标签: 谷歌

谷歌禁用第三方 Cookies 计划再次推迟

谷歌在本周周三表示,它再次将暂缓禁用Chrome网络浏览器中的第三方cookies的计划,该计划将会从2023年底推迟到2024年的下半年。 隐私沙盒项目的副总裁Anthony Chavez对外称他们收到大量反馈是需要更多时间来进行新隐私沙盒技术的评估和测试,之后再进行对Chrome浏览器中的第三方cookies的废弃和禁用。考虑到这一点,Anthony Chavez表示,谷歌正在采取一种 “审慎的方法”,在逐步淘汰第三方cookies之前,延长其正在进行的隐私沙盒举措的测试窗口。 Cookies是在访问网站时,网络浏览器在用户的电脑或其他设备上植入的数据,第三方cookies为大部分数字广告生态系统及其在不同网站上跟踪用户以显示目标广告的能力提供动力。隐私沙盒则是谷歌对一系列技术的总称,这些技术旨在通过限制跨网站和跨应用程序的追踪,并提供改进的、更安全的替代方案来提供基于兴趣的广告,从而改善用户在网络和安卓上的隐私。 虽然谷歌最初计划在2022年初推出隐私沙盒功能,但它在2021年6月修改了该计划,将第三方cookies过渡的三个月时期,定为2023年中期至2023年底,谷歌当时就已经指出整个生态系统需要更多的时间来完成。 第二个扩展是谷歌在2022年1月宣布主题API作为FLoC(Federated Learning of Cohorts的缩写)的替代品,随后在5月发布了Android的隐私沙盒的开发者预览。 2022年2月,英国竞争和市场管理局(CMA)正式接受了谷歌关于如何开发该技术的承诺,指出需要充实隐私沙盒,使其促进竞争,支持出版商从广告中获得收入,同时也保障消费者的隐私。 根据新的计划,隐私沙盒试验预计将在下个月扩大到全球用户,在今年余下时间和2023年,纳入测试的用户数量将不断增加。谷歌还强调,用户将看到一个提示,以管理他们的参与,并补充说,它打算在2023年第三季度前普遍提供API,第三方cookie支持暂定在2024年下半年禁用。CMA方面今天承认,它知道 “第三方正在开发的替代建议”,并且它 “正在与信息专员办公室合作,以更好地了解其可行性和可能的影响”。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340535.html 封面来源于网络,如有侵权请联系删除

谷歌把全球最大的计算机协会 (ACM)给封了

据Bleeping Computer消息,Google 搜索和云端硬盘错误地将全球最大的计算机协会 (ACM) 研究论文和网站的链接标记为恶意软件。于是,谷歌直接把ACM网站给封了。 公开信息显示,计算机协会 (ACM) 成立于 1947 年,总部位于纽约市,是一家非营利性组织,是世界上最大的科学和教育计算机协会。截至 2019 年,ACM 的成员包括近 100,000 名参与计算领域的学生和专业人士。 研究论文“违反”Google Drive 政策 德国Max Planck Society的研究员Maximilian Golla首次发现了这一情况,他的一个Google Docs 文件遭到了Google的封禁。 根据 Golla的说法,该文件包含指向 ACM 研究论文的链接,但根据研究人员分享的屏幕截图,“违反”了 Google 的服务条款: 研究人员的 Google Docs 文件被标记为包含 ACM 链接 值得一提的是,有动作的不只是Google Drive,谷歌搜索也将ACM 网站、ACM 数字图书馆研究论文和联系页面等链接标记成恶意链接。 安全人员测试后发现,单击结果中出现的任何 acm.org 、 dl.acm.org 或library.acm.org链接会导致在 Google 的重定向页面上托管一个“插页式”,警告访问者该链接可能有害。 Google 搜索结果将 ACM 网站标记为恶意网站 此问题实质上是阻止从 Google 搜索结果到 ACM 域的所有流量。ACM 访问者将不得不手动将预期的链接复制粘贴到其 Web 浏览器的地址栏中: ACM 网站的 Google 搜索结果被插页式广告阻止 这些警告通常由 Google向可能无意中导航到托管广告软件、MageCart脚本或其他类型恶意软件的受感染网站或域的访问者显示。到目前为止,没有迹象表明 ACM 的域受到损害或提供恶意软件。 记者在认真查看了谷歌的“诊断页面”后,也确认ACM网站是安全的,尽管在 Google 搜索和云端硬盘中都标记了ACM 链接不安全。 事实上,这也不是 Google Drive 第一次错误地将材料标记为违反其服务条款的材料。2022年1月,有用户发现谷歌云端硬盘因“侵犯版权”而限制了了几乎是“空”的文件,因为这些文件只包含一些数字或单个数字(例如“1”)。 另外,即使出于个人研究目的,包含网络钓鱼链接的 Google Drive 文档也会被自动标记为违反条款,并限制其共享功能。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339822.html 封面来源于网络,如有侵权请联系删除

