标签: Google

5200 万用户数据泄露 谷歌将提前 4 个月关闭 Google+

新浪科技讯 北京时间12月11日早间消息,谷歌周一表示,将于明年4月关闭Google+社交媒体服务,比原计划提前4个月。此前,该公司今年第二次发现Google+的软件漏洞,新漏洞导致合作伙伴应用能访问用户的个人数据。 不过谷歌在博客中表示,没有发现任何证据表明,其他应用使用该漏洞访问了这些数据,包括用户的姓名、电子邮件地址、性别和年龄。谷歌表示,在上月引入的6天时间内,该漏洞影响了5250万个Google+帐号,其中包括一些企业客户的帐号。 本周,谷歌CEO桑达尔·皮猜(Sundar Pichai)将在美国国会众议院司法委员会就谷歌的数据收集行为作证。美国两党议员正呼吁制定新的隐私保护立法,以更好地控制谷歌、Facebook和其他大型科技公司。 今年10月,谷歌表示,将于2019年8月关闭Google+的消费级版本,因为维护该服务带来了太大的挑战。当时该公司表示,来自50万用户的个人信息数据可能被一个已经存在两年多的漏洞泄露给合作伙伴应用。 谷歌表示,在获得用户授权情况下从Google+获取数据,用于服务个性化的应用将会在90天内失去数据访问权限。与此同时,为企业客户开发Google+仍将是该公司的一大关注点。   稿源:新浪科技,封面源自网络;

Play 商店存恶意应用达11个月 直到近日才被谷歌移除

新浪科技讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,安全企业ESET的研究人员Lukas Stefanko本周揭露了一个在Google Play上安然存在11个月,直到近日才被Google移除。该恶意应用伪装成电话录音程序Simple Call Recorder,而在暗地里下载其它的恶意应用,直到近日才被Google移除。 在去年11月底登上Google Play的Simple Call Recorder约有5000次的安装次数,具备完整的电话录音功能,但主要目的却是要求使用者下载及安装一个伪装成Flash Player的更新应用,只是该更新应用实质上为恶意应用。 Stefanko进一步分析后发现,Simple Call Recorder的电话录音功能与Auto Phone Call Recorder及Auto save call两款程序的代码完全相同,只是夹带了恶意功能,这两款应用都在2016年就上架Google Play。他猜测,黑客是从其它来源取得了这些应用的源代码,窃取了电话录音的功能,重新嵌入恶意程序后再上传至Google Play。 Google Play的政策明文规定禁止移动应用从Play 商店以外的地方下载可执行的程序,但内含flashplayer_update.apk的Simple Call Recorder却照样通过Google审查,而且还安然无恙地待了11个月,直到近日才被Google移除。   稿源:新浪科技,封面源自网络;

用户从今天开始可以直接在 Google 产品中轻松控制个人隐私数据

谷歌产品管理,隐私和数据保护办公室主任Eric Miraglia发布了一篇博文,其中谈到了用户可以直接在Google产品中轻松控制数据。Eric Miraglia表示,谷歌一直致力于让用户更轻松地理解和控制数据,以便用户可以选择适合自己的隐私功能。   今年早些时候,谷歌推出了新的Google帐户体验,将用户的隐私和安全放在首位和中心位置,谷歌通过和更清晰的语言更新了谷歌的隐私政策,以更好地描述谷歌收集的信息,收集信息的原因以及用户如何控制它。   今天开始,谷歌会让用户更轻松地直接在每天使用的Google产品中控制数据。从搜索开始,用户现在可以查看和删除最近的搜索活动,快速访问Google帐户中最相关的隐私控制,并详细了解搜索如何处理用户的数据。 使用Google产品时,用户会生成有关用户的活动数据。对于搜索,此数据包括用户搜索的字词,与之交互的链接以及搜索时当前位置等其他信息。在今天之前,如果用户在Google上搜索并想要查看或管理这些数据,那么最好的方法就是访问用户的Google帐户。现在,谷歌将这些控件带给用户,从搜索中直接查看,用户可以查看或删除用户的搜索活动,并快速返回查找用户要搜索的内容。 谷歌还让用户快速访问Google帐户中用户搜索时最相关的隐私控制。例如,要控制用户在搜索时看到的广告,谷歌会授予用户访问广告设置的权限。此外,用户还可以访问自己的活动控件,以确定Google为用户的帐户保存哪些信息,并将其用于更快,更智能,更实用的搜索和其他Google服务。 谷歌今天在桌面和移动网络上为Google搜索推出这项改进,并在未来几周内将这个改进带给iOS和Android的Google应用。明年,谷歌将把它扩展到地图,然后是许多其他Google产品。直接从用户每天使用的Google产品访问相关且可操作的隐私控制,只是谷歌不断努力构建适合每个人隐私控制的一种方式。   稿源:cnBeta,封面源自网络;

