网络安全公司 Armis 研究人员于今年 9 月在蓝牙协议中发现 8 处零日漏洞，允许黑客远程操控 Android、iOS、Windows 与 Linux系统后普遍影响逾 53 亿台机器，其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow 或更旧版本的 Android 设备以及运行 Linux 版本的数百万智能蓝牙设备等。随后，研究人员将这 8 处漏洞构建成一组攻击场景，并将其称为 “ BlueBorne ”攻击。 近期，Armis 研究人员在调查时发现逾 2000 万台亚马逊 Echo 与 Google Home 的智能扬声设备也极易遭到 BlueBorne 攻击，允许攻击者完全接管蓝牙设备、传播恶意软件，甚至建立 “ 中间人 ”（MITM）连接，从而在无需与受害用户进行交互时访问设备关键数据与网络。不过，要想快速实现攻击，除受害设备的蓝牙处于开启状态外，还需在攻击设备连接范围之内。 调查显示，亚马逊 Echo 或将受到 BlueBorne 其中两处漏洞影响： Ο Linux 内核中存在远程执行代码漏洞（CVE-2017-1000251） Ο Linux 蓝牙堆栈（BlueZ）中存在信息泄漏漏洞（CVE-2017-1000250） 而 Google Home 设备会受到其中一处漏洞影响： Ο Android 设备中存在信息泄露漏洞（CVE-2017-0785） 值得注意的是，BlueBorne 对亚马逊 Echo 的威胁要比 Google Home 设备更加严重，因为它所使用的 Linux 内核易受远程代码执行漏洞的攻击，且自身的 SDP 服务器也存在信息泄露的风险。然而，Google Home 主要受到 Android 蓝牙堆栈中信息泄露的影响，其允许攻击者阻止 Home 的蓝牙通讯功能后肆意开展拒绝服务（DoS）攻击。 Armis 在发现亚马逊与谷歌设备极易遭受 BlueBorne 攻击后立即对其进行了报备，随后两家公司也迅速发布了漏洞补丁修复。研究人员提醒用户可以从 Google Play 商店安装 “ BlueBorne 漏洞扫描器 ”，以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击，建议用户在不使用设备时关闭蓝牙。目前 Amazon Echo 客户应确认所使用的设备运行着 v591448720 或更高版本，而 Google 方面尚未提供有关其版本的任何信息。 原作者：Swati Khandelwal，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 11 月 15 日报道，网络安全公司 McAfee 研究人员 Carlos Castillo 于本周发布一份安全报告，宣称今年 9 月曾在应用程序 “ 亚里士多德音乐播放器 2017 ” 中发现一款新型恶意软件 Grabos，允许用户免费下载音乐的同时，不断要求他们评价应用，从而获得权限并在用户不知情下安装额外程序。经进一步调查显示， Grabos 还潜伏在其他 143 款应用程序中且已被 1740 万安卓用户下载。 研究人员表示，该恶意软件不仅可以跟踪用户位置，还可强制应用播放特定广告，从而诱导用户点击链接后通过下载恶意软件牟取暴利。知情人士透露，McAfee 在发现该恶意软件时立即向谷歌进行了报备。随后，虽然谷歌迅速在 Google Play 商店中下线了所有受影响应用，但这并不意味着谷歌市场摆脱了威胁。据称，多数已被用户下载的受损应用于近期再次进行了更新。 此外，杀毒软件公司 ESET 与俄罗斯网络安全机构 Dr Web 在 McAfee 发布报告的 24 小时后也纷纷透露发现类似事件，其结果显示多款 Google 官方应用已遭恶意软件感染，致使数百万用户在不知情下下载并触发恶意软件。对此，研究人员表示，想要保护系统不受感染，其用户不应该完全依赖谷歌商店下载应用。相反，用户应该仔细检查应用的级别与评论并注意下载权限，以防在不知情下下载受感染应用。 原作者： Jason Murdock， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WPA2 协议漏洞在上周曝光之后，诸多系统和软件及时跟进部署了解决方案。继微软和苹果之后 Google 于近期为 Android 系统发布了十一月更新，除了 Pixel 2 XL 之外，所有尚处于支持状态的 Nexus 和 Pixel 设备都获得了升级。 自然，根据 Google 官方的说法，本次 WPA2 协议漏洞对 Android 设备的影响并不是很大，因此大量 OEM 手机厂商应该不会在最近几个月提供更新。 稿源：cnBeta，封面源自网络；

