标签: 谷歌

欧盟监管机构对谷歌发起数据隐私相关调查

北京时间5月23日凌晨消息,总部设在爱尔兰的欧盟数据保护委员会(Data Protection Commission)周三宣布将对谷歌展开调查,内容涉及这家科技巨头收集网络广告相关数据的行为。 在欧洲地区,欧盟数据保护委员会是对谷歌进行监管的主要机构,该委员会称其将会调查谷歌在广告交易中的数据处理方式是否违反了欧盟的隐私权规定。 “根据2018年数据保护法(Data Protection Act 2018)第110条的规定,我们已经开始对谷歌爱尔兰有限公司(Google Ireland Limited)在线上广告交易中处理个人数据的行为展开法定调查。”欧盟数据保护委员会在周三发布的一份声明中说道。 去年欧盟推出了全面的最新隐私权改革措施,也就是所谓的“一般数据保护条例”(GDPR),在控制个人数据的问题上向欧洲公民赋予了新的权利,包括他们拥有了解公司如何使用其数据以及强迫公司销毁其数据的权利等。 欧盟数据保护委员会宣布对谷歌展开调查的背景是,科技公司正在全球范围内面临着从内容到数据保护等各个方面的监管审查。去年,Facebook尤其遭到了诸多批评,原因是该公司允许颇受争议的政治咨询公司剑桥分析(Cambridge Analytica)获取了8700万名用户的个人数据。 与此同时,今年早些时候法国隐私监管机构决定对谷歌处以5000万欧元(约合5600万美元)的罚款,这是自“一般数据保护条例”出台以来,欧盟首次对一家美国科技巨头处以罚款。 “一般数据保护条例”是在2018年5月25日生效的,即将迎来一周年纪念日。(唐风)   (稿源:新浪科技,封面源自网络。)

谷歌:大多数黑客雇用服务都是假的

谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示,大多数网上提供的黑客雇用服务都是诈骗或者无效的。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。 这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐,用来进行此次研究,账号允许研究人员记录其与受害者的关键互动行为,以及为此次研究创建的角色的其它方面信息,如商业网络服务器、朋友或合作伙伴的电子邮件地址。 研究结果表明,在参与的 27 项黑客服务中,有 10 项从未回复过研究人员的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三人似乎是诈骗份子。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员表示,这些黑客攻击服务的收费通常在 100 美元到 500 美元之间,而且没有人使用自动化工具进行攻击,所有攻击都涉及社会工程,黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中,一些黑客询问了研究人员要攻击的受害者的详细信息,而其它人则不过问,并且选择使用可重复使用的电子邮件网络钓鱼模板。 研究人员的结论是,当前 Email 劫持服务出售尚未成熟到其它犯罪细分市场的水平。可以查看原报告,了解该研究的具体细节: Hack for Hire: Exploring the Emerging Market for Account Hijacking   (稿源:开源中国,封面源自网络。)

因无线配对协议错误 谷歌宣布召回 BLE 版 Titan 安全密钥

Titan安全密钥是由谷歌推出的一款防范网上诱骗的双重身份验证 (2FA) 设备,内置硬件芯片,其中包含由 Google 设计的固件,用于验证密钥的完整性。它主要为IT管理员这样的高价值用户提供妥善的安全保护,并防范账号被盗用。不过近期谷歌发现Titan存在安全隐患,允许攻击者在物理接近的时候访问安全密钥或者和它配对的设备。 由于蓝牙低功耗(BLE)版本Titan安全密钥的无线配对协议中存在错误配置,导致谷歌宣布召回这批设备。当Titan安全密钥和配对的设备进行通信的时候,这个错误允许攻击者在大约30英尺范围内发起攻击。根据谷歌官方的概述: 当您尝试在设备上登录帐户时,通常会要求您按BLE安全密钥上的按钮将其激活。在此时刻身临近距离的攻击者可能会在您自己的设备连接之前将自己的设备连接到受影响的安全密钥。在这种情况下,如果攻击者以某种方式已经获得您的用户名和密码并且可以准确地计算这些事件,则攻击者可以使用他们自己的设备登录您的帐户。 在使用安全密钥之前,必须将其与您的设备配对。配对后,与您近距离接触的攻击者可以使用他们的设备伪装成受影响的安全密钥,并在您被要求按下密钥上的按钮时连接到您的设备。之后,他们可能会尝试将其设备更改为蓝牙键盘或鼠标,并可能会对您的设备执行操作。 如果你手头上就有一个Titan安全密钥,那么可以通过检查设备背面来确认是否受到影响。如果您看到“T1”或“T2”,那么您的密钥会受到影响,您有资格获得免费更换。由于该错误仅影响蓝牙配对,因此安全密钥的非蓝牙版本不受影响。   (稿源:cnBeta,封面源自网络。)