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;

参议员要求谷歌解释:为何推迟公布 Google+ 漏洞

网易科技讯 10月12日消息,据美国媒体报道,周四美国参议院三位有影响力的共和党参议员提出,谷歌应该解释为何推迟公布Google+社交网络的漏洞。本周谷歌突然宣布关闭消费者版Google+并收紧数据共享政策,因为该网络存在的漏洞使至少50万用户私人资料曝光于数百个外部开发者。 参议院商务委员会主席约翰·图恩和另外两位参议员杰瑞·莫兰和罗杰·维克发出信函,要求谷歌解释推迟披露此问题的原因。信中称:“谷歌如果要保持或重获用户对其服务的信任,就必须在公众和立法者面前准备的更充分些。”对此,谷歌未立即发表评论。信函询问是否以前向哪个政府机构如FTC透露过漏洞,是否有“未公开披露的类似事件”。 谷歌CEO桑德·皮查伊上月同意今年11月在众议院作证,图恩表示,参议院也要求皮查伊作证。周三这些参议员写信给FTC要求对Google+进行调查。三位参议员称,他们对谷歌首席隐私官凯特·恩莱特未披露此问题“特别失望”。他们要求谷歌提交备忘录,没有及早披露问题可能“立即引起监管兴趣”,“几乎可以确定”皮查伊必须到国会作证。   稿源:网易科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

Google 在欧洲上线安全中心网站 包含隐私设置及安全工具

谷歌宣布其安全中心网站正在欧洲各地推广,从现在起比利时,法国,德国,意大利,荷兰和英国的人们可以访问谷歌选择自己适合的工具和获取保持在线安全的技巧。此次发布时间恰逢欧洲网络安全月,但谷歌似乎还没有决定如何拼写自己的产品名称: Safety Center或者Safety Centre。 Google表示: 从今天开始,我们将在欧洲六个国家(比利时,法国,德国,意大利,荷兰和英国)推出新的安全中心。现在,您可以找到更多工具,设定简单提示以及有关数据安全性,隐私控制以及如何以适合您的家庭的方式使用技术的信息,此次发布正好赶上欧洲网络安全月,未来几周将有更多的国家和语言的支持。 帮助人们管理他们的隐私和安全是我们致力所做的事情。多年来,我们创建了许多工具并且始终在改进它们以便您掌控:Google帐户可让您访问所有设置以保护您的数据和隐私;隐私检查可帮助您快速查看和调整Google用于个性化体验的数据;“我的活动”可帮助您查看与您的帐户相关联的活动数据。 访问Google安全中心官网: https://safety.google   稿源:cnBeta,封面源自网络;

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

网易科技讯 10月9日消息,据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月才发现并修复,而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时,这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上,谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露,虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示,谷歌认为”可能导致我们成为关注焦点甚至替代Facebook,虽然后者一直未摆脱Cambridge Analytica丑闻困扰”,因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施,包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务,用户可在十个月内保存数据,谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度,第三方应用访问用户数据时必须每次都要确认,而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”,包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认,“这次评估确认了我们以前就知道的情况:虽然我们的工程团队这么多年在开发Google+上投入很多,但没有获得广泛的消费者或开发者认可,用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年,而且直到今年三月才被发现,是在今年5月欧洲GDPR法规生效前,因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是,G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题,可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查,这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评,因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源:网易科技,封面源自网络;

