标签: Google

谷歌警示三星:修改 Android 内核代码行为会暴露更多漏洞

Google Project Zero (GPZ)团队近日向三星发出警告,表示后者在Galaxy系列手机中修改内核代码的行为将会暴露更多的安全BUG。GPZ研究员Jann Horn表示,以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式,直接硬件访问Android的Linux内核会创建更多的漏洞,导致现存于Linux内核的多项安全功能失效。 Horn表示这个问题是在三星Galaxy A50的Android内核中发现的。不过他表示,这种情况在Android手机厂商中非常普遍。也就是说,这些厂商向Linux Kernel中添加未经上游(upstream)内核开发者审核的下游(downstream)代码,增加了与内存损坏有关的安全性错误。 即使这些下游定制旨在增加设备的安全性,它们也会引入安全性错误。谷歌于2019年11月向三星报告了该漏洞,随后在今年2月面向Galaxy系列手机的更新中修复了这个问题。 该错误影响了三星的PROCA(过程验证器)安全子系统。三星在其安全网站上将漏洞SVE-2019-16132描述为中等问题。它允许在运行Android 9和Android 10操作系统的某些Galaxy智能手机上“可能执行任意代码”。 Horn解释说:“Android通过锁定可以访问设备驱动程序的进程(通常是特定于供应商的)来减少此类代码对安全性的影响。”一个例子是,较新的Android手机通过专用的帮助程序来访问硬件,这些帮助程序在Android中统称为硬件抽象层(HAL)。 不过Horn表示,手机厂商通过修改Linux Kernel核心部分的工作方式,这破坏了“锁定攻击面”上做出的努力。Horn建议智能手机制造商使用Linux中已经存在的直接硬件访问功能,而不是更改内核代码。例如,PROCA旨在阻止已获得对内核的读写访问权限的攻击者,但三星需要花费工程时间来阻止攻击者首先获得该访问权限。   (稿源:cnBeta,封面源自网络。)

谷歌移除 500 多款恶意扩展

在思科Duo Security团队和安全研究员贾米拉·卡亚(Jamila Kaya)两个多月的深入调查之后,谷歌近日宣布从官方网上商城删除500多个恶意Chrome扩展程序。据悉这些扩展程序都会在用户浏览会话中注入恶意广告(malvertising)。 这些扩展程序注入的恶意代码会在特定条件下激活,并将用户重定向到特定的页面。在某些情况下,重定向地址可能是Macys,DELL或BestBuy等合法网站上的会员链接;而在其他情况下可能是恶意站点,例如恶意软件的下载站点或者网络钓鱼页面。 根据Duo Security团队和Jamila Kaya分享的报告,这些恶意扩展程序上线至少有两年时间了。这些恶意扩展最初是由Kaya发现的,她在例行的威胁扫描期间发现这些恶意扩展通过通用URL模式访问恶意网站。 利用CRXcavator(一种用于分析Chrome扩展程序的服务),Kaya发现了最初的扩展程序集群,它们在几乎相同的代码库上运行,但是使用了各种通用名称,而鲜有关于其真实用途的信息。 Kaya告诉我们:“仅靠我个人,就确定了十几个采用该共享模式的扩展程序。与Duo联络后,我们能够使用CRXcavator的数据库对其进行快速指纹识别,并发现整个网络”。根据Duo的说法,首批扩展程序的安装总数超过了170万名Chrome用户。 Kaya表示随后我们将发现的结果反馈给了谷歌。随后谷歌经过自查发现了更多符合这种模式的扩展程序,随后删除了500多个扩展程序。目前尚不清楚有多少用户安装了500多个恶意扩展,但数量可能超过数百万。   (稿源:cnBeta,封面源自网络。)

