标签: 谷歌

为调查非法武器 美政府令苹果谷歌提交万名用户数据

北京时间9月10日上午消息,据福布斯杂志网站报道,最近,美国政府希望苹果和谷歌提交使用枪支相关应用的用户数据,包括姓名、电话号码和其他身份识别数据。涉及的用户数量至少有1万名。 这样的举措前所未有:美国调查人员从未在任何一个案件中,要求苹果和谷歌提价及单个应用的用户个人信息;也从未公开任何一项命令,允许联邦政府要求硅谷巨头一次提交近万人的个人信息。 根据司法部(DOJ)在9月5日提交的法院命令申请,调查人员希望获取有关Obsidian 4应用上的用户信息。Obsidian 4是一个用来控制American Technologies Network Corp(ATN)制造的步枪瞄准器的工具。该应用允许枪支持有人从Android或iPhone设备上获取直播、录制视频并校准枪支瞄准器。Google Play上的Obsidian 4的信息页显示,该应用下载量已超过1万次。苹果未提供下载数据,因此我们尚不清楚有多少iPhone用户受此次政府新措施的影响。 隐私活动人士提醒称,若法院批准该请求,且苹果和谷歌也决定予以配合的话,数千名与犯罪无关的用户的个人数据将被调查。隐私国家的国家监督计划负责人埃丁·奥曼诺维奇(Edin Omanovic)表示,这将开创一个危险的先例,并擭取“大量无辜用户的个人数据”。 “这样的命令应该仅针对嫌疑犯且是具体化的——但这个命令两项都不符合,”奥曼诺维奇说。 截至文章发布时,苹果与谷歌均尚未回复评论请求。瞄准器制造商ATN也未予以回复。美国司法部也未回复评论请求。 美国移民与海关执法局(ICE)希望获得这些数据,来广泛调查可能的违反武器出口规定的行为。ICE目前正在调查ATN瞄准器的非法出口,但公司本身未接受调查。因此,调查人员希望找到一种快速的方法,确定应用使用的位置,因为这个信息很有可能暗示硬件被发往哪个位置。ICE调查的对象目前仍是个谜团,因为至今不管是ATN公司还是武器工具零售商都未曾被公诉。 若法院签发该命令,苹果和谷歌将需要提交从2017年8月1日起到目前为止下载过该瞄准器应用的用户姓名,电话号码和IP地址等等。 这一要求牵涉广泛,不仅是可能非法获得枪支的海外用户,包括美国境内使用该应用的用户也会被卷入调查。 尽管这项命令在美国前所未有,但非美国政府之前已尝试过类似的策略。福布斯此前报道过,曾有一政府要求苹果提交一个相关应用的5800万名用户的数据,以跟踪一个恐怖分子的基层组织。但苹果拒绝了提交数据的请求。   (稿源:新浪科技,封面源自网络。)

谷歌 YouTube 因非法收集儿童个人信息被罚 1.7 亿美元

新浪科技讯 北京时间9月5日凌晨消息,美国联邦贸易委员会(FTC)周三称,Alphabet旗下谷歌公司及其YouTube视频服务将支付1.7亿美元和解金,以了结有关YouTube收集儿童个人信息并因此触犯了联邦法律的指控。 YouTube被控在未经父母同意的情况下使用“cookies”追踪儿童频道的观众,并借此向这些观众投放了价值数百万美元的靶向广告。 谷歌与联邦贸易委员会和纽约总检察官办公室达成了这项和解,其中后者将拿到3400万美元,这是自1998年禁止收集13岁以下儿童信息的法律生效以来最大的一笔和解金。这项法律在2013年进行了修订,将用于跟踪用户的互联网收视习惯的“cookies”覆盖在内。 与公司营收相比,这一和解金的数字则是很小的。Alphabet约85%营收来自出售广告位和广告技术,该公司7月公布财报称其第二季度总营收达389亿美元。 YouTube周三发布声明称,在4个月后,无论是谁观看儿童内容,YouTube都将把从中收集到的所有数据都当作来自儿童的数据来进行处理。YouTube在官方博客上表示:“这就意味着,我们将会限制面向儿童制作的视频的数据收集及其使用,将其限制在支持服务运营所需范围之内。” 除了罚款之外,拟议的和解方案还要求谷歌开发一套识别儿童内容的系统,并通知频道所有者他们有义务先征得家长的同意,随后才能收集儿童信息。 联邦贸易委员会下属消费者保护局局长安德鲁·史密斯(Andrew Smith)表示,1.7亿美元的和解金是以谷歌通过收集儿童个人信息所得收入,再乘以一个倍数而得出的。他还补充称:“很巧的是,1.7亿美元大约是消费者保护局一年的预算。” 史密斯称,一旦和解协议生效,联邦贸易委员会计划“对YouTube平台进行一次‘扫荡’,以确定是否仍然存在以儿童为导向的内容”并收集个人信息。 政府在此前提交的诉状中表示,在向美泰(Mattel)和孩之宝(Hasbro)等公司推销自己时,YouTube称其在儿童中极受欢迎。 纽约州总检察官利蒂西亚·詹姆斯(Letitia James)表示,谷歌和YouTube“滥用了自身力量”。他指出:“谷歌和YouTube在知情的情况下非法监控和追踪儿童信息,并向其提供靶向广告,只是为了能让广告收入滚滚而来。”   (稿源:新浪科技,封面源自网络。)