据外媒 Reddit 于 11 月 4 日报道，安全研究人员 Dexter Genius 近期发现黑客利用官方 Google Play 商店作为恶意软件存储仓库、部署冒牌 WhatsApp 应用。目前，已有超过 100 万的安卓用户下载使用。研究人员表示，这似乎又是谷歌自动检测系统失败的一次例证。 左边是冒牌的 WhatsApp 应用，右边是合法的 WhatsApp 应用 据悉，研究人员在对该款冒牌的恶意应用进行反编译后发现它是一个广告加载的包装器，其中包括了下载另一安卓应用程序包（apk）的代码。值得注意的是，第二款相关联的恶意应用试图隐藏自己，因此它不仅没有名称，而且还使用了一个空白的图标进行伪装。 调查显示，这个冒牌的应用似乎由合法的 WhatsApp 公司开发，但仔细观察后发现开发人员在名字的末尾添加了两个字节（0xC2 0xA0），使其最终形成一个隐藏空间。然而，最令人难以置信的是，该黑客所开发的这款应用竟能绕过谷歌安全检测感染超过一百万设备。 目前，该款冒牌应用已被谷歌官方应用商店删除。其相关人员透露，尽管 Google 已经付出很大的努力，但谷歌在其官方应用商店上部署的自动检测系统仍然无效。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌公司内部平台问题追踪（Issue Tracker）系统近日被安全研究员曝出漏洞，利用这项漏洞攻击者可破解并获得该系统的访问权限，这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告，如果攻击者利用这些信息，会得到更多可利用的漏洞，造成更大的潜在威胁。在安全专家 Alex Birsan 通知谷歌后，谷歌在一小时内修补了该漏洞。 安全专家 Alex Birsan 公开了关于漏洞的细节，他发现利用一个函数调用能够让外部人员取消谷歌特定故障系统邮件列表的订阅，一旦取消订阅，系统就会认定该用户拥有高权限，从而向其发送漏洞详细细节的正式报告。而且 Birsan 还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表，他也会获得关于该列表的所有漏洞细节。 这也意味着 Birsan 能够通过该方法调取涉及任何谷歌产品其它问题的故障详细报告，只要谷歌接收过关于此问题的漏洞报告。Birsan 认为利用这些报告，黑客能够找到许多未被公开的漏洞，发动更具威胁性的攻击。 稿源：cnBeta，封面源自网络；

早些年谷歌工程师为了提高互联网整体的安全性避免因证书颁发机构违规操作而设计了 HPKP 公钥固定标准，允许网站在服务器部署证书颁发机构的哈希值， 若网站使用的证书与固定的哈希不对应则拒绝连接。公钥固定的现实意义在于如果有 CA 证书颁发机构违规向某个域名私自签发证书，那么也无法实现对网站的劫持。但是现在谷歌浏览器已经决定弃用 HPKP 公钥固定标准，预计将会在 2018 年 5 月份到来的正式版里正式弃用。 HPKP 公钥固定所携带的是中级证书或者根证书的哈希值，并与终端浏览器约定此哈希通常会在 1 年左右失效。如果 1 年后网站不再使用 TrustAsia 签发的证书而换成其他，这会造成实际使用证书与固定的证书哈希不同。那么浏览器就会直接拦截用户与服务器之间的连接，浏览器会认为新更换的 CA 可能是想进行恶意劫持。 安全研究员斯科特称攻击者可劫持用户访问并返回恶意 HPKP 头，这种操作并不会造成用户的数据发生泄露。但恶意 HPKP 头在被浏览器接收后会阻止用户正常访问网站，因为浏览器校验到的 HPKP 头与真实服务器不同。因此恶意攻击者可以利用 HPKP 公钥固定策略无差别的对所有 HTTPS 网站发起这种有点另类的拒绝访问攻击。虽然网站所有者始终没有丢失对网站和服务器的控制权，但由于固定哈希已经被接收因此没有办法清除缓存。 参与撰写和制定该标准（RFC 7469）的谷歌工程师称公钥固定变得非常可怕，该标准会对生态造成严重危害。除了恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击外，如果证书发生泄露需要进行吊销也会引发较大问题。因为吊销旧证书后再请求签发新证书只能选择此前固定的 CA 机构，你不能再选择新的 CA 机构为你签发证书。 基于此方面考虑 HPKP 标准在制定时已要求网站至少固定两份哈希，因此最终更换证书时只能继续选择由 TrustAsia 或 Comodo 签发的证书， 其他的证书浏览器则会拒绝接受。目前，已经支持 HPKP 公钥固定的浏览器有 Google Chrome 浏览器、Mozilla Firefox 浏览器以及 Opera 浏览器。既然作为标准参与制定的谷歌都决定放弃支持，Mozilla Firefox 和 Opera 势必也会在后续停止支持公钥固定。 谷歌去年 8 月的数据显示全球启用 HPKP 的站点仅只有 375 个，这个数字对于整个互联网来说真的是微不足道。同时由于很多网站使用 CDN 或者如 CloudFlare 类的 DDoS 防护，此类服务本身就没准备支持 HPKP 公钥固定。最终谷歌会在 2018 年 5 月份发布的 Chrome v67 版中正式弃用 HPKP，使用该标准的网站可以提前撤销固定了。 稿源：蓝点网，封面源自网络；