俄罗斯对谷歌传播诋毁其军队的 “不可靠”信息进行罚款

Bleeping  Computer 网站披露,俄罗斯电信监管机构 Roskomnadzor 已对谷歌处以 6800 万卢布(约合120 万美元)的罚款,原因是谷歌传播关于俄乌战争的“不可靠”信息,以及未能从其平台上删除这些信息。 俄罗斯电信监管机构表示,谷歌 YouTube 在线视频共享平台“有目的地帮助”传播俄乌战争相关的不准确信息,从而诽谤俄罗斯军队。 据 Roskomnadzor 统计,YouTube 平台上目前有 7000 多份材料,这些材料中包括部分宣传极端主义观点、漠视未成年人的生命和健康以及呼吁抗议的内容,是 Roskomnadzor 认定的非法内容。 值得一提的是,由于一再未能限制对俄罗斯禁止信息材料的访问,谷歌还面临高达其在俄罗斯年营业额 10% 收入的罚款。 根据莫斯科塔甘斯基法院 2021 年 12 月 24 日发布的命令,因谷歌一再拒绝删除俄罗斯想要禁止的内容,5月份,俄罗斯法警从谷歌账户中预先扣押了 72.2 亿卢布(约 1.33 亿美元)。 部分谷歌服务将继续可用 谷歌方面透漏,虽然公司在俄罗斯运营已经变得越来越不可能,但其免费服务(包括谷歌搜索、YouTube、Gmail、地图和 Google Play)在俄罗斯仍可使用。 早在今年 3 月,Roskomnadzor 已经禁止了 Alphabet 的新闻聚合服务 Google News,并阻止访问其 news.google.com 域名,原因是它提供了关于俄乌战争的“不可靠的信息”。 据悉,这一决定是在俄罗斯总统普京签署新法案后做出的,该法律规定传播有关俄乌战争的 “故意假新闻 ”是非法的,并规定最高可判处 15 年的监禁。 同月,电信监管机构要求谷歌停止在 YouTube 视频上散布有关俄乌战争错误信息的广告活动。作为回应,谷歌应欧盟要求,封锁了今日俄罗斯 (RT) 和 Sputnik 在欧洲的 YouTube 频道。 随后,Roskomnadzor 对 YouTube 的决定提出抗议,要求立即取消对俄罗斯媒体(包括 Sputnik 和 RT)在欧洲官方账户的所有限制。 转自 Freebuf,原文链接:https://www.freebuf.com/news/337370.html 封面来源于网络,如有侵权请联系删除

谷歌因侵犯隐私向居民赔偿 1 亿美元

据Cybernews网站消息,美国伊利诺伊州居民对谷歌发起了一项集体诉讼,指控这家科技巨头未经其同意的情况下收集和存储个人生物特征,此举违反了伊利诺伊州的生物识别信息隐私法 (BIPA)。最终谷歌以同意支付1亿美元赔偿与诉讼达成和解。 根据原告们的说法,谷歌相册在未经充分的事先通知和同意的情况下,将照片中出现的相似人脸进行分组归类,谷歌认为,该功能主要是为了帮助用户组织归纳同一个人的照片,方便就某个人照片进行查阅。谷歌声称该功能仅用户个人可见,且可以轻松地关闭。 代表集体诉讼的网站声称,任何伊利诺伊州居民,只要在 2015 年 5 月 1 日至 2022 年 4 月 25 日期间内有任何面部影像出现在Google 照片中,都有资格申请获得赔付,申请赔付的截至日期为9月24日,最终的听证会将于9月28日举行。根据预估的申请赔付人数,每人将可获得200-400美元赔偿。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335570.html 封面来源于网络,如有侵权请联系删除

