标签: Google

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;

参议员要求谷歌解释:为何推迟公布 Google+ 漏洞

网易科技讯 10月12日消息,据美国媒体报道,周四美国参议院三位有影响力的共和党参议员提出,谷歌应该解释为何推迟公布Google+社交网络的漏洞。本周谷歌突然宣布关闭消费者版Google+并收紧数据共享政策,因为该网络存在的漏洞使至少50万用户私人资料曝光于数百个外部开发者。 参议院商务委员会主席约翰·图恩和另外两位参议员杰瑞·莫兰和罗杰·维克发出信函,要求谷歌解释推迟披露此问题的原因。信中称:“谷歌如果要保持或重获用户对其服务的信任,就必须在公众和立法者面前准备的更充分些。”对此,谷歌未立即发表评论。信函询问是否以前向哪个政府机构如FTC透露过漏洞,是否有“未公开披露的类似事件”。 谷歌CEO桑德·皮查伊上月同意今年11月在众议院作证,图恩表示,参议院也要求皮查伊作证。周三这些参议员写信给FTC要求对Google+进行调查。三位参议员称,他们对谷歌首席隐私官凯特·恩莱特未披露此问题“特别失望”。他们要求谷歌提交备忘录,没有及早披露问题可能“立即引起监管兴趣”,“几乎可以确定”皮查伊必须到国会作证。   稿源:网易科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

Google 在欧洲上线安全中心网站 包含隐私设置及安全工具

谷歌宣布其安全中心网站正在欧洲各地推广,从现在起比利时,法国,德国,意大利,荷兰和英国的人们可以访问谷歌选择自己适合的工具和获取保持在线安全的技巧。此次发布时间恰逢欧洲网络安全月,但谷歌似乎还没有决定如何拼写自己的产品名称: Safety Center或者Safety Centre。 Google表示: 从今天开始,我们将在欧洲六个国家(比利时,法国,德国,意大利,荷兰和英国)推出新的安全中心。现在,您可以找到更多工具,设定简单提示以及有关数据安全性,隐私控制以及如何以适合您的家庭的方式使用技术的信息,此次发布正好赶上欧洲网络安全月,未来几周将有更多的国家和语言的支持。 帮助人们管理他们的隐私和安全是我们致力所做的事情。多年来,我们创建了许多工具并且始终在改进它们以便您掌控:Google帐户可让您访问所有设置以保护您的数据和隐私;隐私检查可帮助您快速查看和调整Google用于个性化体验的数据;“我的活动”可帮助您查看与您的帐户相关联的活动数据。 访问Google安全中心官网: https://safety.google   稿源:cnBeta,封面源自网络;

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

网易科技讯 10月9日消息,据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月才发现并修复,而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时,这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上,谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露,虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示,谷歌认为”可能导致我们成为关注焦点甚至替代Facebook,虽然后者一直未摆脱Cambridge Analytica丑闻困扰”,因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施,包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务,用户可在十个月内保存数据,谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度,第三方应用访问用户数据时必须每次都要确认,而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”,包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认,“这次评估确认了我们以前就知道的情况:虽然我们的工程团队这么多年在开发Google+上投入很多,但没有获得广泛的消费者或开发者认可,用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年,而且直到今年三月才被发现,是在今年5月欧洲GDPR法规生效前,因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是,G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题,可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查,这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评,因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源:网易科技,封面源自网络;