自 Android Q 开始 谷歌将要求所有安卓设备启用磁盘加密

在过去很长一段时间里,Android系统通过存储加密方式来加密用户的数据。尽管这是保护数据的常规方式,但主要依赖于硬件实现,因此在过去谷歌并没有在Android设备中严苛执行存储加密。不过谷歌在Android Q中引入了全新的安全技术,能够让任意Android设备无需硬件辅助实现加密。 在加密手机磁盘的时候Android支持Advanced Encryption Standard标准,但这需要依靠专用的硬件来提供快速和高效的解决方案。对于装备ARMv8处理器的中高端手机来说这自然没有问题,但是对于入门手机、智能手表甚至是智能电视来说就没有那么幸运了。 去年2月份的时候,谷歌推出了全新的Adiantum加密模式。简单来说就是使用HTTPS加密的概念和算法提供快速和安全的加密,而不需要依赖SoC上的专用加密硬件。谷歌承认这项技术依然是新技术,但是对它的安全性充满信心,并有望彻底改变Android的安全规范。 自Android Q开始,所有Android设备都需要加密用户数据,这包括Wear OS、Android TV和Android Automotive。拥有专用硬件的Android设备会依然继续使用AES加密,而不会回退使用Adiantum。   (稿源:cnBeta,封面源自网络。)

美国警方向谷歌索取大量位置数据 协助刑事侦查

北京时间4月15日上午消息,据美国科技媒体CNET报道,当美国警方调查陷入僵局时,谷歌的位置数据或许可以为当局提供新的线索。 据《纽约时报》周六报道,警方正利用谷歌的Sensorvault数据库提供的信息,协助全国各地的刑事案件侦察。报道称,该数据库拥有全球数亿部手机的详细位置记录。该数据库的本意是,收集使用谷歌产品之用户的信息,以便公司更好地向他们投放广告,并了解广告的效果。 但警方也一直在利用这个数据库,协助调查案件。执法部门可以获得“地理围栏”(geofence)搜查令,搜索位置数据。根据报道,这种搜查令在过去6个月数量猛增,谷歌在一周内最多曾收到180多个此类请求。 谷歌拒绝回答有关Sensorvault的具体问题,仅表示,公司已缩小披露给警方的可识别信息量。 “我们在协助执法办案的过程中,也坚持大力保护用户隐私,”谷歌执法和信息安全主管理查德·萨尔加多(Richard Salgado)在声明中说,“我们为这些特殊的请求设计了一个新的流程,该新的流程旨在帮助我们履行公司的法律义务,同时也缩小所披露数据的范围,仅生产标识法律要求搜索之指定用户的信息。” 报道中提到,对于地理围栏搜查令,警方会划出一个特定的区域和时间窗口,然后谷歌可以从Sensorvault中提取在那些窗口期出现的设备信息。信息是匿名的,但警方可以分析这些信息,以将范围缩小到少数可能与调查相关的设备。然后,谷歌才会向警方提供这些设备的用户姓名与其它数据。 随着科技行业在数据收集行为一事上面临愈发严格的审查,执法相关的新闻亦时有出现。执法机构在调查期间寻求这些科技公司的协助并不罕见。但是对Sensorvault数据库中数据的使用,引发了人们对无辜人群的担忧。比如,《纽约时报》采访了去年一名因谋杀调查案被捕的男子。据称,谷歌提供的数据把他送进了监狱。他在一周后随即被释放,因为警方查明嫌犯另有其人,并逮捕了真正的凶手。     (稿源:新浪科技,封面源自网络。)

