HackerNews 编译，转载请注明出处： 谷歌将 C2PA 内容凭证集成到 Pixel 10 相机和谷歌照片中，以帮助用户区分真实未被篡改的图像和通过人工智能技术生成或编辑的图像。 这家美国公司指出，近年来，标记合成媒体的问题变得更大了，因为传统方法已不再适用，留下了被曲解和误用的空间。 在最新的 Pixel 10 手机中，每张拍摄的 JPEG 照片都会自动附加内容凭证，揭示它们是如何制作的。 “内容凭证传达了关于图像、视频或音频文件等媒体是如何制作的丰富信息，这些信息受到过去几十年来保护在线交易和移动应用安全的相同数字签名技术的保护，”谷歌解释说。 “它赋予用户识别 AI 生成（或篡改）内容的能力，有助于促进生成式 AI 的透明度和可信度。” 谷歌表示，该系统可以离线工作，在整个过程中不受外部干扰，并且在保留可验证性的同时不威胁用户的匿名性。 这家科技巨头概述了它在内容凭证系统中融入的几层安全性和完整性保证，以使其具有防篡改性和可信度，包括： – 当元数据被修改时会使数字签名失效的加密签名。 – 防篡改的密钥存储，所有加密密钥都在 Titan M2 安全芯片内的安卓强盒中生成和存储。 – 安卓密钥认证，使谷歌的 C2PA 认证机构能够验证请求凭证的硬件和应用的真实性。 – 每张图像使用一次性密钥，这意味着每张照片都用一个独特的加密密钥签名，这个密钥永远不会被重复使用，从而保护用户的隐私和匿名性。 – 由 Tensor 芯片维护的安全内部时钟支持的设备上可信时间戳，这使得 Pixel 设备即使在离线状态下也能附加可验证的时间戳。 尽管内容凭证系统目前仅在 Pixel 10 设备上可用，但谷歌暗示未来可能会将其扩展到更多的安卓设备，尽管尚未分享任何具体的时间表。 该公司敦促行业利益相关者超越简单的 AI 标签，采用内容凭证，强调打击虚假信息和深度伪造需要在整个生态系统范围内广泛采用可验证的来源。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护机构国家信息与自由委员会（CNIL）宣布，因违反Cookie使用规则，对谷歌和希音（Shein）分别处以3.25亿欧元（约合3.79亿美元）和1.5亿欧元（约合1.75亿美元）的罚款。 CNIL指出，两家公司在未征得用户同意的情况下，在其浏览器上设置了广告Cookie。希音此后已更新系统以符合法规要求。据路透社报道，希音计划对此决定提出上诉。 CNIL特别说明，“在创建谷歌账户时，用户被引导选择与个性化广告展示相关的Cookie，而非通用广告相关的Cookie，且未明确告知用户为广告目的存储Cookie是使用谷歌服务的前提条件”。以此方式获得的用户同意无效，违反了《法国数据保护法》第82条。尽管谷歌在2023年10月增加了拒绝Cookie的选项，但“缺乏知情同意的问题依然存在”。 谷歌还因在Gmail“促销”和“社交”标签页中以邮件形式插入广告而受到指责。CNIL强调，根据《法国邮政与电子通信法典》（CPCE），展示此类广告需获得用户明确同意。法国电信运营商Orange曾在2024年12月因类似行为，未经用户同意在邮件中插入广告而被罚款5000万欧元。谷歌被要求六个月内完成整改，否则将面临每日10万欧元的罚款。 与此同时，美国一个陪审团裁定谷歌侵犯用户隐私，即在用户选择退出“网页与应用活动”跟踪后仍收集其数据。该集体诉讼最终判决谷歌支付4.25亿美元赔偿金。谷歌在给路透社的声明中表示，该裁决“误解了其产品的工作原理”，强调其隐私工具赋予用户数据控制权，并计划上诉。 此外，美国联邦贸易委员会（FTC）宣布，迪士尼已同意支付1000万美元以了结指控，因其未经家长通知或同意收集观看YouTube视频的儿童个人数据，违反了美国《儿童在线隐私保护规则》（COPPA）。FTC指出，迪士尼未正确标注其上传至YouTube的部分视频为“儿童制作”，从而收集了13岁以下儿童观看内容的数据并用于定向广告。