苹果 iPhone 现在可作为 Google 的物理安全密钥

谷歌更新了iOS上的Google Smart Lock应用程序。用户现在可以使用iPhone作为物理2FA安全密钥登录Chrome中的Google第一方服务。设置完成后,尝试在笔记本电脑等设备上登录Google服务,就会在附近的iPhone上生成推送通知。然后,您需要解锁支持蓝牙的iPhone,并点击谷歌应用程序中的一个按钮进行身份验证,然后才能在笔记本电脑当中登录Google第一方服务。 双因素身份验证是保护在线帐户最重要步骤之一,它提供了标准用户名和密码之外的附加安全层。物理安全密钥比当今普遍使用的六位数代码安全得多,因为这些代码几乎可以像密码本身一样被截获。谷歌之前已经允许用户使用自己的Android手机作为一个物理安全密钥,现在谷歌在iOS上提供了这个功能,这意味着拥有智能手机的任何人现在都拥有安全密钥,而无需购买专用设备。 谷歌Smart Lock应用程序通过蓝牙工作,而不是通过互联网连接。这意味着用户手机必须靠近笔记本电脑才能进行身份验证,从而提供了另一层安全保护。但是,该应用程序本身并不需要任何生物特征认证,如果用户的手机已被解锁,理论上来说,附近的攻击者可以打开该应用程序并验证登录尝试。 据Google的一位加密货币专家说,新功能利用了iPhone处理器的Secure Enclave功能,该安全区用于安全存储设备的私钥。该功能最初是在iPhone 5S上引入的,Google表示,这项安全功能需要iOS 10或更高版本才能运行。Smart Lock应用程序的新功能意味着iPhone现在可以与谷歌的高级保护程序一起使用,该程序是谷歌对网络钓鱼或其他攻击的最强保护。   (稿源:cnBeta,封面源自网络。)  

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)

谷歌 Project Zero 团队宣布新政策 漏洞披露前将有完整的90天缓冲期

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知,但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候,谷歌安全团队试图制定新的政策,将问题披露的宽限期给足了整整 90 天。即便如此,谷歌还是对过去五年的政策表现感到满意,指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。 相比之下,2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在 2020 年做出一些改变。 那些易被曝光漏洞的企业,将被给予默认 90 天的缓冲时间,而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复,也可以与谷歌 Project Zero 取得联系,以提前公布漏洞详情。 ● 厂家在 20 天内修复了 bug?谷歌将在第90天公布漏洞详情; ● 厂家在 90 天内修复了 bug?谷歌也将在第 90 天公布漏洞详情! 当然,在争取推动“更快的补丁开发”流程的同时,Project Zero 还希望全面提升补丁程序的采用率。 现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,我们将继续紧迫地追求这一点。 然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,Project Zero 团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。 改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到 bug 得到适当的修复。只有最终用户意识到相关 bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。 最后,在新政策转入“长期实施”之前,Google 将给予 12 个月的试用。   (稿源:cnBeta,封面源自网络。)

被发现监视用户的阿联酋社交应用 ToTok 在谷歌 Play Store 重新上架

据外媒报道,谷歌在12月曾下架阿联酋社交应用ToTok,然而现在这款聊天应用已在谷歌Play Store重新上架。当时《纽约时报》曾报道称,ToTok被认为是阿联酋政府的秘密监视工具,使它可以监视ToTok用户的位置、消息和社交关系。 “我们认真对待有关违反安全和隐私的报告。如果发现违反我们政策的行为,我们将采取行动。”一位谷歌发言人在一封电子邮件中告诉Motherboard。 《纽约时报》援引一位美国情报官员的话说,“ ToTok被阿联酋政府政府用来追踪用户的每一次谈话、动向、关系、约会、声音和图像。” 报告补充说,该应用程序在中东、欧洲、亚洲、非洲和北美拥有大量用户,Apple和Google应用程序商店被下载了数百万次。 在《纽约时报》接触谷歌和苹果的代表发表评论后,两家公司都在调查过程中将ToTok从其应用商店中删除。 在《纽约时报》发表文章的同一天,Motherboard通过恶意软件搜索引擎VirusTotal处理了ToTok Android应用程序。当时,没有杀毒软件公司将该应用标记为恶意。然而周一,ESET,Fortinet和Symantec 都将同一版本的应用程序标记为恶意。 在谷歌Play Store重新上架的ToTok版本是更新版本。在“新功能”部分下,ToTok应用程序页面显示为“有一个新设计的对话框,要求您授权访问和同步您的联系人列表。” Google最初下架该应用程序时,曾表示ToTok违反了未指定的政策。 “等待已经结束。我们很高兴地通知您,#ToTok现在可以在Google Play商店中下载了。感谢您的耐心等待。让我们联系!‬” ToTok 周日在其网站上的简短公告中写道。ToTok的共同研发者Giacomo Ziani在接受美联社的采访时为该应用程序辩护,并表示他不知道与他的项目相关的人们与阿联酋的情报有关。 当被问及是否会在自己的应用商店中重新上架该应用程序时,苹果公司没有立即回应置评请求。   (稿源:cnBeta,封面源自网络。)

