标签: Google

谷歌浏览器造成大规模用户安全信息泄露

Awake Security的研究人员表示,他们在谷歌的Chrome浏览器的扩展程序中发现了一个间谍软件,含有这个间谍软件的扩展程序已经被下载了3200万次。这一事件凸显出科技企业在浏览器安全方面的失败,而浏览器被广泛使用在电子邮件、支付以及其他敏感性功能中。 Alphabet旗下的谷歌表示,在上个月接到了研究人员的提醒之后,他们已经从Chrome Web Store中移除了超过70个存在此恶意软件的扩展程序。 谷歌发言人斯科特·维斯托弗(Scott Westover)表示:“当我们得到通知Web Store中存在违反了政策的扩展程序之后,我们立即采取了行动,并将此作为培训材料,从而提升我们的自动和手动分析效果。” Awake联合创始人兼首席科学家加里·戈隆布(Gary Golomb)表示,按照下载数量计算,这是Chrome商店中出现过的影响最为严重的恶意软件。 谷歌拒绝讨论新间谍软件与此前出现的恶意软件有何区别,也拒绝透露该软件的影响范围,以及谷歌为何没有主动监测并删除该软件,而此前他们曾承诺将密切留意产品安全。 现在还不清楚是谁散播了这个恶意软件。Awake表示,在将还有恶意软件的扩展程序上传到谷歌商店的时候,软件的开发者填写了虚假的联系信息。戈隆布称,这些扩展程序可以躲避反病毒企业或安全软件的扫描。 研究人员发现,如果有普通用户在家用电脑上使用带有恶意软件的浏览器,它会联系多个网站,然后传输用户信息。如果用户使用的是企业网络,由于企业网络存在安全服务,那么该恶意软件则不会传输敏感信息。 近些年来,欺骗性扩展程序一直存在,但是此前他们的危害程度并不高,只是强迫用户观看广告等等。然而现在,它们却变得越来越危险,甚至可以用来监测用户的位置和他们的活动。 很长时间以来,都有恶意软件开发者利用谷歌的Chrome Store散播恶意软件,2018年,研究发现每十个提交到Chrome Store的扩展程序中,就有一个存在恶意软件。随后,谷歌宣布他们将提升安全程度,增加人工审核员。 但是今年2月,独立研究者加米拉·凯亚(Jamila Kaya)和思科系统的Duo Security发现,Chrome浏览器出现了一个恶意插件,盗取了大约170万用户的数据。随后谷歌参与了调查,并且发现了500个欺诈性扩展程序。     (稿源:新浪科技,封面源自网络。)

谷歌 Pixel 4 Android 11 降级 Android 10 出 bug:面部识别不能用

6月15日消息,上周Android 11 Beta 1正式上线,谷歌Pixel机型率先尝鲜。考虑到这是Beta版Android 11,系统方面不够稳定,不少Pixel用户升级到Android 11之后选择降级回到Android 10,然而在降级之后发现了新的Bug。 据9to5Google报道,不少用户反馈谷歌Pixel 4、Pixel 4 XL降级回到Android 10之后面部识别不能用,系统提示面部信息无法录入。 谷歌方面承认了这一错误,表示会在后续版本中修复这一bug。9to5Google提醒用户,升级到Android 11的Pixel 4系列用户谨慎降级,否则面部识别无法使用。由于Pixel 4、Pixel 4 XL仅支持3D人脸识别,没有指纹,所以降级后如果出错只能用传统的密码或者图案解锁,安全性方面会降低。 值得一提的是,除了Pixel 4系列之外,一加8系列、Realme X50 Pro系列、小米10系列、小米POCO F2 Pro、Find X2系列等都将在本月尝鲜Android 11,值得期待。     (稿源:快科技,封面源自网络。)

