Bleeping Computer 网站披露，2022 年，谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金，为安全研究人员报告的 2900 多个漏洞，支付超 1200 万美元。 2022年，谷歌漏洞奖励总额跃升至1200万美元 （来源：谷歌） 安卓漏洞赏金计划 近期，谷歌发布了漏洞奖励计划（VRPs）的统计数据，详细概述了安全研究人员如何发现公司产品中安全漏洞以及获得的漏洞赏金数额。 资料显示，最大单笔报酬发给了 gzobqq ，其在提交的报告中详细说明了安卓系统中五个漏洞（CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460）的利用链，一共获得了 60.5 万美元的奖励。 值得一提的是，2021年，gzobqq 发现并报告了安卓系统中的另一个关键漏洞链，获得了 15.7 万美元的奖励，该金额是当时安卓系统 VRP 历史上最高的漏洞赏金。通常情况下，通过谷歌 VRP 提交安卓漏洞的赏金最高为 1 万美元，但对于漏洞链，提供者最高可获得的赏金高达 100 万美元。 2022 年，谷歌为数百个安卓漏洞支付了 480 万美元的奖励，报告大多数漏洞的顶级研究人员主要是以下几位： Bugsmirror 的 Aman Pandey：超过 200 个漏洞 OPPO 琥珀安全实验室的 Zinuo Han：150 个漏洞 Yu-Cheng Lin：近 100 个漏洞 2022 年，谷歌还通过其与安卓芯片组制造商合作提供的私人奖励计划 ACSRP，为 700 份漏洞安全报告提供了 48.6 万美元的奖励。 Chrome 和 OSS 的奖励 2022 年，谷歌公司还为 Chrome 浏览器中的 363 个漏洞和 ChromeOS 中的 110 个安全漏洞支付了总计 400 万美元的赏金。 除了向研究人员发放奖金外，谷歌还向 170 多名研究人员发放了超过 25 万美元的赠款。这些资金用于关注谷歌产品和服务的个人研究员，即使他们没有发现任何漏洞。 2022 年，谷歌为通过漏洞奖励计划提交的报告支付了 703 名研究人员的费用，并成为 NahamCon 和 BountyCon 安全相关会议的赞助商。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/358421.html 封面来源于网络，如有侵权请联系删除

谷歌本周二宣布，它正式向运行Android 13的移动设备推出Android隐私沙盒测试版。 谷歌表示：”隐私沙盒测试版提供了新的API，这些API的设计以隐私为核心，不使用可以在应用程序和网站上跟踪的识别码。”选择Beta版的应用程序可以使用这些API向你展示相关的广告，并衡量其有效性。 被选中参加Beta测试的设备在设置中会有一个隐私沙盒部分，以允许用户控制他们的参与以及查看和管理他们的首要兴趣，这些兴趣由主题 API 确定以投放相关广告。 据谷歌称，最初的主题分类法将包括几百到几千个主题，并将进行人工编辑以排除敏感话题。 预计Beta测试将从安卓13设备的 “小部分 “开始，并将随着时间的推移逐步扩大。 安卓上的隐私沙盒是谷歌对苹果的应用追踪透明度（ATT）的回应，它要求应用开发者在通过独特的标识符追踪用户在应用和网站上的在线行为之前，必须征求用户的明确同意。这是苹果公司在iOS 14.5中引入的。 此次测试仅仅是保护用户网络数据安全的一部分，其目的是在2024年之前开始逐步淘汰Chrome网络浏览器中的第三方cookies。 目前，安卓设备被分配了一个独特的用户可重置的标识符，可被应用开发者用于跟踪在线行为。隐私沙盒用一套保护隐私的工具取代了这个标识符，这些工具的设计是为了限制信息共享，同时支持个性化广告。 虽然谷歌的提案希望在基于兴趣的广告和隐私之间取得平衡，但该公司也批评苹果等“生硬的方法”无法提供可行的替代方案。 话虽如此，Apple 的 ATT 本身也面临着批评。2021 年 9 月，Lockdown Privacy称Apple 的政策“在阻止第三方跟踪方面毫无功能”，并且“对活跃第三方跟踪器的总数没有影响”。 此外，《金融时报》2021年12月的一份报告发现，应用程序正在继续跟踪iOS上的用户，尽管是以匿名和聚合的方式。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357783.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，谷歌与美国印第安纳州和华盛顿特区监管机构达成了和解协议，同意支付总计 2950 万美元，以了结两起与追踪用户位置相关的诉讼。 从和解协议内容来看，谷歌分别向华盛顿特区、印第安纳州支付 950 万美元和 2000 万美元。上月，谷歌已经因类似指控同意向 40 个州支付总计 3.915 亿美元。值得一提的是，除上述诉讼案外，谷歌还面临德克萨斯州和华盛顿州另外两起追踪用户位置的诉讼案。 