Project Zero 团队深入剖析了在野外被利用的 iOS 漏洞

作为谷歌旗下的一支安全研究团队,Project Zero 致力于在第一时间发现查找和报告安全漏洞,无论是自家的产品或服务、还是来自其它企业的安全隐患。今年早些时候,谷歌威胁分析小组(TAG)发现了一小部分黑黑客入侵的站点,证实其能够利用零日漏洞,对使用 iPhone 的访客展开无差别攻击。 不慎掉入上述网站的 iPhone 用户,可能被黑客顺利地植入监控。Project Zero 团队预计,这些网站的每周访问数量在数千人。 在深入研究后,谷歌威胁分析小组(TAG)收集到了五个独立、完整、且独特的 iPhone 漏洞利用链条,发现其影响从 iOS 10 到 iOS 12 的几乎每一个版本。 换言之,黑客利用这些零日漏洞向 iPhone 用户发起的攻击,至少已经有两年的时间。遗憾的是,尽管根本原因并不新颖,但仍然经常被人们所忽视。 TAG 指出,他们在五个漏洞利用链条中发现了总共 14 个漏洞攻击,其中 7 个面向 iPhone 的 Web 浏览器、五个面向内核、两个瞄向单独的沙箱转义。 初步分析表明,其中至少有一个仍属于零日漏洞的特权升级利用链,且在被发现时没有打上 CVE-2019-7287 和 CVE-2019-7286 漏洞补丁。 Project Zero 团队在 2019 年 2 月 1 日向苹果报告了这些问题,并给出了 7 天的截止日期。庆幸的是,该公司在 2 月 7 日发布了 iOS 12.1.4 修订版本。 Project Zero 团队向苹果分享了完整的细节,然后在 2 月 7 日那天将漏洞告正式公布。几个月后,Project Zero 在一篇博客文章中展示了有关此事件的详细报告。 文章一共有好几篇,分别深入介绍了所有五个权限提升漏洞的利用链条,植入内容的拆解(包括在研究人员自己设备上运行的演示),对命令与控制服务器的逆向解析,以及演示成功植入后的功能 —— 比如窃取 iMessage、照片、GPS 位置时间等私人数据。感兴趣的朋友可以去了解一下。   (稿源:cnBeta,封面源自网络。)  

谷歌扩展安全奖励项目 覆盖数据滥用和更多 Android 应用程序

自 2010 年推出除虫赏金项目以来,谷歌已经向安全研究人员支付了超过 1500 万美元的奖励。今天,这家科技巨头宣布进一步拓展 Google Play 安全奖励项目(GPSRP)的范围,以覆盖上亿的 Android 应用程序。与此同时,谷歌与 HackerOne 合作推出了开发者数保护奖励(DDPRP)项目,适用于针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序的数据滥用。 谷歌认为,除虫奖励项目是其内部安全计划的一个有力补充,能够激励个人和安全研究机构帮助其找到缺陷并正确地披露,而不是将之在灰色市场兜售或恶意使用。 与其等到发生难以挽回的严重后果,还是掏钱奖励安全研究人员来得划算。此外,在今天的更新发布之前,谷歌还于上月增加了 Chrome 浏览器、Chrome OS、以及 Google Play 的安全研究奖励。 截至目前,Google Play 安全奖励(GPSRP)项目已经向安全研究人员支付了超过 26.5 万美元的赏金。随着该项目覆盖更多热门的应用,未来谷歌有望拿出更多的预算。 同时,谷歌还在努力提升自动筛查漏洞的技术能力,为 Google Play 中的所有应用查找类似的漏洞。如有应用开发者受到影响,可通过 Play 控制台接收到相应的通知。 据悉,谷歌的应用安全改进(ASI)项目,能够为开发者提供与漏洞及其修复方法相关的信息。 今年 2 月的时候,谷歌透露 ASI 项目已帮助超过 30 万名开发者,在 Google Play 上修复了超过 100 万个应用。 至于新增的开发人员数据保护奖励(DDPRP)计划,旨在识别和减轻针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序中的数据滥用问题。 若研究者可体征验证明确的数据滥用,谷歌将会根据 DDPRP 的奖励方案给予一定的报酬,因为该公司对用户数据被外使用或出售等情况尤为关切,最高可送上单笔 5 万美元的奖金。 那些被认定存在数滥用行为的 Android 应用和 Chrome 扩展程序,不仅会被 Google Play 和 Chrome 网上应用店下架,其开发者也会被限制对相应 API 的访问。   (稿源:cnBeta,封面源自网络。)