谷歌为 G Suite 用户引入一系列新的安全工具

谷歌的在线生产力和协作平台G Suite迎来了一系列安全更新。本轮更新重点增强了公司数据的保护,既包括控制用户的访问权限,还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。今天谷歌发布了高级网络钓鱼和恶意软件保护Beta版本,旨在帮助管理员保护用户免受恶意附件和电子邮件欺骗等因素的影响。 其中最有趣的功能就是全新的安全沙盒,这是面向G Suite企业用户的另一项测试版功能。在对附件进行已知病毒和恶意软件的扫描之外,该沙盒还可以额外添加一层保护层。附件扫描无法完全保护您免受零日勒索软件或复杂恶意软件的侵害。因此在沙箱环境中执行附件,以检查是否存在任何安全问题。 此外在今天的更新中,谷歌还面向管理员推出了全新的安全和警报中心测试版。这些工具目的是创建一个包含最佳实践建议的统一服务,集成通知中心和相关工具,并且对威胁进行分类和采取措施,所有这些工作都侧重于管理员之间的协作。另外还有一个新的安全调查工具,主要侧重于允许管理员创建自动工作流以发送通知或将所有权分配给安全调查。     (稿源:cnBeta,封面源自网络。)

谷歌 Facebook 等公司被曝在政府网站上追踪欧盟用户

新浪科技讯 北京时间3月19日凌晨消息,丹麦浏览器分析公司Cookiebot公布研究报告称,欧盟各国政府将允许包括谷歌和Facebook在内的100多家广告公司在敏感的公共部门网站上秘密跟踪公民,而这显然是违反欧盟数据保护规则的。 Cookiebot在欧盟25个成员国的官方政府网站上发现了可记录用户位置、设备和广告主浏览行为的广告追踪工具,其中法国政府网站上的广告追踪工具数量最多,共有25家不同公司在其网站上跟踪用户行为。 在22个主要政府网站的前五大追踪域名中,谷歌、YouTube和谷歌旗下DoubleClick广告平台占据了三席。 研究人员还对欧盟公共卫生服务机构的网站进行了研究,结果发现在接受分析的网站中,就堕胎、艾滋病毒和精神疾病等敏感话题寻求健康建议的人而言,他们在超过一半的网站上都遇到了商业广告追踪工具。 Cookiebot对爱尔兰卫生服务网站的15个页面进行了扫描,发现其中近四分之三页面都含有广告追踪工具;而就法国政府有关流产服务的一个页面而言,有21家不同的公司正在对这个页面进行监控。一个有关产假的德国网页遭到了63个追踪工具的监控,而在提供艾滋病病毒症状、精神分裂症和酒精中毒相关信息的卫生服务网页上则发现了谷歌DoubleClick追踪工具。 研究人员还发现,虽然很多政府都在隐私政策中提到了谷歌用于运行网站的分析cookie,但该公司并未披露任何广告相关cookie。 “任何网站都有责任将其网站上发生的任何数据收集和处理行为告知用户。”非营利组织“隐私国际”(Privacy International)的技术专家埃利奥特·本迪内利(Eliot Bendinelli)说道。“这些网站没有遵循这项基本要求,这个事实表明当前的追踪生态系统已经失控。” 许多商业追踪工具应该是通过后门访问这些公共网站的,其中包括通过ShareThis等社交共享插件进行访问。 “我们发现,在未经用户本人同意或政府不知情的情况下,很多广告技术追踪工具都通过这些插件从其他第三方渠道访问网站。”Cookiebot CEO丹尼尔·约翰森(Daniel Johannsen)说道。“虽然政府应该并没有控制或是受益于有文件证明的数据收集行为,但其仍旧允许公民的隐私权受到损害,这违反了各国政府自己制定的法律。” 行业专家称,广告技术公司正在获取访问欧盟政府网站的访客的个人数据,并将这些数据与其他来源的数据结合起来,组合成每名独立用户的详细信息,并可能将其出售给数据掮客。 “浏览历史是非常私密的信息,能表明我们担心些什么,有什么计划,对什么感兴趣,日常生活是怎样的,工作的重点是什么。”本迪内利说道。“政府网站(的问题)是特别令人关注的案例,因为这些网站提供至关重要的信息和服务,人们依赖这些信息和服务,而且往往无法选择不使用这些信息和服务。” 布鲁塞尔民权组织“欧洲数字权利”(European Digital Rights)高级政策顾问迭戈·纳兰乔(Diego Naranjo)表示,Cookiebot的调查结果引发了人们的疑问,令人质疑这些公共网站是否违反了去年刚刚生效的欧盟“通用数据保护条例”(General Data Protection Regulations)。 “我们需要欧盟数据保护官员对这一行为是否符合‘通用数据保护条例’的问题进行分析。”他说道。“在我看来,这种行为没有任何明显的法理基础,并表明在线广告追踪的问题已经变得多么普遍,需要尽快加以解决。” 谷歌表示:“我们的政策很明确:如果网站出版商选择使用谷歌网站或广告产品,那就必须获许使用与这些产品相关的cookie才行。”此外谷歌还补充称,该公司不允许出版商“根据怀孕或艾滋病毒等健康状况相关的用户敏感信息来建立目标选择清单”。 Facebook发言人称,这项调查“让那些选择使用Facebook商业工具——如‘喜欢’和‘共享’按钮或Facebook像素等——的网站凸显了出来”。 “我们的商业工具能帮助网站和应用程序扩大社区,或是使其更好地了解人们如何使用它们的服务。”Facebook补充道。“Facebook认为,网站所有者有责任就哪些公司可能正在追踪用户的问题向后者发出通知。”     (稿源:新浪科技,封面源自网络。)

