosLabs 的研究人员检测到了 6 款二维码扫码应用和一款智能罗盘应用均包含着利用二维码的恶意代码“ Andr/HiddnAd-AJ ”,利用漏洞向用户发送恶意广告。 ZDNet 网站的 Danny Palmer 披露了相关报告,“在安装后,恶意软件会潜伏六个小时开展恶意活动,提供恶意广告推送服务,向用户推送全屏恶意广告,并在网页中打开相关广告,发送大量包含广告连接的推送通知等。” Sophos 公司的安全人员称这些隐秘的恶意应用在被谷歌下架前,已经被下载了超过 50 万次。谷歌没有立即回应置评请求。 稿源:cnBeta,封面源自网络;

谷歌正在为 Chrome OS 设备发布更多的 Meltdown 和 Spectre 补丁

黑客可以利用 Meltdown 和 Spectre 攻击绕过内存隔离机制并访问目标敏感数据。使攻击者能够读取目标机器的全部物理内存,窃取凭据,个人信息等等。 Spectre 攻击允许用户模式应用程序从运行在同一系统上的其他进程中提取信息。它也可以用来通过代码从自己的进程中提取信息,例如,恶意 JavaScript 可以用来从浏览器的内存中提取其他网站的登录 Cookie。 Spectre 攻击打破了不同应用程序之间的隔离,允许将信息从内核泄漏到用户程序,以及从虚拟化管理程序泄漏到访客系统。 Meltdown 攻击触发 CVE-2017-5754 漏洞,而 Specter 攻击 CVE-2017-5753(Variant 1)和 CVE-2017-5715(Variant 2)。据专家介绍,只有 Meltdown 和 Specter Variant 1 可以通过软件来解决,而 Spectre Variant 2 需要更新受影响处理器的微码。软件缓解措施包括。 Google 在 Project Zero 的研究人员披露了这些缺陷之前的几十天,在 12 月发布了第 63 版解决了 Chrome 操作系统中的崩溃问题。Google 还推出了 KPTI / KAISER 补丁,以解决来自包括宏碁、华硕、戴尔、惠普、联想和三星等多家厂商在内的 70 款基于英特尔架构的 Chromebook 机型的缺陷。 本周,该公司发布了 Chrome OS 65 版本,该版本还包括针对内核版本 3.14 未涉及的许多基于Intel 的系统的针对 Meltdown 的 KPTI 缓解。根据 Google 的说法,所有采用英特尔处理器的旧款 Chromebook 都将获得针对 Meltdown 的 KPTI 缓解措施,并计划于 4 月 24 日发布 Chrome OS 66。 “对于大多数 Chrome 操作系统设备,Stable 频道已更新至 65.0.3325.167(平台版本: 10323.58.0 / 1)。 该版本包含一些错误修复和安全更新”。(阅读谷歌公告) “ 3.14 内核上的英特尔设备通过 Chrome OS 65 获得了针对 Meltdown 的 KPTI 缓解措施。 “所有英特尔设备都通过 Chrome OS 65 获得了针对 Specter variant 2 的 Retpoline 缓解措施。” Chrome OS 65 还为所有基于英特尔的设备提供了适用于 Spectre Variant 2 的 Retpoline 缓解措施。 Google 专家强调,对于 Specter Variant 1 攻击,黑客可能会滥用 Linux 内核中的 eBPF 功能,但 Chrome 操作系统会禁用 eBPF。 在基于 ARM 的系统上运行的 Chrome OS 设备不受 Meltdown 的影响。 谷歌正在努力解决幽灵问题。 “在 ARM 设备上,我们已经开始整合由 ARM 提供的固件和内核补丁。 发展仍在继续,所以发布时间表尚未最终确定。 ARM 设备将在启用虚拟化功能之前接收更新的固件和内核” Google 总结说。 稿源:东方安全,封面源自网络;

北卡罗来纳州警方要求谷歌提供犯罪现场附近所有移动用户的数据

据外媒报道,当执法部门向谷歌提供逮捕令或法院传票之后,后者会提供一定的信息来帮助前者破案,通常情况下都是寻找某一嫌疑犯的信息。然而来自北卡罗来纳州罗利的警察却可能要打破这种平衡,获悉,为了通过分析犯罪现场录像进而创建一个关注的周边和地区图,他们向谷歌提出了一个请求,即要求后者提供该地区所有人的数据。 虽然该地警方要求提供匿名账号数据,但目前并不清楚谷歌是否愿意遵守这一要求。 据了解,手机通过 GPS、Wi-Fi 以及蜂窝网络定位用户位置,虽然用户可以关掉 GPS,但设备几乎仍能将定位数据发送给第三方。这意味着在不知情的情况下徘徊在犯罪现场的用户将受到跟犯罪分子同样的怀疑。2014年,一名女子就因为其手机位置纪录显示她在犯罪现场而被判入狱,但当事人实际上并没有犯罪。 谷歌拒绝就这一问题作出回应,只是重申了公司遵守执法要求的标准政策。 稿源:cnBeta,封面源自网络;