微软、谷歌和 BAT 等巨头成立机密计算联盟,联手保护数据安全

微软近日在其开源博客中宣布加入机密计算联盟(Confidential Computing Consortium,简称 CCC)。该组织致力于定义和加速推进机密计算的采用,并将托管在 Linux 基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司,它提供了一个让行业聚集起来的机会,以促进使用机密计算来更好地保护数据。 建立机密计算联盟的需求源于这样一个事实:随着计算从内部部署转移到公共云和边缘,对数据的保护变得更加复杂。当前的数据保护通常作用于静态(存储)或(网络)传输状态的数据。但是当数据正在被使用时,仍然存在风险,这也是数据保护中最具挑战性的一个步骤。 因此,机密计算将侧重于保护使用中的数据,并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据,而不会将其暴露给系统的其余部分,并减少敏感数据的暴露,为用户提供更好的控制和透明度。 “保护使用中的数据意味着数据在计算过程中不会以未加密的形式显示,得到访问授权的数据除外”,微软 Azure 首席技术官 Mark Russinovich 表示,“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它,数据将完全处于私密状态。” 机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析,或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。 目前,联盟成员已经为机密计算做出了一些开源贡献,包括: 英特尔®软件保护扩展(英特尔®SGX)软件开发套件,旨在帮助开发人员使用受保护的代码和数据,避免数据在硬件层被泄露或修改。 微软 Open Enclave SDK,这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序,以保护正在使用的数据。 红帽 Enarx,为可信执行环境(TEE)提供平台抽象,支持创建和运行“私有、可替换、无服务器”的应用程序。 Linux 基金会执行董事 Jim Zemlin 表示,现有的联盟只是一个开始,后续将会有更多企业加入。   (稿源:开源中国,封面源自网络。)

HTTPS 证书有效期被提议缩短至 13 个月

由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum,正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。 关于这样的提案,已经不是第一次提出。在 2017 年时,CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。 而早在一年前,证书的最长有效期已经从 39 个月降至 27 个月。 我们都知道,HTTPS 证书用于加密浏览器和站点之间的连接,帮助软件确定没有人篡改或窃听这些连接。 如果减少 TLS/SSL 证书有效的时间,网站必须更频繁地更新其证书。理论上,这样的证书有效期也有助于减少欺诈活动,如果是偷来的证书则很快会失效,被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书,而不是使用不安全算法的老化证书。 不过,本周一时,DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。 换句话说,减少有效期可能会促使企业免费使用 Let’s Encrypt TLS/SSL,就不会向 Digicert 这样的机构支付费用。Let’s Encrypt 可以免费发放 90 天的 HTTPS 证书,使用提供的软件客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支持 Let’s Encrypt TLS/SSL 证书,导致该服务正给向 HTTPS 证书收费的证书颁发机构带来巨大压力。 Hollebeek 称: 将证书寿命迅速缩短到一年,甚至更少,对于许多依赖数字证书保护系统的公司来说,这将带来巨大的成本。这些费用不会换来更加安全的改进,并且这项提案对从事非法活动或冒充合法公司的非法分子不会有任何影响。最主要的一点是,减少证书寿命的任何好处都是属于理论性的,在短期内要付诸实际的话,产生的风险和成本也将难以预测。 该提案于今年早些时候在谷歌员工 Ryan Sleevi 的一次会议上提出,目前仍处于草案阶段,还没有关于何时进行表决的消息。   (稿源:开源中国,封面源自网络。)