谷歌信息安全业务 Chronicle 发布首款商用产品

从Google X中分拆出的信息安全业务、Alphabet旗下Chronicle本周发布了首款商用产品:一个名为Backstory的信息安全数据平台。利用谷歌庞大的基础设施和数据分析能力,Backstory为信息安全分析师提供了从大量警报中解析出潜在威胁的能力,帮助他们更快地找到真正的漏洞。 在竞争激烈的美国信息安全产品市场上,目前还没有太多方法将来自不同产品的数据整合到统一的系统中。 技术研究公司Enterprise Strategy Group高级分析师琼恩·奥尔特西克(Jon Oltsik)表示:“信息安全专家供不应求,他们更倾向于把时间花在实际的安全工作中,而不是管理安全数据的基础设施。这给云计算厂商带来了良机,这些厂商已经拥有能处理正在产生的大量安全信息的全球云基础设施。” Chronicle没有公布价格细节,但该公司CEO史蒂芬·吉列特(Steven Gillett)表示,这款产品不会基于数据量这种众所周知的定价方式,因为这种方式可能会给客户带来意料之外的高额账单。Chronicle表示,授权将根据公司规模而定,而不是根据客户数据的规模。 他同时表示,Chronicle并不打算取代当前的信息安全公司。他已致电一些顶级供应商的CEO,向他们保证Chronicle正在寻找合作伙伴,而不是竞争对手。 然而,某种程度的竞争仍然不可避免。提供安全信息和事件管理服务(SIEMs)的公司最可能成为Chronicle的竞争对手。这样的供应商包括IBM、Rapid7和Splunk等。 谷歌在信息安全领域的发展已经有一段时间。2012年谷歌收购了VirusTotal。后者是美国公司广泛使用的免费服务,支持客户记录和查找威胁。这款产品随后被合并至Chronicle。吉列特表示,将继续免费提供VirusTotal,让美国和欧洲各个行业、各种规模的公司都有方便了解Backstory服务的渠道。 Chronicle还在用户界面方面有优势。这款产品的界面和使用感受都非常简单,类似谷歌搜索引擎。   (稿源:cnBeta,封面源自网络。)

