据外媒报道 1 月 4 日报道，相关安全专家认为黑客组织即将远程利用影响英特尔 （包括 AMD 和 ARM） 处理器的两个严重漏洞 Spectre （幽灵） 、 Meltdown （熔断）开展攻击行动。 据悉，研究人员于 1 月 3 日披露了漏洞的具体细节：Spectre 和 Meltdown 利用三种不同缺陷绕过内存隔离机制，从而访问敏感数据（包括密码、照片、文档和电子邮件）。目前有数十亿种产品的 CPU 受到影响，其中包括个人电脑和智能手机，此外，云环境也可能会遭受攻击。相关研究人员已提供了一种使用内核页表隔离（ KPTI ）的防御策略，并且受影响的供应商也发布了补丁和解决方法。 虽然主要攻击媒介是通过本地访问（例如目标机器上安装的一个恶意软件），但研究人员认为通过 JavaScript 进行远程攻击也是有可能的。 对此，研究人员开发了一个概念验证（POC），用于验证在 Google 浏览器 上使用 JavaScript 利用 Spectre 的方法 ， 并从其运行过程中读取私有内存。该 PoC 的验证结果显示 JavaScript 远程利用漏洞这一方式是可用的，因此专家认为恶意攻击者远程利用漏洞展开攻击行动只是时间早晚的问题而已。这也就是为什么一些专家建议用户在浏览器中禁用 JavaScript 并安装广告拦截器。 除此之外，几家科技巨头也对可能出现的远程攻击进行了分析。 Mozilla 通过内部实验确定这些技术可以被用来从网页内容读取不同来源之间的私人信息，目前 Mozilla 已决定在 Firefox 57 中实施部分保护。 Google 通过 JavaScript 和 WebAssembly 都可以进行攻击。Google 通知客户，目前版本的 Chrome 包括一个名为站点隔离的功能，可以手动启用以防止攻击。此外，谷歌表示将在 1 月 23 日发布的 Chrome 64 中包含 V8 JavaScript 引擎的缓解措施，其他的强化措施将在未来的版本中加入，但这些措施可能会对性能产生负面影响。 微软 可以通过在浏览器中运行的 JavaScript 代码启动攻击。不过目前微软已经发布了其 Edge 和 IE 浏览器的最新版本，以减少漏洞。 知情人士透露，许多知名公司的高层对黑客即将远程利用漏洞展开攻击行动的这一猜想也表示赞同，例如 FireEye 亚太区首席技术官 Bryce Boland 、Cybereason 公司首席安全官 Sam Curry 等人士。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，近几日曝出的芯片漏洞被证实影响范围及广，其几乎波及了全球所有的手机、电脑、服务器以及云计算产品。一开始最先被曝出受到影响的芯片来自英特尔公司，后来 AMD 以及 ARM 处理器也都被证实受到波及。 为此，整个科技行业都在争相开发能够修复这些漏洞的软件补丁。包括苹果、亚马逊、微软、谷歌在内的各大科技公司都在为其所用的操作系统以及云服务更新打补丁。 那么针对这次的芯片漏洞事件各家公司又都是如何回应的呢？ 英特尔： “ 英特尔和其他科技公司已经从新的安全研究中了解到了当软件分析方法被用于恶意目的时有可能会出现不恰当地从电脑设备中收集敏感数据的情况。英特尔相信这些漏洞不存在破坏、修改和删除数据的可能性。” “ 最近关于这些漏洞由一个只存在于英特尔产品的 bug 或 flaw 引起的报道是错误的。基于迄今为止的分析显示，许多计算设备类型–包括来自许多不同厂家的处理器和操作系统–都非常容易受到这种攻击。” 微软： 微软今天已经更新了 Windows 10，与此同时，Windows 7 和 Windows 8 也都获得了对应的更新。 “ 我们意识到发生在整个行业的问题并已经跟芯片制造商展开密切合作以开发和测试缓解措施来保护我们的客户。我们正在为云服务部署缓解措施，另外还发布了能保护受英特尔、ARM、AMD 硬件漏洞影响的 Windows 客户的安全升级。我们还没有收到任何表明我们的客户遭到这些漏洞攻击的报告。” 谷歌： 谷歌 Project Zero 的研究人员实际上早在去年就已经发现了这些漏洞并在 2017 年 6 月将相关信息提供了英特尔、AMD、ARM。谷歌在一篇博文中披露了其对 Android、Crhome OS、Google Cloud 所采取的措施。这家公司表示， Chromecast 和 Chrome 浏览器都未在影响范围内。 亚马逊： “ 这是一个已经在英特尔、AMD、ARM 等现代处理器构架中存在 20 多年的漏洞，它们横跨服务器、台式机、移动设备。目前亚马逊 EC2 机群只有极少数得到了保护，但其余的保护工作将在接下来的几个小时内完成。我们将随时让客户了解我们安全告示的最新动态，相关信息可以在这里找到。” AMD： “ 需要澄清的是，安全研究团队确定了 3 种针对预测执行的（漏洞）变体。这 3 种变体对各家微处理器公司的威胁和影响不尽相同，AMD 不受影响。由于 AMD 构架的不同，我们相信 AMD 处理器目前受到的风险为零。我们预计安全研究报告将会在今天晚些时候公布，届时将提供进一步的消息。” ARM： “ ARM 已经为解决这个利用某些高端处理器所用的投机执行技术的旁路分析方法跟英特尔和 AMD 展开合作，这当中包括了我们的 Coretex-A 处理器。该方法能够让恶意软件在本地运行进而获得访问来自特权内存数据的权限。需要注意的是，我们现流行的低功率、IoT 设备连接 Cortex-M 处理器不在影响范围内。” “ 我们建议我们的硅谷合作伙伴，如果其芯片受到影响，那么最好采取缓解措施。” 苹果： 截止到目前，苹果尚未作出回应。 不过苹果貌似已经通过去年 12 月份推出的 macOS High Sierra 10.13.2 更新部分修复了这个问题，而且将会在即将发布的 10.13.3 更新中修复更多的内容。苹果内部的多个信息源（未被授权代表公司）已经向 AppleInsider 网站证实，macOS High Sierra 10.13.2 有例程来稳定可能允许应用程序访问受保护的内核内存数据的缺陷。这些措施再加上十多年来苹果对内核内存的现有程序要求似乎已经减轻了大部分之前曝光安全漏洞带来的危害。 相关阅读： 阿里云腾讯云回应英特尔CPU漏洞:通过热升级修复漏洞 百度云回应英特尔CPU漏洞:启动应急措施推进漏洞修复 消息来源：据 cnBeta、MacX 内容整理， 封面源自网络；