谷歌关闭了两家俄罗斯 ISP 的缓存服务器

两家俄罗斯互联网服务提供商(ISP)收到Google的通知,称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点,用于更快地向互联网用户提供谷歌内容,并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的,isp可以将这些内容存储在服务器上,并更快地加载,给他们的订阅者更好的连接体验。 俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响,并证实Radiosvyaz(Focus Life)和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化,而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。 确认受影响的两家ISP已5月 19日关闭其缓存服务器,随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知,该通知确认了报告的有效性和所提供的理由。在通知中,谷歌表示关闭缓存服务器的原因是法律实践的变化,并指出公司和关键人物被列入制裁名单。 虽然此项制裁会对这两家俄罗斯ISP产生较大的影响,但好在这两家公司在俄罗斯国内的市场份额相对较小,所以也就不会对俄罗斯网民产生多大的影响。但是,如果谷歌将禁令扩大到所有俄罗斯互联网提供商,那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量,这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本,这可能会渗入订阅用户的每月账单里。 除此之外,关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器,例如 Google CAPTCHA。如果isp被禁用了这项服务,区分人类和机器人的系统可能无法在俄罗斯的网站上运行。 值得注意的是,俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。 由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔,且该公司被处以1亿美元巨额,所以该公司表示无法继续在俄罗斯开展业务。此外,莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产,以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而,谷歌的当地子公司并没有参与在俄罗斯提供缓存服务,因为这是谷歌全球业务的一部分,所以这两个问题没有联系,至少在技术层面上是这样。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334464.html 封面来源于网络,如有侵权请联系删除

谷歌修复了积极利用的 Android 内核漏洞

近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ,并引入了一个修复程序,该修复程序也及时同步给Linux供应商,然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。 4月,CISA披露该漏洞正在被积极利用,并将其添加到其“已知被利用漏洞目录”中。在5月的Android安全公告中,谷歌确认该编号为CVE-2021-22600的漏洞可能被有针对性的利用。目前尚不清楚该漏洞是如何被用于攻击的,但它很可能被用于执行特权命令并通过企业网络中的Linux系统横向传播。 最近的Android版本(10、11、12)包含了越来越严格的权限,使得恶意软件很难获得高级功能所需的权限。因此,在感染后利用漏洞来获得更高的特权并非不可能。此漏洞的第二个潜在用途是用户安装并激活后,可以在设备上获得root权限的设备root工具。 以下是本月修复的内容摘要: Android框架中的四个提权 (EoP) 和一个信息泄露 (ID) 漏洞 Android系统中的三个EoP、两个ID 和两个拒绝服务(DoS) 漏洞 内核组件中的三个EoP 和一个 ID 缺陷 联发科组件中的三个高危漏洞 高通组件中的15个高严重性和1个严重严重性缺陷 需要注意的是,针对CVE-2021-22600和所有来自第三方供应商的修复程序都在2022-05-05 安全补丁程序级别上可用,而不是在2022年5月1日发布的第一个安全补丁程序级别上可用。无论如何,所有这些修复仍然包含在下个月的第一个安全补丁级别中,该补丁将于 2022 年6月1日发布。 同时,该安全补丁并不适用于Android 9或更早版本,建议用户出于安全原因,应该升级到更新的Android操作系统版本。使用Google Pixel设备的用户本月收到了额外的修复,其中一个仅影响使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的两个是漏洞是CVE-2022-20120和CVE-2022-20117,一个是影响引导加载程序的严重远程执行漏洞,一个是Titan-M上的严重信息泄露漏洞。 转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332228.html 封面来源于网络,如有侵权请联系删除