Facebook、谷歌等或因有害信息面临英政府数十亿美元罚款

英国政府计划打击社交媒体公司。如果这些公司不清除平台上被认为有害的内容,将被处以数十亿美元的罚款。在接受Business Insider采访时,英国数字部长詹姆斯(Margot James)表示,新的独立技术监管机构将获得惩罚包括Facebook和谷歌等公司的权力,如果发现这些公司不能妥善保护用户的话。 这个计划将在下个月的互联网安全政策文件中详细叙述,但詹姆斯给了Business Insider一些关于政府对新制裁制度如何运作的思考和见解。该计划响应了目前世界各地的立法者正在制定新规则,要求最大的科技巨头顺从。 英国政府的部长们正计划建立一个强大的独立于政府的新技术监管机构。它将确定什么构成有害内容,并对未能迅速采取措施消除不适当内容的公司进行处罚。 詹姆斯表示,政府将制定一项制裁制度,“与ICO(Information Commissioner’s Office )已经具备的权力并无太大差别”。根据欧洲新的GDPR隐私法,ICO有权力对重大数据泄露事件处以高达全球收入4%的罚款。 对Facebook而言,意味着其2018年的558亿美元收入中将产生高达22亿美元(16.5亿英镑)的罚款。对谷歌来说甚至更高,4%意味着母公司Alphabet 2018年收入1368亿美元中的54亿美元。 Business Insider联系了Facebook和Google以征求意见。最近几个月,两家公司都多次表示他们对监管持开放态度。 詹姆斯说:“我们将会有一个强大的制裁制度,它不会包含经济处罚,这是不可思议的。” “而且它们的大小必须具有威慑作用。如果你看一下ICO的罚款权力,这可能是我们所考虑的有用指南。” 政府最关注的是有害内容的罚款制度如何适用于社交网络和科技公司。 这不仅仅是正在考虑的经济处罚。政府还表示,如果技术公司的高管们未能控制他们的平台,他们可能会面临刑事制裁。 “我们将考虑所有可能的处罚选项,”英国文化部长杰里米赖特(Jeremy Wright)本月早些时候告诉BBC。 有害内容的定义非常广泛 詹姆斯表示,政府正在采取“整体”的角度来看待什么是有害内容。这意味着英国的新处罚制度将比德国更广泛。例如,在所谓的NetzDG禁止在线仇恨言论的法律下,公司可能被处以高达5000万欧元(5700万美元/ 4300万英镑)的罚款。 英国新监管机构将审查从非法仇恨言论,如恐怖主义招募或种族主义,到更难以发现的滥用行为等各种内容,例如在线诱拐儿童或有关自杀和自残的问题内容。错误信息也属于监管机构的职权范围。 “这些判断并不一定清晰,”詹姆斯说,并补充说,其中一条指导原则是“线下非法和不可接受的内容,线上一样非法”。 许多科技巨头所在的美国通常比欧洲国家的言论限制较少。例如,它并不禁止仇恨言论。 尽管如此,在美国,像谷歌这样的公司,因其算法决定的广告发布位置与恐怖主义宣传等令人反感的视频一起,也面临着广告压力。而Facebook一直被呼吁该公司应该采取更多措施控制虚假信息传播。 詹姆斯表示,当有害内容出现在他们的平台上时,并不一定是社交媒体公司的错。然而,如果他们未能迅速将其删除,那是他们的错,她说。 “你必须在它扩散之前把它取下来,”詹姆斯说。 “这就是我们要说的。如果事件发生三周过去才处理已经太晚了。” 上周,詹姆斯和赖特都在旧金山。文化部长赖特会见了Facebook首席执行官马克扎克伯格谈论监管,而詹姆斯在位于加利福尼亚州门洛帕克的公司总部与数名高管举行了多次会议。 “我会说,Facebook对一个值得信赖的独立第三方机构的前景感到宽慰,他们正在承担一些困难的决定,当有些事情处于灰色地带和非法之间时……但是我们正试图减少其他一些伤害,“詹姆斯说。 英国需要世界领先的科技法规 部长们尚未决定是否会成立新的监管机构,或者只是将权力交给英国的媒体监管机构Ofcom,后者已经对电视上的不当内容做出定义。 詹姆斯补充说,新的权力必须“谨慎的使用”,因为政府不想阻碍创新。 “我们显然不希望出现这样的一种监管环境,其默认功能是拒绝和压制,因为我们希望鼓励创新,”她说。 部长补充说,英国希望推出可以作为其他国家模板的法规,并确保“其他政府跟随我们”。 保守党国会议员达米安·科林斯(Damian Collins)上周公布了对Facebook和在线虚假信息进行为期18个月的调查结果,他在结论中表示,如果科技公司违反了有害内容行为准则,那么他们应该遭受“巨额罚款”。他对詹姆斯在接受Business Insider采访时所做的评论表示欢迎。 柯林斯告诉Business Insider说:“强有力的制裁计划对于确保科技公司遵守政府即将提出的建议至关重要。” “我对部长的立场表示欢迎。正如我们从德国的NetzDG立法等例子中看到的那样,科技公司知道什么影响他们的收入,如果他们没有履行职责,那么他们应该面临相当大的惩罚。”     (稿源:新浪科技,封面源自网络。)