谷歌称境外黑客对特朗普和拜登等竞选者的电子邮件展开了攻击

路透社报道称,境外黑客正在对美总统候选人的电子邮件展开攻击,现任总统唐纳德·特朗普和民主党主要候选人乔·拜登的个人电子邮件账户都受到了威胁。分析称某些具有资深背景的黑客试图将拜登竞选团队的工作人员作为攻击目标,另有所谓的伊朗黑客将目光瞄向了特朗普竞选团队工作人员的电子邮件账户。 谷歌威胁分析团队负责人 Shane Huntley 在一条推文中称,黑客已对美总统竞选人开展了网络钓鱼尝试,且丝毫没有就此收手的迹象。 谷歌发言人亦在接受 TheVerge 采访时称,该公司尚未见到有证据表明任何攻击攻击已经得逞,因此未将相关信息转交给联邦执法人员。 即便如此,谷歌仍鼓励竞选团队成员为其工作和个人电子邮件账户加以额外的防护,比如两步验证和谷歌提供的高级安全防护等资源。 拜登竞选团队的新闻事务部长 Matt Hill 表示,他们已经意识到了网络钓鱼的企图,竞选团队将保持警惕,并且为应对此事做好了网络安全相关的准备。 特朗普竞选团队发言人亦表示,其已被告知境外黑客未能攻破其部署的安全防线,同样对网络安全保持警惕,但未进一步谈论任何预防措施。     (稿源:cnBeta,封面源自网络。)  

谷歌推出专门网站 帮助人们避免网上诈骗

谷歌周四公布了一个网站,旨在教人们如何发现和避免网上诈骗,因为在冠状病毒大流行的情况下,数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式,比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”(Cybercrime Support Network)合作推出了这一网站。该网站包括一个小测验,通过常见的诈骗场景,比如收到一条关于赢得夏威夷之旅的消息,通过这个小测验来测试用户反欺诈的能力。 谷歌表示,这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局,已经损失了超过4000万美元。联邦贸易委员会预计,今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候,美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗,这些骗局要求提供个人信息,如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示,该网站特别针对教育老年人,他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     (稿源:cnBeta,封面源自网络。)

谷歌工程师:七成 Chrome 安全漏洞是内存安全问题,Rust 又成备选语言

近日,有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现,在这些被标记为“高”或“严重”等级的所有安全漏洞中,大约 70% 是内存管理和安全问题。 这其中又有一半是 use-after-free 漏洞。这种安全问题是由对内存指针(地址)的错误管理引起的,为攻击者打开了攻击 Chrome 内部组件的大门。 这一数据恰巧与微软此前的研究结果相同:微软安全响应中心(MSRC)对自 2004 年以来所有报告过的微软安全漏洞进行了分类,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。 微软安全响应中心曾给出解释,这是因为他们大多数产品使用 C 和 C++ 编写,而这两种编程语言属于“内存不安全”(memory-unsafe)的范畴。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误。 谷歌也面临着相似的境地。仅仅从 2019 年 3 月到现在,等级为“严重”的 130 个 Chrome 漏洞中,有 125 个与内存损坏相关,可见内存管理仍然是一个很大的问题。 为此,谷歌工程师必须遵循 “2 的规则”(The Rule of 2)。即每当工程师编写新的 Chrome 特性时,其代码不得破坏以下两个以上的条件: 该代码处理不可信的输入 代码在没有沙箱的情况下运行 代码使用不安全的编程语言(C/C ++)编写 迄今为止,谷歌一直在 Chrome 中尝试使用沙箱方法。他们将数十个进程隔离到自己的沙箱中,最近还推出了“站点隔离”功能,该功能将每个站点的资源也放入自己的沙箱进程中。但谷歌工程师表示,考虑到性能问题,他们使用沙盒化 Chrome 组件的方法已达到最大收益,现在必须寻求新的方法。 因此,谷歌计划研究开发自定义 C++ 库,以与 Chrome 的代码库一起使用,这些库可以更好地保护与内存相关的错误。 与此同时,谷歌还在探索 MiraclePtr 项目,该项目旨在将“use-after-free bug 转变为具有可接受的性能、内存、二进制大小和最小的稳定性影响的非安全崩溃”。 最后,值得注意的一点是,谷歌表示计划在可能的情况下使用“安全”语言进行探索。候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。   (稿源:ZDNet,封面源自网络。)

谷歌披露影响苹果全平台的 Image I/O 零点击漏洞

周二的时候,谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说,Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称,谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用,或导致用户遭遇“零点击”攻击。 据悉,Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。 问题可追溯到围绕图像格式解析器的一些老生常谈的问题,这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件,便可在目标系统上运行无需用户干预的“零点击”代码。 谷歌 Project Zero 补充道,他们分析了 Image I/O 的“模糊处理”过程,以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术,是因为苹果限制了对该工具大部分源代码的访问。 结果是,谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞,后者正是苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架。 谷歌 Project Zero 安全研究人员 Samuel Groß 写道:“经过足够的努力,以及由于自动重启服务而授予的利用尝试,我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。 鉴于这是一种基于多媒体攻击的另一种流行途径,其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”,后者包括以安全性的名义而减少对某些文件格式的兼容政策。 最后需要指出的是,苹果已经在 1 月和 4 月推出的安全补丁中,修复了与 Image I/O 有关的六个漏洞。   (稿源:cnBeta,封面源自网络。)