据外媒报道，Google 的 “漏洞悬赏计划” 最近从自己开发的软件扩大到了 Play Store 里的第三方流行应用，此举可能是避免在流行应用发现严重漏洞后影响到整个系统，确保应用更安全的同时限制漏洞所造成的破坏。 新的漏洞赏金计划适用于 Google 开发的 Android 应用以及阿里巴巴、Dropbox、Duolingo、Headspace、Line、Mail.Ru、Snapchat 和 Tinder 等第三方应用。目前，该计划只限于远程代码执行漏洞，允许攻击者在用户不知情或未经授权下执行任意的代码。 稿源：solidot奇客，封面源自网络；

为了清除 Google Play 商店的漏洞，谷歌将向能够发现 Android 应用漏洞的安全专家提供奖金。 根据本周四发布的这个项目，每发现一个漏洞至少可以获得 1000 美元奖励，他们希望借此对自动检查系统形成补充，以便封堵恶意应用和其他问题。安全专家认为，这个上线 8 年的应用商店受到恶意应用感染的程度远高于苹果 App Store。 谷歌 2015 年 6 月曾经针对 Android 操作系统启动了漏洞奖励计划，头两年总共针对数百个漏洞报告发放了 150 万美元奖金。 谷歌将与漏洞奖励项目管理网站 HackerOne 展开合作，希望瞄准一系列应用和漏洞，包括那些允许黑客将用户跳转到钓鱼网站的漏洞，或者感染设备的病毒。Google Play 应用和游戏产品管理总监温尼特·布赫（Vineet Buch）表示，软件扫描已经无法帮助个人用户发现 “真正新颖的攻击”。 Google Play 安全奖励项目相当于资助安全专家对其他公司开发的应用展开研究。微软、苹果和 Alphabet 此前的漏洞奖励项目仅针对自家应用的漏洞。布赫表示：“我们不止关心自己的应用，还关心整个生态系统的健康状况。这就像你并不认识某个失踪人士，但却悬赏寻找此人”。谷歌并未披露该项目的资金，但该公司表示，最初的规模并不大。 稿源：cnBeta、，稿件以及封面源自网络；

10 月 17 日消息，Alphabet 旗下的谷歌于本周二宣布，该公司将推出一项高级保护程序，以便为面临网络安全高风险的用户提供更强大的安全保护措施。这些用户包括政府官员或记者等，他们成为黑客攻击目标的风险往往更高。 谷歌宣称，使用此程序的用户可以对他们的帐号进行持续更新，以此应对不断出现的网络安全威胁。谷歌方面还表示，该公司最初将提供三种防御措施来帮助用户抵制网络安全威胁，其中包括设置物理安全密钥、显著数据访问与共享以及阻止欺诈帐号访问。另外，该程序还在帐号恢复过程增加了一个评估和请求程序，以此防止黑客通过欺诈方式攻击用户的帐号，因为黑客往往会通过假装锁定用户帐号的欺骗方式进入用户邮箱。 继去年美国总统大选之后，谷歌就一直在推出一系列新电子邮箱安全服务。业界技术专家 Joseph Lorenzo Hall 表示，谷歌此番推出的新功能将让那些面临黑客攻击高风险的用户更好地防止 “钓鱼” 欺诈攻击，但一些已经在 Gmail 帐号中整合定制安全工具的用户在使用谷歌的新程序时可能会面临一些兼容问题。 稿源：腾讯科技，封面源自网络；

Google Project Zero 官方博客从九月底陆续发表了三篇文章（一、二、三），分别介绍了对苹果设备 Wi-Fi 堆栈的利用，最终实现了设备的完整控制。 Broadcom 的 Wi-Fi 堆栈今年早些被发现存在漏洞，允许恶意 Wi-Fi 信号在设备上执行任意代码，影响 iOS 和 Android 设备。Google 研究人员承认 Android 生态系统受到影响，他们将注意力转到苹果设备是为了描绘出移动生态系统中 Wi-Fi 安全状况的更完整画面。 然而，通过三篇文章，Google 的研究人员详细描述了如何利用多个漏洞，开发出功能完整的可靠漏洞利用，实现内核代码的远程执行，完整控制设备。Google 将所有漏洞都报告给了苹果，苹果在 iOS 11 中修复了这些漏洞。 稿源：solidot奇客，封面源自网络；