谷歌研究者:软件技术无法解决“幽灵”芯片漏洞

新浪科技讯 北京时间2月25日早间消息,据美国科技媒体Ars Technica报道,谷歌研究人员对“幽灵”(Spectre)攻击的范围和影响进行调查后,发表了一篇论文,认为类似于这样的漏洞可能会继续困扰处理器,而基于软件的防护技术会产生较高的性能成本。 他们还认为,无论如何,软件都不足以防御这种攻击——一些“幽灵”漏洞似乎并没有有效的软件防御措施。因此,“幽灵”将成为未来的一个重要安全隐患,并没有直接的解决方案。 “崩溃”(Meltdown)和“幽灵”攻击的发现无疑是2018年的重大安全事件。去年1月首次发现后,全年又出现了新的变种。这两种攻击都依靠处理器的理论架构行为与真实的事实行为之间的差异来发动。 具体而言,所有的现代处理器都会进行推测执行,例如,它们会假设某个值从内存中读取,或者某个if条件是真是假,使之可以根据这些假设提前执行任务。如果假设正确,推测结果就会保留;如果假设错误,推测结果就会放弃,处理器则会重新计算。推测执行并不是处理器的架构特征,而是执行特征,因此应该在完全不可见的情况下执行程序。当处理器放弃错误的推测时,看起来就像这个推测从未发生过一样。 但“崩溃”和“幽灵”漏洞的研究人员发现,推测执行并非完全不可见。当处理器放弃推测结果时,错误推测会留下一些痕迹。例如,推测可能会改变处理器缓存中的数据。程序可以通过测量从内存中读取数值的时间来探测这些变化。 通过仔细构建,攻击者便可让处理器根据一些兴趣值进行推测,并使用缓存变化来揭露出推测值的实际情况。这就会对网络浏览器等应用构成威胁:可以利用恶意JavaScript来了解正在运行的进程的内存布局,然后使用这些信息来利用其他安全漏洞执行任意代码。 网络开发者认为他们可以在浏览器处理过程中构建安全沙盒,这样一来,脚本就无法了解其包含进程的内存布局。从架构角度来讲,这种假设似乎完全合理。但由于存在“幽灵”攻击,导致这些假设无法成立。 英特尔、苹果和其他采用ARM架构的芯片所面临的“崩溃”漏洞则是这种方式的一个可怕变体。它能让恶意程序从操作系统内核中提取数据。在发现这种漏洞后,操作系统已经进行了一些调整,将多数数据隐藏,使之无法被这种恶意程序发现。英特尔也对其处理器进行了专门的调整来解决“崩溃”问题,所以该公司最近的处理器已经不再需要激活这些变化。 “幽灵”更加难以应对。已经出现了很多软件技术阻止处理器通过推测方式执行敏感代码,或者限制信息通过推测执行方式泄露出去。 谷歌研究人员发现,这些软件措施有很多不完善的地方,例如在从内存加载许多值之后便会屏蔽所有的推测,虽然可以屏蔽很多攻击,但实际使用中却效果不佳。研究人员还尝试修改Chrome V8 JavaScript引擎,但却会导致性能下降三分之一或五分之一。其他措施也会遭遇类似的问题。 但所有措施都存在一个问题:没有一种方式能够屏蔽所有的“幽灵”变种,因此需要将许多技术结合起来。而由于这些技术不能任意结合,所以单纯是找到合适的技术组合也是一个巨大的挑战。另外,谷歌还设计了一个通用目的“幽灵”家族攻击,无法用目前的任何技术实现防御。 “幽灵”攻击的一项重要因素是衡量缓存变化的时间系统。有一种想法认为,可以让应用使用的时钟不那么精确。这种理论认为,如果需要以几纳秒的长度来衡量缓存差异,那么以毫秒为精度单位可能就会太过粗糙,无法发动攻击。但研究人员却设计了一种技术来放大这种时间差异,而这种放大效果可以战胜这种让时间系统变得粗糙的防御方式。 正因如此,该公司认为不可能完全依靠软件技术来防御“幽灵”攻击。硬件调整或许可以实现这种效果,但这目前仍未得到证实。   (稿源:新浪科技,封面源自网络。)