微软正在调查严重影响 Windows 安全的 CFG 绕过漏洞

上个月的时候,谷歌 Project Zero 团队曝光了与微软 Edge 浏览器和 Windows 10 操作系统相关的最新漏洞,引发了业内许多安全研究人员的注意。祸不单行的是,意大利帕多瓦大学的研究人员们,刚又曝光了严重影响 Windows 8.1 和 Windows 10 安全的“控制流防护”(CFG)设计漏洞。据悉,微软在 Windows 8.1 Update 3 中率先引入了内核级的 CFG 功能,并且一路延续至 Windows 10 操作系统。 微软将 CFG 描述为“一个高度优化的、可应对内存泄露漏洞的安全特性平台”。其旨在代码中增加间接的调用和跳转,从而阻止攻击者在任意地址执行代码。 遗憾的是,帕多瓦大学的安全研究人员,已经在其中发现了一个“使 CFG 向后兼容以提升性能”的设计缺陷。研究员之一的 Andrea Biondo 表示: 只有当被允许的目标与 16 字节对齐时,控制流的限制才是精准的。若不是,就会有一个围绕目标的 16 字节非精准地址。 通过将未对齐的目标组合在公共库中、结合编译器生成的函数布局的可预测性,我们就可以绕过控制流防护(CFG)。 研究人员将在本月召开的黑帽亚洲大会上披露漏洞的详情,期间他们还会演示绕过 64 位 Windows 10 中的 Microsoft Edge 浏览器的 CFG bypss 概念验证代码,以证明该漏洞在真实场景中的运用。 报告称,这一漏洞让超过 5 亿台计算机面临安全威胁。更糟糕的是,由于 BATE 没有特别指定,这进一步放大了它的危害性。如果受害进程加载了某些公共库,漏洞就可轻易地被利用。 安全研究人员表示,他们已经向微软通报了此事,当前该公司正在着手修复,预计会随即将发布的 Windows 10 Redstone 4 更新一同到来。 稿源:cnBeta,封面源自网络;

暴雪游戏一客户端严重漏洞或遭 DNS Rebinding 攻击,可远程执行任意代码

外媒 1 月 23 日消息,谷歌黑客  Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞,导致数百万台电脑遭到 DNS Rebinding (DNS 重绑定)攻击,从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前,暴雪公司在其客户端版本 5996 中加入了部分缓解措施,并表示后续推出的补丁会采取更多稳定的主机白名单机制。 “ 魔兽世界 ”、“ 守望先锋 ”、“ 暗黑破坏神3 ”、“ 炉石传说 ” 和 “ 星际争霸 2 ” 等都是由暴雪娱乐公司制作的流行网络游戏。根据统计数据显示,暴雪公司每月的在线玩家数量达到 5 亿人次。 漏洞信息 若玩家要用浏览器在线玩暴雪游戏,需在自己电脑系统中安装一个名为 “ Blizzard Update Agent ”的客户端程序,然后该应用程序会在 1120 端口上通过 HTTP 协议运行 JSON-RPC 服务器,以便执行 “ 命令安装、卸载、设置更改、更新和其他维护相关的选项 ” 等操作。 Ormandy 发现 Blizzard Update Agent 程序极易受到 DNS Rebinding 攻击。 因为 DNS Rebinding 允许任何网站充当外部服务器和本地主机之间的桥梁,这意味着任意网站都可以向 Blizzard Update Agent 程序发送特权命令。 Ormandy 最初于去年 12 月向暴雪公司报告了该漏洞,不过在几次沟通之后,暴雪公司停止了对 Ormandy 的邮件回应,并秘密地在客户端版本 5996 中加入了部分缓解措施。暴雪公司的解决方案似乎是查询客户端命令行,获取 exename 的 32 位 FNV-1a 哈希值,然后检查它是否在黑名单中。然而, Ormandy 建议暴雪公司将其主机名列入白名单。 在 Ormandy 披露了该漏洞之后,暴雪公司声称相关补丁正在研发部署之中,并承诺会采取更多稳定的主机白名单机制来修复该漏洞。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