Google 长时间追踪用户位置信息 印第安纳州在上周一份新闻稿中表示，谷歌使用从该州消费者处收集的位置数据，建立了详细用户档案，至少从 2014 年开始，就一直在欺骗和误导用户。 据悉，2018 年，媒体披露谷歌大范围追踪用户位置信息后，多个州对其发起诉讼，谷歌虽然在事后关闭了“位置历史”的选项，但仍通过一个名为 “Web 和 APP 活动 ”的设置，在安卓和 iOS 上跟踪用户的位置信息。 和解协议的结果显示，Google 被勒令必须告知开启了“位置历史 ”和 Web&App 活动的用户是否正在收集其位置数据，以及用户可以采取那些措施，避免信息泄露。谷歌还被要求维护一个网页，披露其收集的所有类型和来源的位置数据，并避免在未经用户明确同意的情况下与第三方广告商分享这些精确的位置信息。此外，Google 还需要在 30 天内自动删除从用户设备或 Web&APP 中获得的位置数据。 Google 加强了用户位置隐私保护 目前，Google 已经推出了一些用户隐私保护措施，例如允许用户自动删除与其账户绑定的位置数据。Google 进一步表示，将提供有关 Web&App 活动中的更多 “详细 ”信息，后续将推出了一个信息中心和新的切换按钮，以方便用户“处置”自己的位置信息。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354106.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Google Home 智能音箱中出现一个安全漏洞，攻击者可以利用漏洞安装后门账户，远程控制音箱，并通过访问麦克风信号将其变成一个监听设备。 据悉，一名研究员在去年发现这个漏洞问题，并立刻向谷歌报告，最终还获得了 107500 美元。本周早些时候，该研究员公布了有关漏洞的一些技术细节和攻击场景，以展示如何利用漏洞。 Google Home 音箱漏洞发现过程 这名研究员用 Google Home 音箱做实验时，发现使用 Google Home 应用添加的新账户可以通过云端 API 远程向其发送指令。研究员通过使用 Nmap 扫描，找到了 Google Home 本地 HTTP API 的端口，于是设置一个代理来捕获加密 HTTPS 流量，以期获取用户授权令牌。 捕获的 HTTPS（加密）流量（downrightnifty.me） 随后，研究员发现向目标设备添加新用户需要两个步骤。首先需要从其本地 API 中获取设备名称、证书和“云 ID”。有了这些信息，便可向谷歌服务器发送一个链接请求。 为向目标 Google Home 设备添加恶意用户，研究员在一个 Python 脚本中实现了链接过程，该脚本能够自动过滤本地设备数据并“再现”链接请求。 携带设备 ID 数据的链接请求（downrightnifty.me) 研究员在博客中总结了攻击过程： 攻击者希望在 Google Home 的无线距离内监视受害者（但没有受害者的Wi-Fi 密码）。 攻击者通过监听与Google Inc.相关前缀的 MAC 地址（如 E4:F0:42）发现受害者的谷歌Home。 攻击者发送 deauth 数据包以断开设备与网络的连接，使其进入设置模式。 攻击者连接到设备的网络设置，并请求其设备信息（名称、证书、云ID）。 攻击者连接到互联网之后，使用获得的设备信息将其账户链接到受害者的设备上。 这时候，攻击者就可以通过互联网监视受害者的 Google Home 了（不需要再靠近设备）。 值得一提的是，该研究员在 GitHub 上发布了上述行动的三个 PoCs，但应该对运行最新固件版本的 Google Home 设备不起作用。 这些 PoCs 比单纯的植入恶意用户更进一步，攻击者可以通过麦克风进行监听活动，在受害者的网络上进行任意的 HTTP 请求，并在设备上读/写任意文件。 Google Home 音箱安全问题可能带来的影响 一旦有恶意账户链接到目标受害者设备上，就有可能通过 Google Home 音箱控制智能开关、进行网上购物、远程解锁车门，或秘密暴力破解用户的智能锁密码。 更令人担忧的是，研究员发现了一种滥用“呼叫[电话号码]”命令的方法，将其添加到一个恶意程序中，随后将在指定时间激活麦克风，调用攻击者的号码并发送实时麦克风反馈。 捕获麦克风音频的恶意路由（downrightnifty.me） 在通话过程中，设备的 LED 会变成蓝色，这是发生某些监听活动的唯一“指示”，就算受害者注意到它了，也可能会认为是设备正在更新其固件。（注：标准麦克风激活指示灯为脉动 LED，在通话过程中不会出现这种情况） 最后，攻击者还可以在被入侵的智能音箱上播放媒体资源，也可以强制重启，甚至“强迫”其忘记存储的 Wi-Fi 网络，强制进行新的蓝牙或Wi-Fi配对等等。 谷歌的修复措施 研究员在 2021 年 1 月发现 Google Home 智能音箱的安全问题，同年 4 月，谷歌发布安全补丁，修复了所有问题。 补丁中包括一个新的基于邀请的系统，用于处理帐户链接，阻止任何未添加到 Home 的尝试。至于 “呼叫[电话号码]”命令，谷歌新增一个保护措施，以防止其通过例程进行远程启动。 值得注意的是，Google Home 于 2016 年发布，2018 年添加了预定例程，2020 年引入了 Local Home SDK，因此在 2021 年 4 月之前，发现安全漏洞的攻击者有足够的利用时间。     转自 Freebuf，原文链接：https://www.freebuf.com/news/353938.html 封面来源于网络，如有侵权请联系删除