根据谷歌一份新报告显示，东南亚现在是世界第三大互联网用户地区，在线用户数量高于全美国人口，互联网对该地区的影响力远远超出了原先的想象。中国和印度在考察亚洲新兴经济体时通常会主宰这个话题，但东南亚正在迅速成为互联网改变日常行为和创造新机遇的市场。 谷歌原来的报告预测，到 2025 年，东南亚的互联网经济每年将达到 2000 亿美元，但现在估计会提前达到这一数字，仅在 2017 年就达到 500 亿美元。这份报告显示，在线旅游仍然是基于互联网支出中最大的部分，从 2015 年的 191 亿美元跃升至 2017 年的 266 亿美元，但是电子商务和乘坐旅行的增长率最高。 报告显示，东南亚地区电子商务 2017 年复合年增长率为 41%，首次超过 100 亿美元，到 2025 年将达到 880 亿美元，成为最赚钱的部分。Uber 和 Grab 正在争夺东南亚的乘车分享市场，而当地独角兽 Go-Jek 计划在印度尼西亚之外扩张，而这项竞争反映在报告最新的调查结果中。 谷歌这份报告得出结论是，东南亚地区出租车应用程序的总支出在两年内翻了一番多，达到 50 亿美元。预计到 2025 年，乘坐汽车的业将进一步发展并达到 200 亿美元。报告也显示，东南亚最大的经济体印度尼西亚可能占了其中的大部分，2015 年这方面的收入占比超过 40% 。 稿源：cnBeta，封面源自网络；

据外媒报道，谷歌上周修补了四十多个安全漏洞，其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码，以便恶意版本能够覆盖智能手机上的合法应用程序。目前，有数以百万计的 Android 设备面临着漏洞造成的严重风险。 这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现，他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 )，谷歌 12 月初发布的 Android 安全公告中显示，该漏洞在上周四已被修补。 Android Janus 漏洞工作方式 研究显示，这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中，使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现，由于缺少文件完整性检查，这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中，以便在目标设备上执行恶意代码而不被发现，便于欺骗程序安装过程。换句话说，黑客并不需要修改合法应用程序本身的代码(使签名无效)，而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。 当用户下载应用程序的更新时，Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配，Android 系统将继续安装更新程序，更新后的应用程序继承原始应用程序的权限。因此，一旦安装了受感染的应用程序，黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。 攻击场景 黑客可以使用各种媒介（如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程，甚至是中间人攻击）传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示，从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外，从第三方应用程序商店下载的 Android APKs，比如社交媒体或者系统应用程序等也可能成为攻击目标。 修补方式 虽然目前谷歌已经修补了 Janus 漏洞，但在设备制造商（OEM）为其发布自定义更新之前，大多数 Android 用户的系统漏洞都将无法获得修复，显然大量智能手机用户还是很容易受到黑客的攻击。 GuardSquare 称，受影响的是运行比 Nougat（7.0）更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的   Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7（ Nougat ）和最新版本，因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁，也没有最新的  Android 版本，那么你就应该时刻保持警惕，尽量不要在谷歌的 Play Store 之外安装应用程序和更新，以最大限度地降低被黑客攻击的风险。 此外，GuardSquare 还建议，为了安全起见 Android 开发人员需要应用签名方案 v2，以确保他们的应用程序不能被篡改。 消息来源：thehackernews、threatpost，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。      