Google 的 Tink 库让你丢掉手中成百上千页的密码学书籍

近日,谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink。一直以来,加密技术就是保护用户数据的有效手段,但是加密技术涉及到了非常艰深的密码学知识,开发者如果想要理解如何正确去实施密码学,这个过程将会花费他们大量时间去研究目前积累了数十年的学术文献。在当下高强度的开发工作下,显而易见,通常开发者都难有这样富足的时间。这样就给产品的安全带来了致命威胁,怎么办呢? Google 为此开发了一款多语言、跨平台的加密软件库,用以帮助内部开发人员提供安全的加密代码。谷歌介绍,在内部,Tink 已经被用于保护许多产品的数据,如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源,此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布,谷歌为开发者介绍了它的特性、意义与使用示例等内容。 谷歌描述,Tink 旨在提供安全、易于正确使用且难以滥用的加密 API,它建立在现有安全相关的库之上,如 BoringSSL 和 Java Cryptography Architecture,但谷歌专门的团队 Project Wycheproof 发现了这些库中的一些弱点,Tink 进行了跟进,使之更加安全。 使用 Tink,许多常见的加密操作,如数据加密、数字签名等只需几行代码就可以完成,以下是使用 Java 中的 AEAD 接口加密和解密的 demo: import com.google.crypto.tink.Aead;    import com.google.crypto.tink.KeysetHandle;    import com.google.crypto.tink.aead.AeadFactory;    import com.google.crypto.tink.aead.AeadKeyTemplates;    // 1. Generate the key material.    KeysetHandle keysetHandle = KeysetHandle.generateNew(        AeadKeyTemplates.AES256_EAX);    // 2. Get the primitive.    Aead aead = AeadFactory.getPrimitive(keysetHandle);    // 3. Use the primitive.    byte[] plaintext = ...;    byte[] additionalData = ...;    byte[] ciphertext = aead.encrypt(plaintext, additionalData); Tink 希望消除尽可能多的潜在误用。例如,如果底层加密模式需要 nonce(密码学中只被使用一次的任意或非重复的随机数),但重用 nonce 的话会产生安全问题,那么这时 Tink 将不允许用户传递 nonce。 Tink 的功能很多,大概有如下几个方面: 可以安全抵御选择密文攻击,允许安全审计员和自动化工具快速发现那些与安全要求不匹配的代码。 隔离了用于潜在危险操作的 API,例如从磁盘加载明文密钥。 为密钥管理提供支持,包括密钥轮换和逐步淘汰已弃用的密码。 可以通过设计进行扩展:可以轻松添加自定义加密方案或内部密钥管理系统,以便与 Tink 的其它部分无缝协作。Tink 的任何部分都难以更换或移除,所有组件都是可组合的,并且可以以各种组合进行选择和组合。例如,如果只需要数字签名,则可以排除对称密钥加密组件,以最大限度地减少应用程序中的代码大小。 这个开发库为广大开发者带来了极大便利,如果你还没体验过,赶快去试试吧: https://github.com/google/tink       稿源:开源中国,封面源自网络;

145 个应用感染恶意程序 谷歌紧急下架

安全公司 Palo Alto 的一份报告指出,有 145 个 Google Play 应用程序被恶意的 Windows 可执行文件感染,在其向 Google 安全小组报告了调查结果后,谷歌从 Google Play 中删除了所有受感染的应用。 值得注意的是,受感染的 APK 文件不会对 Android 设备本身构成任何威胁,因为这些嵌入式 Windows 可执行二进制文件只能在 Windows 系统上运行。而这些 APK 文件之所以会被感染,原因在于 APK 开发者所使用的 Windows 系统已经被恶意程序感染,也就是说开发者在被感染后,不知不觉将恶意程序感染到其开发的 APP 上了。这种通过在开发生命周期中隐藏恶意程序,利用软件开发人员来实施大规模攻击的策略,在此之前已经有过案例,如 KeRanger、XcodeGhost 和 NotPetya 等,对软件供应链构成严重威胁。 大多数受感染的 APP 上架于 2017 年 10 月到 11 月之间,这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP 中,有几个甚至有超过 1000 的安装量和 4 星评价。 报告中指出,在这些受感染的应用程序中,一个 APK 可能包含多个不同位置的恶意 PE(Portable Executable)可执行文件,它们的文件名不同,并且还以“Android.exe”、“my music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个 PE 文件比较突出,仅它们就覆盖了所有受感染 APK,主要功能是记录键盘输入,以获取信用卡号、社会保险号和密码等敏感信息。 读者也不用过于担心,Palo Alto 已经分析出了恶意 PE 文件在 Windows 系统上执行时会产生以下可疑活动: 在 Windows 系统文件夹中创建可执行文件和隐藏文件,包括复制自身 更改 Windows 注册表以在重启系统后进行自启动 试图长时间进入睡眼状态 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动 如果在自己的电脑中发现这些可疑行为,那么请及早排查,避免进一步受伤害。   稿源:开源中国社区,封面源自网络;