谷歌在本周周三表示，它再次将暂缓禁用Chrome网络浏览器中的第三方cookies的计划，该计划将会从2023年底推迟到2024年的下半年。 隐私沙盒项目的副总裁Anthony Chavez对外称他们收到大量反馈是需要更多时间来进行新隐私沙盒技术的评估和测试，之后再进行对Chrome浏览器中的第三方cookies的废弃和禁用。考虑到这一点，Anthony Chavez表示，谷歌正在采取一种 “审慎的方法”，在逐步淘汰第三方cookies之前，延长其正在进行的隐私沙盒举措的测试窗口。 Cookies是在访问网站时，网络浏览器在用户的电脑或其他设备上植入的数据，第三方cookies为大部分数字广告生态系统及其在不同网站上跟踪用户以显示目标广告的能力提供动力。隐私沙盒则是谷歌对一系列技术的总称，这些技术旨在通过限制跨网站和跨应用程序的追踪，并提供改进的、更安全的替代方案来提供基于兴趣的广告，从而改善用户在网络和安卓上的隐私。 虽然谷歌最初计划在2022年初推出隐私沙盒功能，但它在2021年6月修改了该计划，将第三方cookies过渡的三个月时期，定为2023年中期至2023年底，谷歌当时就已经指出整个生态系统需要更多的时间来完成。 第二个扩展是谷歌在2022年1月宣布主题API作为FLoC（Federated Learning of Cohorts的缩写）的替代品，随后在5月发布了Android的隐私沙盒的开发者预览。 2022年2月，英国竞争和市场管理局（CMA）正式接受了谷歌关于如何开发该技术的承诺，指出需要充实隐私沙盒，使其促进竞争，支持出版商从广告中获得收入，同时也保障消费者的隐私。 根据新的计划，隐私沙盒试验预计将在下个月扩大到全球用户，在今年余下时间和2023年，纳入测试的用户数量将不断增加。谷歌还强调，用户将看到一个提示，以管理他们的参与，并补充说，它打算在2023年第三季度前普遍提供API，第三方cookie支持暂定在2024年下半年禁用。CMA方面今天承认，它知道 “第三方正在开发的替代建议”，并且它 “正在与信息专员办公室合作，以更好地了解其可行性和可能的影响”。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340535.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，Google 搜索和云端硬盘错误地将全球最大的计算机协会 (ACM) 研究论文和网站的链接标记为恶意软件。于是，谷歌直接把ACM网站给封了。 公开信息显示，计算机协会 (ACM) 成立于 1947 年，总部位于纽约市，是一家非营利性组织，是世界上最大的科学和教育计算机协会。截至 2019 年，ACM 的成员包括近 100,000 名参与计算领域的学生和专业人士。 研究论文“违反”Google Drive 政策 德国Max Planck Society的研究员Maximilian Golla首次发现了这一情况，他的一个Google Docs 文件遭到了Google的封禁。 根据 Golla的说法，该文件包含指向 ACM 研究论文的链接，但根据研究人员分享的屏幕截图，“违反”了 Google 的服务条款： 研究人员的 Google Docs 文件被标记为包含 ACM 链接 值得一提的是，有动作的不只是Google Drive，谷歌搜索也将ACM 网站、ACM 数字图书馆研究论文和联系页面等链接标记成恶意链接。 安全人员测试后发现，单击结果中出现的任何 acm.org 、 dl.acm.org 或library.acm.org链接会导致在 Google 的重定向页面上托管一个“插页式”，警告访问者该链接可能有害。 Google 搜索结果将 ACM 网站标记为恶意网站 此问题实质上是阻止从 Google 搜索结果到 ACM 域的所有流量。ACM 访问者将不得不手动将预期的链接复制粘贴到其 Web 浏览器的地址栏中： ACM 网站的 Google 搜索结果被插页式广告阻止 这些警告通常由 Google向可能无意中导航到托管广告软件、MageCart脚本或其他类型恶意软件的受感染网站或域的访问者显示。到目前为止，没有迹象表明 ACM 的域受到损害或提供恶意软件。 记者在认真查看了谷歌的“诊断页面”后，也确认ACM网站是安全的，尽管在 Google 搜索和云端硬盘中都标记了ACM 链接不安全。 事实上，这也不是 Google Drive 第一次错误地将材料标记为违反其服务条款的材料。2022年1月，有用户发现谷歌云端硬盘因“侵犯版权”而限制了了几乎是“空”的文件，因为这些文件只包含一些数字或单个数字（例如“1”）。 另外，即使出于个人研究目的，包含网络钓鱼链接的 Google Drive 文档也会被自动标记为违反条款，并限制其共享功能。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339822.html 封面来源于网络，如有侵权请联系删除