Alphabet 旗下谷歌部门副总裁、机器学习领域中的先驱人物杰弗里·辛顿（Geoffrey Hinton）12 月 4 日称，人工智能（AI）技术在金融服务、医疗保健、交通运输及其他领域中的扩张给各国政府带来了新的挑战，使其不得不对这些行业进行监管。辛顿在路透社周一于多伦多主持召开的 Reuters Newsmaker 大会上表示：“ 这将是个大问题。” 在繁荣发展的深度学习领域中，辛顿是一位先驱人物，他曾领导多伦多大学的一个科学家团队开发出了一些关键算法，这些算法被神经网络系统用于海量数据的运算分析，借此自我训练以鉴别各种模式，从而模仿人类大脑处理某些任务的方式，如驾驶汽车、分析潜在的金融交易或利用医学图像来诊断疾病等。 他说道，自 2012 年以来，这个领域已经取得了繁荣的发展，当时神经网络的进步令谷歌得以为其 Android 移动设备增添了语音识别功能，研究人员则利用这种技术来降低光学识别的出错率。 辛顿还表示，神经网络可自我学习执行复杂操作，这就意味着其开发者不可能确切地告知政府监管机构这种系统是如何运作的。他说道：“你所需要的只是有关正确答案是什么的海量数据和信息，让后就可教会一个庞大的神经网络去做你想做的事情。” 深度学习还正接近于彻底改革某些疾病的诊断方式。辛顿表示，已经学习了以百万计算的医学图像的神经网络将可作出比一部分医师更精确的诊断。他预测，利用神经网络来检测皮肤损伤图像的移动应用将被开发出来，这种应用将可建议用户去看医生，以便在如有必要时做活组织检查。他说道：“我们想要让机器变得更好。” 相关文章: ○ Google AI 创造的 AI 超过人类创造的 AI ○ AI能够自学翻译地球上的任何语言了 ○ 前谷歌首席科学家Yoav Shoham：AI研究的发展还太有限 稿源：cnBeta、，稿件以及封面源自网络；

Google 表示应用程序处理个人用户数据，如电话号码和电子邮件地址，或有关设备的数据（如 IMEI 号码）必须提示用户许可收集信息。此外，修改后的规则还规定，如果应用程序收集和传输与其功能无关的个人数据，则必须在传输之前强调这一事实，并首先征求用户同意。这涵盖了应用程序功能，例如崩溃报告，其中设备上安装的应用程序列表未经许可不得发送。 如果开发者在 60 天内不遵守规定，Google 将通过 Google Play 或在通往这些应用的网站上向用户发出警告。谷歌长期以来一直在打击应用内的某些广告。那些被认为是欺骗性的，破坏性的，不恰当的或干扰其它应用程序或设备功能的应用程序定期从商店中移除。上周，Google Play 政策中心的更新显示，将广告引入锁定屏幕的应用已被Play商店禁止，唯一例外的是那些专门用作锁定屏幕的应用。 研究人员上个月底发现，他们分析 300 多种 Android 应用程序中的四分之三都包含嵌入式第三方跟踪器，其中包括 Uber，Spotify 和 Tinder 等等。 稿源：cnBeta，封面源自网络；