谷歌搜索 2021 Webspam 报告:过滤垃圾网站数量是 2020 年的六倍

由周四发布的“网络垃圾”(Webspam)报告可知,谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉,作为 Alphabet 旗下子公司,Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统,并且可在超过 99% 情况下实现“不受垃圾所困扰”(spam-free)的搜索体验。 (来自:Google Search Central Blog) 此前,SpamBrain 已被这家搜索巨头用于防止用户点击那些可能被注入了恶意软件的有害网站、或旨在诱骗人们泄露个人信息 / 汇款的诈骗站点。 Google 表示,鉴于垃圾信息散播者在持续不断地找到绕过过滤机制的方法,基于人工智能的筛查系统也是相当必要的。 需要指出的是,搜索是 Google 的重要收入来源之一。而高质量和安全的网站搜索结果,也对该公司来说至关重要。 经过多年摸索,垃圾网站制作方早已精通搜索引擎优化(SEO)技术,来人为地提升其搜索排名。 作为应对,Google 也迫切需要排除掉那些利用欺诈算法的垃圾网站。 截至目前,Google 已借助 SpamBrain 将垃圾站点砍掉 70%,其中包括被黑客入侵并植入有害代码的感染站点。若被其得逞,受害者将被窃取登录凭据等机密信息。 其它类型的垃圾站点,还涉及将恶意软件注入受害者的计算机、或诱导重定向至恶意站点。庆幸的是,Google 声称 SpamBrain 能够将这类害群之马排除在搜索结果之外。 Google 政策沟通经理 Ned Adriance 在一封电子邮件中提到: 欺诈者经常拙劣地模仿其它网站,常见套路是填充替换关键词、假借品牌徽标、并附上想要引诱受害者拨打的电话号码。 而 Google 的 SpamBrain 算法方案,能够基本上确保此类欺诈型站点出现在相关搜索结果页面中,且过滤了 75% 的乱码垃圾站点。 这些垃圾站点往往在一堆无意义的文本中填充大量关键词,以试图提升其搜索排名。有时甚至会砸钱挂上垃圾链接,来诱骗搜索引擎的爬虫和抬升 PageRank 品质评分。 对于用户来说,时间总是相当宝贵的。而 Google 的各种解决方案,就希望为用户带来更好的内容检索体验。 【背景资料】 Google 于 2018 年推出的 SpamBrain 系统,且与近 20 年前刚开始治理恶意网站时相比,去年搜索过滤的垃圾站点数量已暴增 200 倍。 即便如此,这场“道高一尺魔高一丈”的垃圾信息攻防战,显然不会轻易完结。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261185.htm 封面来源于网络,如有侵权请联系删除

谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好

上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。 (来自:Google Security Blog) 从 2019 到 2021 年,Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年,Chrome 却没有记录到零日漏洞。 Chrome Security 团队解释称,虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用,但由于缺乏完整的归纳试图,可用数据或存在抽样偏差。 那为何大家还是感觉漏洞变多了呢?Chrome Security 将之归结于四个可能的原因 ——(1)供应商透明度、(2)攻击者焦点的演变、(3)站点隔离项目的完工、以及(4)软件错误的复杂性。 ● 首先,许多浏览器厂商都在一改往日的做法,主动通过各自的渠道来披露此类漏洞利用的详情。 ● 其次,攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎,攻击者也自然地盯上了更广泛的受众群体。 ● 第三,错误的增加,或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现,不至于对全局造成过大的伤害。 ● 第四,基于软件存在 bug 这一简单事实,我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂,更多的错误也是难以避免。 零日漏洞趋势 综上所述,漏洞数量已不再和安全风险直接画等号。即便如此,Chrome 团队仍保证他们会在发布前,努力检测并修复错误。 在利用已知漏洞的 n-day 攻击方面,其“补丁空窗期”已显著减少(Chrome 为 35 天 / 平均 76~18 天)。此外为了防患于未然,Chrome 团队还在努力让攻击变得更加复杂和代价高昂。 在具体正在实施的改进中,包括了不断增强的站点隔离,尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件,以及被野外利用后的缓解措施等。 最后,对于普通用户来说,最简单的应对方法,就是在看到 Chrome 更新提醒的第一时间执行操作。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247609.htm 封面来源于网络,如有侵权请联系删除