Bleeping  Computer 网站披露，俄罗斯电信监管机构 Roskomnadzor 已对谷歌处以 6800 万卢布（约合120 万美元）的罚款，原因是谷歌传播关于俄乌战争的“不可靠”信息，以及未能从其平台上删除这些信息。 俄罗斯电信监管机构表示，谷歌 YouTube 在线视频共享平台“有目的地帮助”传播俄乌战争相关的不准确信息，从而诽谤俄罗斯军队。 据 Roskomnadzor 统计，YouTube 平台上目前有 7000 多份材料，这些材料中包括部分宣传极端主义观点、漠视未成年人的生命和健康以及呼吁抗议的内容，是 Roskomnadzor 认定的非法内容。 值得一提的是，由于一再未能限制对俄罗斯禁止信息材料的访问，谷歌还面临高达其在俄罗斯年营业额 10% 收入的罚款。 根据莫斯科塔甘斯基法院 2021 年 12 月 24 日发布的命令，因谷歌一再拒绝删除俄罗斯想要禁止的内容，5月份，俄罗斯法警从谷歌账户中预先扣押了 72.2 亿卢布（约 1.33 亿美元）。 部分谷歌服务将继续可用 谷歌方面透漏，虽然公司在俄罗斯运营已经变得越来越不可能，但其免费服务（包括谷歌搜索、YouTube、Gmail、地图和 Google Play）在俄罗斯仍可使用。 早在今年 3 月，Roskomnadzor 已经禁止了 Alphabet 的新闻聚合服务 Google News，并阻止访问其 news.google.com 域名，原因是它提供了关于俄乌战争的“不可靠的信息”。 据悉，这一决定是在俄罗斯总统普京签署新法案后做出的，该法律规定传播有关俄乌战争的 “故意假新闻 ”是非法的，并规定最高可判处 15 年的监禁。 同月，电信监管机构要求谷歌停止在 YouTube 视频上散布有关俄乌战争错误信息的广告活动。作为回应，谷歌应欧盟要求，封锁了今日俄罗斯 (RT) 和 Sputnik 在欧洲的 YouTube 频道。 随后，Roskomnadzor 对 YouTube 的决定提出抗议，要求立即取消对俄罗斯媒体（包括 Sputnik 和 RT）在欧洲官方账户的所有限制。 转自 Freebuf，原文链接：https://www.freebuf.com/news/337370.html 封面来源于网络，如有侵权请联系删除

据Cybernews网站消息，美国伊利诺伊州居民对谷歌发起了一项集体诉讼，指控这家科技巨头未经其同意的情况下收集和存储个人生物特征，此举违反了伊利诺伊州的生物识别信息隐私法 (BIPA)。最终谷歌以同意支付1亿美元赔偿与诉讼达成和解。 根据原告们的说法，谷歌相册在未经充分的事先通知和同意的情况下，将照片中出现的相似人脸进行分组归类，谷歌认为，该功能主要是为了帮助用户组织归纳同一个人的照片，方便就某个人照片进行查阅。谷歌声称该功能仅用户个人可见，且可以轻松地关闭。 代表集体诉讼的网站声称，任何伊利诺伊州居民，只要在 2015 年 5 月 1 日至 2022 年 4 月 25 日期间内有任何面部影像出现在Google 照片中，都有资格申请获得赔付，申请赔付的截至日期为9月24日，最终的听证会将于9月28日举行。根据预估的申请赔付人数，每人将可获得200-400美元赔偿。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335570.html 封面来源于网络，如有侵权请联系删除

两家俄罗斯互联网服务提供商(ISP)收到Google的通知，称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点，用于更快地向互联网用户提供谷歌内容，并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的，isp可以将这些内容存储在服务器上，并更快地加载，给他们的订阅者更好的连接体验。 俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响，并证实Radiosvyaz（Focus Life）和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化，而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。 