据媒体 12 月 5 日报道，大型科技公司寻求让极端主义内容远离他们的平台，现在又在他们的共享数据库中增加了 4 万个恐怖主义视频和图片的数字标识。Facebook 公司、谷歌公司旗下 YouTube、微软公司以及 Twitter 在周一发布的联合博文中公布了这些数据。 这四大社交媒体公司属于全球互联网反恐论坛 （Global Internet Forum），该组织在一年前宣布建立，开始共享他们从其平台移除的恐怖主义视频的数字指纹。根据这一倡议，如果一家公司从其网络中移除了违反恐怖主义政策的内容，该公司就需要把这一内容登记在共享数据库中。这样一来，如果有人试图向其他公司网络发布相同内容，该内容就会自动被标记进行审核，可能会被移除。 上周，Facebook 表示，在公司目前移除的与极端组织伊斯兰国和基地组织相关的内容中，99% 是由公司的 AI 技术发现，早于任何用户的标记。Twitter 在 9 月份表示，公司在没有依靠用户申诉的情况下也移除了 99% 的恐怖主义帖子。YouTube 称，截至今年 11 月，在公司移除的恐怖主义相关内容中，大约 83% 由算法自动发现。此外，这四大科技公司称，Instagram、领英、Snap、Ask.fm 等公司也开始参与共享恐怖主义内容数据库的建设。 稿源：cnBeta、凤凰科技，封面源自网络；

据外媒报道，谷歌近期宣布明年将在 Windows 端 Chrome 浏览器上禁止第三方软件植入的通知，减少 Windows 上由第三方软件引起的 Chrome 崩溃现象。谷歌指出，大约三分之二的 Windows 用户 在他们的电脑上有与 Chrome 进行交互的其他应用程序，例如可访问性或防病毒软件。 在 Chrome 扩展之前，第三方软件需要在 Chrome 中注入代码才能正常运行。由于使用注入代码软件，导致 Chrome 崩溃可能性高出 15％，谷歌现在计划在明年开始在 Windows 上阻止第三方代码注入。然而，阻止代码注入将分三个阶段进行 ： 2018 年 4 月：Chrome 66 将在崩溃后向受影响的用户发出警告，提醒他们其他软件正在向 Chrome 注入代码并指导他们更新或删除该软件。 2018 年 7 月：Chrome 68 将开始阻止第三方软件将代码注入到 Windows 上的 Chrome 进程中。如果此阻止功能阻止 Chrome 启动，则浏览器将重新启动并允许注入，同时会显示一条警告，提醒用户删除该软件。 2019 年 1 月：Chrome 72 将最终不再支持软件植入。 值得注意的是，并非所有的第三方解决方案都将被阻止。谷歌承诺，Microsoft 签署的代码，协助有障碍人士进行浏览的功能软件和 IME 软件不会受到影响。另外，如果用户开发适用于 Chrome 的 Windows 软件，谷歌还公布了 Chrome Beta 供开发者们进行测试。 稿源：凤凰科技、太平洋电脑网，封面源自网络；编辑：青楚。

据 11 月 30 日报道，在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后，谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置，收集用户的浏览历史数据。这一诉讼的目的，是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称，谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德（Richard Lloyd）表示，谷歌的行为“严重失信”于 iPhone  用户，这是“我经历过的最大案件”之一。 洛伊德说，“ 通过这一诉讼，我们将向谷歌和其他硅谷科技巨头发出一个强烈信号，如果我们的法律遭到践踏，我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为，单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC（英国广播公司）的声明中称，“这不是我们遭遇的第一起类似诉讼，以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义，我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中，谷歌以 2250 万美元“破财消灾”。 稿源：cnBeta，封面源自网络；

许多用户意识到智能手机可以跟踪他们的位置，即便用户主动关闭位置服务，没有使用任何应用程序，甚至没有插入运营商 SIM 卡等预防措施，也不能阻止运行 Android 操作系统的手机收集用户位置数据，并在连接到互联网时将其发送回 Google。 自 2017 年初以来，Android 手机一直在收集附近蜂窝塔的地址（即使在停用位置服务时），并将这些数据发送回 Google。其结果是，谷歌和其母公司字母公司可以访问有关个人的位置和他们的运动数据，远远超出了消费者的合理隐私期望。Google 现今承认的确存在这种做法。根据谷歌发言人的说法，在过去 11 个月里，谷歌用来管理 Android 手机上推送通知和消息的系统中包含了手机地址。不过，这些信息从未被使用，也没有被储存起来，公司现在正在采取措施，终止这种做法。 该公司表示，到 11 月底，Android 手机将不再向 Google 发送手机定位数据，但是，至少作为该特定服务的一部分，消费者无法禁用这一功能。Google 发言人在一封电子邮件中表示：“今年一月，我们开始考虑使用 Cell ID 代码作为进一步提高消息传递速度和性能的额外信号。 但我们从未将 Cell ID 纳入我们的网络同步系统，因此数据立即被丢弃。此外，我们已经更新服务，它不再请求 Cell ID。” 稿源：cnBeta，封面源自网络；