谷歌站上被告席:个人隐私“ 被遗忘权 ”受关注

今年,英国法院受理了一起意义重大的案件,两名男士起诉科技业巨头谷歌公司,要求谷歌断开与他们过去的犯罪信息有关的网络链接。理由是,他们认为公民拥有 “ 被遗忘权 ”。这两位匿名的男士称,他们曾经的犯罪记录已经是几十年前的事了并且已经为此付出了法律上的代价。 在周四的审前听证会上,Matthew Nicklin 法官说,曾经这两名男士分别因为冒用他人账户信息和拦截通信被判刑,但目前都已经服刑结束。 Nicklin 法官表示:“ 这是英国法院第一次审理‘被遗忘权’的争议,意义非常重大。” 这两名男士都起诉了谷歌,要求行使自己的 “ 被遗忘权 ” 。此前,谷歌也因此卷入过欧盟最高法院审理的一起案件中。 在 2014 年 5 月,欧盟法院裁定,普通公民对自己的个人隐私拥有 “ 被遗忘权 ”。如果公民曾经发生事情已经过去很久了或者是一些无关紧要的事,他们可以要求互联网搜索引擎断开与此类个人隐私有关的网络链接。 虽然目前 “ 被遗忘权 ” 的规定仅在 28 个国家中有效力,但谷歌的行为与欧盟以外的其他想适用该条款的隐私监管机构也发生了冲突。 稿源:cnBeta、快科技,封面源自网络;

量子计算新成果发布: 提供新型量子比特实现方式

1 月 5 日消息,浪潮和中科院等多家科研单位的中国科学家近日联合发表关于最新量子计算研究的论文,提出了以半导体量子环构建量子计算机的理论设想,提供了一种新的可行的量子比特实现方式。该论文已经被英国皇家化学学会的杂志 Phys. Chem. Chem. Phys. 收录并予以刊发(Phys. Chem. Chem. Phys., 2017,19,30048-30054 )。 量子计算机是通过叠加和纠缠的量子现象来实现计算力的增长。量子叠加使量子比特能够同时具有 0 和 1 的数值,可进行“同步计算”;量子纠缠使分处两地的两个量子比特能共享量子态,创造出超叠加效应:每增加一个量子比特,运算性能就翻一倍。理论上,拥有 60 个量子比特的量子计算机可瞬间实现百亿亿次计算(E 级计算)。 目前,谷歌、微软、IBM 、英特尔等科技公司也已经开始量子计算的研究。今年 5 月,IBM 发布 16 个量子比特的系统,半年之后即发布新型的 20 位量子比特的量子计算机,并宣称已成功开发出一台 50 位量子比特的原型机。谷歌量子硬件负责人约翰·马丁尼斯(John Martinis)则在 10 月透露谷歌已拥有 22 个量子比特的芯片,并且计划在明年发布 49 个量子比特的芯片。 中国也在 5 月初发布了世界首台超越早期经典计算机的光量子计算机,成功实现了 10 个超导量子比特纠缠,预计年底可以实现操纵 20 个量子比特。作为信息载体的量子比特的实现方式,是量子计算机的研究中一项关键性技术。优秀的量子比特实现方式一般需要满足几项特定的要求,如较为容易的物理载体的实现方式、容易的初态制备和操作、较长的相干时间等等。 目前,量子比特的实现方式主要有光子、离子阱、超导环、半导体量子结构等,基于这些不同物理载体实现的量子计算机各有优劣,如光子相干时间较长但难以观测和控制,超导环易于控制但相干时间极短,而离子阱虽然相干时间较长且易于控制,但由于需要频繁的激光操作,因此效率不高。 浪潮和中国科学院微电子研究所微电子器件与集成技术重点实验室、重庆邮电大学理学院、厦门大学物理科学与技术学院半导体光子学研究中心的相关研究人员从理论上提出的半导体量子环设想,可使用半导体量子多电子环中电子自旋轨道耦合调控的手段,通过外场或电子数的方式实现对量子态的有效调控,并通过光学手段很容易探测。更重要的是,基于半导体量子结构的实现机制则可以利用现有的半导体工艺,从而可以较为平滑地从经典的半导体芯片过渡到量子芯片。 本论文的研究方法使用了较为精确的理论模拟方法,计算量巨大,如 3 个电子态的物理计算就需要约 30 亿次双精度浮点计算量,6 个电子态的计算量更是增长 100~1000 倍,因此模拟代码的实现在一开始就考虑到了大规模并行扩展和优化,可实现对十数个电子态的模拟计算。 稿源:cnBeta、网易科技,封面源自网络;编辑:青楚。