谷歌、亚马逊等公司将因“全球最大数据泄露事件”被起诉

据外媒Neowin报道,在今天这个围绕着互联网的世界里,对我们私人数据的在线保护始终是一个热门话题。大型科技公司由于收集和管理的数据量大,经常面临监管机构等的冲击。在与此相关的最新进展中,来自爱尔兰公民自由委员会(ICCL)的高级研究员Johnny Ryan博士决定对IAB技术实验室提起诉讼。该诉讼被提交到汉堡地方法院,针对ICCL认为的“全球最大数据泄露事件”。 IAB技术实验室是一个由一些最大的科技公司组成的联盟,如Google、Facebook、亚马逊等,它负责提供在线数字广告空间运作所依据的技术标准。 在数字广告市场上,广告被放置在各个网站上,使用一种叫做实时竞价(RTB)的方法。RTB是数字广告库存实时购买和销售的过程。ICCL在其诉讼中指出,RTB的使用极大地侵犯了数百万用户的隐私,因为如此多的个人数据被共享到庞大的网络中。 以下是Johnny Ryan博士对此事的看法: 通过挑战在线广告行业的标准,我们的诉讼瞄准了Google、Facebook、亚马逊、Twitter、Verizon、AT&T以及整个在线广告和监控行业。这个行业跟踪我们,并建立了关于我们最亲密的秘密的隐秘档案。从今天开始,我们要改变这种状况。 ICCL提供了一份播放RTB数量最多的九个大公司的名单。它包含了一些常见的公司的名字。   关于此事的更多细节,你可以访问ICCL的官方网页。 这并不是第一次与RTB有关的诉讼,因为Google最近被法国的一个调查机构处以2.2亿欧元(约2.68亿美元)的罚款,该公司同意与之和解。     (消息及封面来源:cnBeta)

谷歌承诺 FLoC 隐私沙箱不留后门 广告商对此持怀疑态度

过去几年,谷歌一直在积极向 Web 浏览器的 Cookie 发起战争,尤其是那些严重侵犯用户隐私的第三方跨站追踪 Cookie 。但由于此类 Cookie 也被广告平台给广泛使用,意味着谷歌也必须为自己找到替代解决方案。最终该公司交出了两个答案,其一是隐私沙箱(Privacy Sandbox)、另一个就是所谓的“联合学习队列”(简称 FLoC)。 不出所料的是,包括电子前沿基金会(EFF)在内的组织机构、各大浏览器开发商、甚至广告商们,都对谷歌的 FLoC 追踪提出了严厉的批评。 为平复外界的怒火,谷歌现又承诺自己不会违反相应规则,但隐私倡导者和与之有竞争关系的广告技术公司,均不对此表示买账。 DigiDay 指出,FLoC 本质上是将针对特定用户的追踪,改成了针对同一群体的用户追踪,这些用户拥有类似的 Chrome 浏览历史记录。 虽然谷歌假意宣称自己尊重用户的线上隐私,但还是有眼尖的人指出,该公司正好可以利用 FLoC 的机会来进一步巩固自身在广告市场的主导地位。 近日,谷歌广告副总裁兼总经理 Jerry Dischler 公开承诺,该公司不会在 FLoC 中留有后门,也不会按照其它广告商与合作伙伴的规则意图来行事。 这位高管在一次线上举办的营销活动期间表示,谷歌将为自己的广告和指标使用相同的隐私沙箱 API,但这番言论并不让人信服。 一方面,即将实施 FLoC 追踪的 Chrome / Chromium 浏览器,本身就是谷歌自己把持的灰色地带。 另一面,谷歌拥有保留第一方属性的个人用户数据的权利,意味着本质上仍可能换汤不换药。 更何况,谷歌很有可能在不久的将来推翻这一承诺,正如此前屡次发生过的类似事件那样。   (消息及封面来源:cnBeta)