确认受影响的两家ISP已5月 19日关闭其缓存服务器，随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知，该通知确认了报告的有效性和所提供的理由。在通知中，谷歌表示关闭缓存服务器的原因是法律实践的变化，并指出公司和关键人物被列入制裁名单。 虽然此项制裁会对这两家俄罗斯ISP产生较大的影响，但好在这两家公司在俄罗斯国内的市场份额相对较小，所以也就不会对俄罗斯网民产生多大的影响。但是，如果谷歌将禁令扩大到所有俄罗斯互联网提供商，那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量，这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本，这可能会渗入订阅用户的每月账单里。 除此之外，关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器，例如 Google CAPTCHA。如果isp被禁用了这项服务，区分人类和机器人的系统可能无法在俄罗斯的网站上运行。 值得注意的是，俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。 由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔，且该公司被处以1亿美元巨额，所以该公司表示无法继续在俄罗斯开展业务。此外，莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产，以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而，谷歌的当地子公司并没有参与在俄罗斯提供缓存服务，因为这是谷歌全球业务的一部分，所以这两个问题没有联系，至少在技术层面上是这样。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/334464.html 封面来源于网络，如有侵权请联系删除

近期谷歌发布了Android的5月安全补丁的第二部分，其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600，是Linux内核中的一个权限提升漏洞，威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核，因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ，并引入了一个修复程序，该修复程序也及时同步给Linux供应商，然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。 4月，CISA披露该漏洞正在被积极利用，并将其添加到其“已知被利用漏洞目录”中。在5月的Android安全公告中，谷歌确认该编号为CVE-2021-22600的漏洞可能被有针对性的利用。目前尚不清楚该漏洞是如何被用于攻击的，但它很可能被用于执行特权命令并通过企业网络中的Linux系统横向传播。 最近的Android版本（10、11、12）包含了越来越严格的权限，使得恶意软件很难获得高级功能所需的权限。因此，在感染后利用漏洞来获得更高的特权并非不可能。此漏洞的第二个潜在用途是用户安装并激活后，可以在设备上获得root权限的设备root工具。 以下是本月修复的内容摘要： Android框架中的四个提权 (EoP) 和一个信息泄露 (ID) 漏洞 Android系统中的三个EoP、两个ID 和两个拒绝服务(DoS) 漏洞 内核组件中的三个EoP 和一个 ID 缺陷 联发科组件中的三个高危漏洞 高通组件中的15个高严重性和1个严重严重性缺陷 需要注意的是，针对CVE-2021-22600和所有来自第三方供应商的修复程序都在2022-05-05 安全补丁程序级别上可用，而不是在2022年5月1日发布的第一个安全补丁程序级别上可用。无论如何，所有这些修复仍然包含在下个月的第一个安全补丁级别中，该补丁将于 2022 年6月1日发布。 同时，该安全补丁并不适用于Android 9或更早版本，建议用户出于安全原因，应该升级到更新的Android操作系统版本。使用Google Pixel设备的用户本月收到了额外的修复，其中一个仅影响使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的两个是漏洞是CVE-2022-20120和CVE-2022-20117，一个是影响引导加载程序的严重远程执行漏洞，一个是Titan-M上的严重信息泄露漏洞。 转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332228.html 封面来源于网络，如有侵权请联系删除