谷歌推双重认证安全密匙硬件产品 Titan

据外媒报道,昨日,谷歌公布了一项惊人的统计数据,这家公司指出,自 2017 年年初开始,其 8.5 万名职工的工作账号未曾遭到过泄露。作为一家全球性的互联网巨头公司,按理说它会是钓鱼攻击的主要目标之一,那这家公司究竟是如何做到这点的呢? 这是因为谷歌开始要求其员工使用硬件安全密匙进行双重身份认证。 如今,双重认证已经变得非常普遍,但并非所有方法都是一样安全的。像基于 SMS 的双重认证,其肯定比只使用密码保护账号更安全,但它却存在漏洞。而物理密匙现在则被广泛认为是一种更加安全的双重认证,谷歌于昨日提出的主张就支持了这一观点。 对此,当看到谷歌开始涉足安全密匙业务领域也就不足为奇了。今日,这家公司发布了一款叫做 Titan 的新产品,这是一款兼容 FIDO 的物理密匙,它可用来保护支持该硬件的账号。眼下,来自世界各地的大型网站都已经支持通过安全密匙进行双重认证的方式,包括 Facebook、Twitter。 据了解,Titan 将有两个版本:USB 版和蓝牙版。USB 版,很显然需要将设备插到电脑的 USB 端口展开认证,而蓝牙版则用于移动设备的无线认证。获悉,两款密匙设备的套装价将在 50 美元左右,单独购买的话售价大概是 20 美元或 25 美元。 目前,Titan 只适用于 Google Cloud 用户–他们可以在注册后免费试用–但谷歌表示,他们将很快通过 Google Store 向所有人提供这项服务。   稿源:cnBeta.COM,封面源自网络;  

Google Chrome 68 正式向所有不安全的 HTTP 网站开炮

在 7 月 24 号发布的 Chrome 68 中,Google 引入了一项重大的变化。当加载非 HTTPS 网站时,该浏览器的处理方式会更加审慎。据悉,只要遇到潜在不安全的站点,Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响,但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法,因为这项老旧的技术未对数据进行加密。   在之前版本的 Chrome 浏览器中,Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”,并在地址栏上凸显一个标记。 然而现在的情况是,Google 突然加快的步伐,彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营,并抛出安全警示。 在官方支持页面上,Google 解释到: 过去几年中,我们一直主张站点采用 HTTPS,以提升其安全性。去年的时候,我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始,随着 Chrome 68 的发布,浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之,从 Chrome 68 开始,这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。   稿源:cnBeta,封面源自网络;

Chrome 浏览器页面冻结 bug 死灰复燃 谨防技术支持诈骗套路重演

就当美国人民欢庆独立日的时候,诈骗者们仍未停下他们的脚步。据 Ars Technica 报道,Google Chrome 浏览器中的一个漏洞,竟然再次被骗子们给利用,以传播给不知情的用户。早在 2 月份的时候,Malwarebytes 就警告称,诈骗者正在利用冻结浏览器、同时试图用虚假的报错信息说服用户“给微软打电话”,以忽悠受害者寻找所谓的“技术支持”。 Chromium Bug 追踪器上的一个页面显示,在最初的报告发布后不久,Google 就已经在 Chrome 65 中修复了这个问题。但现在看来,该漏洞似乎又在 Chrome 67 上重现了。 更糟糕的是,随着 bug 的再生,欺诈者们也再次熟练地耍起了同样的伎俩。下图左侧就是欺诈者通过冻结 Chrome 浏览器标签页伪造的报错信息,而右侧可见系统资源被大量消耗。 对于一位在互联网上征战多年的老鸟来说,显然不太可能被这种低级骗术给撂倒: 但与其它类似的弹出式窗口不同,本案例可反复将文件保存到硬盘上,从而快速让浏览器失去响应,以至于无法看到事情的发生。 不幸中招之后,浏览器会被冻结,且用户无法关闭任何窗口。 如果你碰巧遇到了这种情况 —— 无论是不小心访问了一个被黑客入侵的、或是一个带有恶意广告的网站 —— 请记住都不要惊慌、也不要按照所谓的“错误提示”去操作。 只要你拨打了屏幕上显示的这个号码,就会落入预先设置好的诈骗套路 —— 比如索取你的信用卡信息(正经的机构显然不会如此赤裸裸地操作)。 ● 正确的做法是,如果你是 Windows 用户,请通过 Ctrl-Alt-Del 组合键调出任务管理器,然后强制结束 Chrome 浏览器进程。 ● 如果你是 Mac 用户,请使用强制退出(Force Quit)来关闭失去响应的 Chrome 浏览器。 需要指出的是,尽管当前这一漏洞似乎仅影响 Chrome,但 Firefox、Brave、Opera 等浏览器用户也不该掉以轻心。有趣的是,IE 和 Microsoft Edge 两款浏览器竟然对此免疫。 最后,Google 和 Mozilla 都向 Ars Technica 表示,他们正在对此事展开调查。   稿源:cnBeta,封面源自网络;