Google 的 Tink 库让你丢掉手中成百上千页的密码学书籍

近日,谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink。一直以来,加密技术就是保护用户数据的有效手段,但是加密技术涉及到了非常艰深的密码学知识,开发者如果想要理解如何正确去实施密码学,这个过程将会花费他们大量时间去研究目前积累了数十年的学术文献。在当下高强度的开发工作下,显而易见,通常开发者都难有这样富足的时间。这样就给产品的安全带来了致命威胁,怎么办呢? Google 为此开发了一款多语言、跨平台的加密软件库,用以帮助内部开发人员提供安全的加密代码。谷歌介绍,在内部,Tink 已经被用于保护许多产品的数据,如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源,此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布,谷歌为开发者介绍了它的特性、意义与使用示例等内容。 谷歌描述,Tink 旨在提供安全、易于正确使用且难以滥用的加密 API,它建立在现有安全相关的库之上,如 BoringSSL 和 Java Cryptography Architecture,但谷歌专门的团队 Project Wycheproof 发现了这些库中的一些弱点,Tink 进行了跟进,使之更加安全。 使用 Tink,许多常见的加密操作,如数据加密、数字签名等只需几行代码就可以完成,以下是使用 Java 中的 AEAD 接口加密和解密的 demo: import com.google.crypto.tink.Aead;    import com.google.crypto.tink.KeysetHandle;    import com.google.crypto.tink.aead.AeadFactory;    import com.google.crypto.tink.aead.AeadKeyTemplates;    // 1. Generate the key material.    KeysetHandle keysetHandle = KeysetHandle.generateNew(        AeadKeyTemplates.AES256_EAX);    // 2. Get the primitive.    Aead aead = AeadFactory.getPrimitive(keysetHandle);    // 3. Use the primitive.    byte[] plaintext = ...;    byte[] additionalData = ...;    byte[] ciphertext = aead.encrypt(plaintext, additionalData); Tink 希望消除尽可能多的潜在误用。例如,如果底层加密模式需要 nonce(密码学中只被使用一次的任意或非重复的随机数),但重用 nonce 的话会产生安全问题,那么这时 Tink 将不允许用户传递 nonce。 Tink 的功能很多,大概有如下几个方面: 可以安全抵御选择密文攻击,允许安全审计员和自动化工具快速发现那些与安全要求不匹配的代码。 隔离了用于潜在危险操作的 API,例如从磁盘加载明文密钥。 为密钥管理提供支持,包括密钥轮换和逐步淘汰已弃用的密码。 可以通过设计进行扩展:可以轻松添加自定义加密方案或内部密钥管理系统,以便与 Tink 的其它部分无缝协作。Tink 的任何部分都难以更换或移除,所有组件都是可组合的,并且可以以各种组合进行选择和组合。例如,如果只需要数字签名,则可以排除对称密钥加密组件,以最大限度地减少应用程序中的代码大小。 这个开发库为广大开发者带来了极大便利,如果你还没体验过,赶快去试试吧: https://github.com/google/tink       稿源:开源中国,封面源自网络;

145 个应用感染恶意程序 谷歌紧急下架

安全公司 Palo Alto 的一份报告指出,有 145 个 Google Play 应用程序被恶意的 Windows 可执行文件感染,在其向 Google 安全小组报告了调查结果后,谷歌从 Google Play 中删除了所有受感染的应用。 值得注意的是,受感染的 APK 文件不会对 Android 设备本身构成任何威胁,因为这些嵌入式 Windows 可执行二进制文件只能在 Windows 系统上运行。而这些 APK 文件之所以会被感染,原因在于 APK 开发者所使用的 Windows 系统已经被恶意程序感染,也就是说开发者在被感染后,不知不觉将恶意程序感染到其开发的 APP 上了。这种通过在开发生命周期中隐藏恶意程序,利用软件开发人员来实施大规模攻击的策略,在此之前已经有过案例,如 KeRanger、XcodeGhost 和 NotPetya 等,对软件供应链构成严重威胁。 大多数受感染的 APP 上架于 2017 年 10 月到 11 月之间,这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP 中,有几个甚至有超过 1000 的安装量和 4 星评价。 报告中指出,在这些受感染的应用程序中,一个 APK 可能包含多个不同位置的恶意 PE(Portable Executable)可执行文件,它们的文件名不同,并且还以“Android.exe”、“my music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个 PE 文件比较突出,仅它们就覆盖了所有受感染 APK,主要功能是记录键盘输入,以获取信用卡号、社会保险号和密码等敏感信息。 读者也不用过于担心,Palo Alto 已经分析出了恶意 PE 文件在 Windows 系统上执行时会产生以下可疑活动: 在 Windows 系统文件夹中创建可执行文件和隐藏文件,包括复制自身 更改 Windows 注册表以在重启系统后进行自启动 试图长时间进入睡眼状态 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动 如果在自己的电脑中发现这些可疑行为,那么请及早排查,避免进一步受伤害。   稿源:开源中国社区,封面源自网络;