谷歌 Chrome 恶意扩展窃取了价值 16000 美元的加密货币

一份报告显示,一个恶意的谷歌Chrome扩展程序成功进入Chrome网络商店,盗取了价值至少1.6万美元的加密货币。该扩展名为“ Ledge Secure”,声称可以用作Google Chrome浏览器中的一种加密货币钱包,从而以某种方式成功突破了Google的过滤器,最终被Chrome网络商店上架以供用户下载。 至少有一个用户确认安装了扩展程序后,自己的加密货币被盗了,目前尚不知道最终受害者的具体人数。Decrypt报告说,该扩展程序扫描了该设备,并将种子短语发送给该扩展程序的作者,这几乎可以使恶意行为者窃取任何加密货币。以Twitter用户“ hackedzec”为例,这个扩展造成600 ZEC币的损失,价值约16000美元。 法国Ledger公司在Twitter上证实了这个扩展不是一个合法的插件,并建议用户避免在自己的设备上安装它。目前此恶意扩展工作细节尚未透露,谷歌已经从Chrome网店中删除了这个扩展,建议所有安装它的人尽快检查钱包,确保没有密码被盗。   (稿源:cnBeta,封面源自网络。)

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

男子因通过钓鱼邮件骗取 Google 和 Facebook 1.2 亿美元被判处 5 年徒刑

Evaldas Rimasauskas(48)于2017年3月被地方当局逮捕。原因是其伪装成亚洲大型硬件供应商Quanta Computer并从这两家IT巨头盗窃了大量资金。 起诉书中明确提到了Facebook和Google。根据调查人员的说法,Rimasauskas创建了电子邮件帐户,诱骗Facebook和Google的员工们相信这些电子邮件来自亚洲硬件供应商。 Rimasauskas假扮那些经常与Google 和 Facebook进行数百万美元交易的Quanta员工,并通过向这些员工发送钓鱼邮件,诱导他们向自己的帐户汇款。 Evaldas Rimasauskas于2017年5月在 Vilnius 地方法院照–来源法新社   Rimasauskas使用来自塞浦路斯,立陶宛,匈牙利,斯洛伐克和拉脱维亚的多个银行帐户来接收欺诈性付款。 美国执法部门于2017年将其逮捕。Rimasauskas 对邮件欺诈,身份盗窃和三项洗钱罪等犯罪事实供认不讳。 司法部发布新闻稿称:“除了监禁,法官还命令Rimasauskas在刑满释放后接受两年的监控,没收49,738,559.41美元,并要求其支付26,479,079.24美元的罚款。”     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

谷歌警告印度用户:Chrome 79 可能存在泄漏网站密码 bug

据外媒报道,作为浏览器的升级版,Chrome 79有望降低CPU使用率并提高安全性。然而,它还为用户们带来了一些意想不到的东西。实际上,谷歌已经对印度Chrome用户发出相关警告,即Chrome 79被发现有存在泄露密码的情况并要求他们立即更改密码。 当地时间上周四,印度成千上万的谷歌Chrome用户在看到他们的桌面屏幕弹出的消息后感到震惊。该消息提醒用户注意数据泄露并建议他们更改某些网站的密码。谷歌则是在上周修复Chrome 79漏洞后并重新发布后发出了该警告。 一位Chromium工程师在回复谷歌线程上发布的问题时,回复并发布了一份公开声明 –“我们目前正在讨论解决这个问题的正确策略,其中之一是: 继续迁移,将丢失的文件转移到它们的新位置; 通过将转移的文件移动到其原来的位置来恢复更改。 我们很快会让你知道这两个选项中的哪一个会被选中。” 此前,谷歌曾担心有50%左右的Chrome用户可能受了到影响,但调查结果显示,只有15%的Chrome用户受到了影响。尽管如此,是否有可能恢复丢失的用户数据仍有待观察。 除了漏洞报告之外,Chromium页面还提供了一些技术细节信息。 据悉,Chrome 79已经恢复在桌面客户端和移动平台推出,谷歌Chrome发布博客也证实了这一点。截止到目前,谷歌Chrome更新一直是一个无缝行动,但看起来这家科技巨头这次犯了一个错误。   (稿源:cnBeta,封面源自网络。)