尽管谷歌已修复漏洞 网站仍会检测 Chrome 是否处于隐身模式

针对启用了无痕模式的 Chrome 用户仍会被不守规矩的网站强行检测一事,谷歌方面已经修复了一处漏洞。尴尬的是,这场利益攻防战并没有就此结束,因为聪明的网站仍会通过其它方法来检测 Chrome 76 是否启用了隐私浏览模式。其实 Chromium 团队自身也意识到存在这种可能,毕竟浏览器还提供了一些其它必要的应用程序接口(API)。 (题图 via Techdows) 默认情况下,Google 会在 Chrome 浏览器启用无痕模式时禁用文件系统 API,以防止将浏览历史记录保存到磁盘上。 反之,网站可以通过 Filesystem API,对用户浏览器的当前模式进行判断。然后强行要求用户登录或创建免费账户,以继续浏览完整的内容。 在意识到这个漏洞之后,谷歌引入了一个新的标记(flag),以便在无痕模式下启用 了 FileSystem API,Chrome 76 中已经默认打开。 谷歌在一篇博客文章中写到,其已经修复了某些网站不当利用 FileSystem API 的一个漏洞。 遗憾的是,即便急用了这个标记,《纽约时报》网站仍会检测到该模式是否已开启(如上图所示)。 近日有一位安全研究人员透露,Chrome 浏览器未能真的做到应对无痕模式的检测防御,因为网站仍可通过 Quota Management API 来检测。 另一位名叫 Jesse Li 的开发者,更是给出了一个技术概念验证,表明网站仍可通过评估 Filesystem API的 写入速度,来检测无痕模式。 当然,Chromium 开发团队仍可通过其它措施,来修复针对 Chrome 无痕模式的反向检测,比如可从配额和计时方面着手。   (稿源:cnBeta,封面源自网络。)

特朗普指责谷歌:在大选期间有“非常不合法的”行为

北京时间8月7日上午消息,据路透社报道,美国总统特朗普周二指责谷歌,称谷歌试图破坏他的2016年竞选活动,并警告在2020年大选到来之际,自己正“非常密切地”关注谷歌。 特朗普指责谷歌有“非常不合法的”行为,但并未拿出证据,也未正式控告。 白宫代表未立即回应政府将对谷歌采取何种措施的问题。 而谷歌发言人表示:“出于政治目的扭曲结果将伤害我们的业务,违背我们向所有用户提供有帮助的内容的使命。” 特朗普屡次抨击谷歌等多家科技企业,提升收紧监管的可能性。一些保守派人士指责这些科技公司不公平对待客户。   (稿源:新浪科技,封面源自网络。)

谷歌 Titan 安全密钥套件在加拿大、法国、日本和英国市场推出

谷歌今天宣布旗下的Titan安全密钥套件已经在加拿大、法国、日本和英国市场推出,而此前这款带有蓝牙按键和标准USB-A插口的安全密钥仅在美国地区上市发售。售价方面,在美国,Titan Key套装的售价为50美元;在加拿大价格为65加元;在法国为55欧元;英国为50英镑;日本为6000日元,均包邮送货。 这款USB安全密钥基于FIDO技术规范打造,内部固件由谷歌工程师,能够保护支持该硬件的所有平台账号。该密钥最初为为了谷歌内部使用而设计的,在对外出售之前已经在内部持续使用8个月了。USB密钥需要将设备插到电脑的USB端口展开认证,而蓝牙密钥则用于移动设备的无线认证。 它可用来保护支持该硬件的账号。Titan将有两个版本:USB版和蓝牙版。USB版,很显然需要将设备插到电脑的USB端口展开认证,而蓝牙版则用于移动设备的无线认证。获悉,两款密匙设备的套装价将在50美元左右,单独购买的话售价大概是20美元或25美元。   (稿源:cnBeta,封面源自网络。)

谷歌上调 Chrome 漏洞赏金额度 最高达 30000 美元

据外媒CNET,自2010年以来,谷歌已向一些报告Chrome浏览器安全漏洞的安全研究人员支付赏金。而现在谷歌宣布将提高赏金额度。据Chrome安全博客文章称,这将包括将最高基础赏金额度从5000美元增加到15000美元,并将“高质量报告”的最高赏金金额从15000美元增加到30000美元。 对于Chrome操作系统,谷歌基于浏览器的Chromebook软件基础,谷歌也将其常规赏金额度提高至15万美元,以揭露可能在更受限制的访客模式下危害Chromebook或Chromebox的攻击。谷歌周四表示,固件中发现的安全漏洞或让攻击者绕过Chrome OS锁定屏幕的安全漏洞也会产生奖励  。 最重要的是,谷歌正在增加对模糊测试的奖励,这是一种寻找漏洞的方法,它会在产品中投放随机数据,以便找到问题输入。谷歌在博客文章中称,“ 在 Chrome Fuzzer Program下提交Fuzzer的研究人员的额外奖励也增加到1000美元。” 谷歌表示,自2010年Chrome漏洞奖励计划创建以来,人们已经报告了超过8500个漏洞,谷歌已经为此支付了超过500万美元。 Google对其有资格作为“高质量报告”的具体规则进行了详细说明。 谷歌也为发现Google Play漏洞提供更高的赏金。该公司称,远程代码执行漏洞的赏金从5000美元增加到20000美元,将有关不安全私人数据窃取漏洞的赏金从1000美元上调至3000美元,以及将受保护应用程序组件相关漏洞的赏金从1000美元增加到3000美元。据谷歌称,如果你“负责任地”向参与的应用程序开发者披露漏洞,你将获得奖金。   (稿源:cnBeta,封面源自网络。)