谷歌 Play Store 新漏洞导致相同版本的应用重复更新

谷歌应用商店Google Play Store出现了一个新的bug,导致一些应用在Google Play Store当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTube TV、Google Docs、Google Docs、Sheets、Slides、Gmail等第一方应用。 据报道,一些用户开始注意到,”我的应用和游戏 “部分列出了其中的一些更新,实际上,其中一些应用会被下载安装。然而,这些更新的应用版本号和已经安装的应用版本号似乎完全相同,这表明是bug导致了有新版本的错误提示。有趣的是,在某些设备上,当从任务切换器中关闭Play Store应用时,这些更新要么消失,要么被其他应用取代。 更新后的应用甚至会在页面的 “最近更新 “部分列出。有趣的是,据说一些第三方应用也会提示有相同版本的应用更新。而有些应用的更新,不经过下载就直接跳转到安装阶段。虽然这个bug并不严重,甚至可能大多数用户都不会注意到,但那些数据量有限的用户可能会浪费数量流量下载相同版本的应用。 (稿源:cnBeta,封面源自网络。)

微软发布令牌漏洞公告:可绕过 Chromium 沙盒执行任意代码

谷歌的安全团队近日发现存在于Windows 10 May 2019(Version 1903)功能更新中的某个BUG,能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂,主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释: 当Windows无法正确处理令牌关系时,存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码,从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞,如果被黑客利用能够绕过Chromium沙盒,运行任意代码。幸运的是,在本月补丁星期二活动日发布的累积更新(KB4549951)中,已经修复了这个漏洞。   (稿源:cnBeta,封面源自网络。)

谷歌警告黑客正在利用免费快餐诱骗联邦政府工作人员

根据谷歌周三发布的一份报告,黑客正在寻找一切机会来利用本次 COVID-19 的全球大流行,甚至通过免费快餐来诱骗政府官员泄露登录信息。这家科技巨头表示,其日均在阻止 1800 万封恶意邮件,这还不包括与新冠病毒有关的 2.4 亿封垃圾邮件。 此外谷歌威胁分析小组表示,其已发现有十余个有背景的黑客组织,称其正在利用 COVID-19 来引诱受害者点击恶意链接。 这些攻击与其它类型的网络犯罪有些不同,通常出于间谍目的、而不是为了获取更直接的经济利益。 比如谷歌指出,其发现了一项针对美国政府雇员的行动,通过提供美国快餐连锁店优惠券和免费餐食的形势引诱受害者上钩。 此类骗局常涉及与 COVID-19 有关的消息,以引导受害者进入一个伪装成送餐安排的网站页面,只为了窃取政府雇员的谷歌账户登录凭据。 谷歌威胁分析小组负责人 Shane Huntley 在一篇文章中称,目前尚不清楚有哪些用户的账户受到了侵害,但像往常一样,他们会向这类用户发出警告通知。 除了特别针对美国政府雇员的快餐钓鱼诈骗,本次新冠病毒流行期间,黑客还向除南极洲外的许多地区发起了邮件诈骗,比如伪装成世界卫生组织的官方网站。 好消息是,谷歌表示,其正在为包括世界卫生组织在内的 5 万多个账户给予额外的安全防护。   (稿源:cnBeta,封面源自网络。)

谷歌发布 Chrome 紧急补丁 修复 CVE-2020-6457 关键漏洞

谷歌已经为Chrome浏览器发布了一个紧急修复补丁,并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息,只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的,据说是一个远程代码执行(RCE)漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。 安全研究员Paul Ducklin在一篇博文中表示,该漏洞将允许黑客 “改变你的程序内部的控制流,包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码,从而绕过任何浏览器通常的安全检查或’你确定吗’对话框。” 此外他还表示该漏洞影响广泛,包括Windows、macOS和GNU/Linux用户多达20亿用户都可能受到影响。因此在大部分用户都已经安装该更新之后谷歌可能会公布更多的细节。 如果你是Google Chrome浏览器用户,那么你应该确保你运行的是v81.0.4044.113或以上版本。你可以通过访问帮助关于Google Chrome浏览器,检查更新和安装的版本。   (稿源:cnBeta,封面源自网络。)