拟议和解方案要求迪士尼在收集13岁以下儿童个人数据前开始通知家长并征得同意，并启动一个项目确保上传到YouTube的视频被正确标注。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌推出名为“开发者验证”（Developer Verification）的安卓新防护机制，旨在阻止从官方Google Play商店外通过侧载方式安装的恶意应用。此前，谷歌已在2023年8月31日要求Play商店上架应用的发布者提供D-U-N-S（全球数据通用编码系统）编号，该措施显著降低了平台内的恶意软件比例，但未覆盖应用商店外的大量开发者生态。 “我们发现恶意行为者常利用匿名身份伪装开发者，盗用品牌形象制作高仿应用来侵害用户，”谷歌在公告中指出，“此类威胁规模巨大：最新分析显示，通过互联网侧载渠道传播的恶意软件数量是Google Play应用的50倍以上。” 尽管外部威胁更为普遍，新规要求同时适用于Google Play及第三方应用商店托管的应用。自2026年起，所有安装于“认证安卓设备”的应用必须来自已完成谷歌身份验证的开发者。 开发者验证计划将于2025年10月开放早期测试，2026年3月全面开放注册。2026年9月，巴西、印度尼西亚、新加坡和泰国将率先强制执行身份验证要求，2027年起全球推广。届时，未通过验证的侧载应用在认证设备上将被系统拦截并显示安全警告。 “认证安卓设备”指通过谷歌兼容性测试套件（CTS）认证、预装Google Play服务、Play商店及Play Protect的设备，涵盖三星、小米、摩托罗拉、一加、OPPO、vivo及谷歌Pixel等主流品牌。而华为设备、亚马逊Fire平板，以及采用深度定制系统、组件来源存疑的山寨电视盒或手机等“非认证设备”不受新规约束，用户仍可自由侧载未经验证的匿名开发者应用。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 应用开发者迎来利好消息：谷歌将放宽限制，允许更便捷地将用户引导至其安卓生态系统之外完成购买交易。 欧盟委员会多年来持续调查谷歌涉嫌违反《数字市场法案》（DMA）的行为。其中一项调查聚焦该公司是否限制应用开发者向用户告知Google Play商店之外的优惠信息；另一项则审查谷歌是否在搜索服务中偏袒自有垂直搜索引擎（如Google Hotels、Google Flights和Google Shopping），损害竞争对手利益。 2025年3月，欧盟委员会指控谷歌母公司Alphabet通过技术手段阻止开发者引导消费者通过其他渠道获取更优惠服务，且为开发者获取新客户所收取的费用“超出合理范围”。 作为回应，谷歌承诺调整政策：降低开发者费用并增加引导用户至外部链接的“灵活性”。该公司在声明中表示：“作为持续遵守欧盟《数字市场法案》的一部分，我们已对‘外部优惠计划’进行更新，在为开发者提供更大灵活性的同时，兼顾生态系统的信任与安全需求。” 谷歌欧洲、中东及非洲区高级竞争顾问克莱尔·凯利对此持保留态度，但仍承诺执行新规：“尽管我们仍然担心这些变化可能使安卓用户接触有害内容并降低应用体验，但根据与欧盟委员会的DMA讨论，我们正更新欧盟地区的外部优惠计划，调整费用结构并为开发者提供更多选项。” 2024年9月，欧盟法院因谷歌偏袒自有垂直搜索服务处以24.2亿欧元罚款。谷歌并非唯一因违反DMA遭罚的美国科技企业——2025年4月，苹果公司因限制应用开发者将消费者引导至App Store外部优惠渠道，被欧盟委员会罚款5亿欧元。苹果已宣布将提起上诉。同期，Meta也因违反《数字市场法案》被罚2亿欧元。Meta在声明中称：“欧盟委员会试图打压成功的美国企业，却允许中欧公司按不同标准运营。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近期遭遇勒索组织ShinyHunters入侵其Salesforce数据库，该公司报告称此次网络安全事件未影响其自有系统，且谷歌产品内数据保持安全。但黑客已获取“潜在广告客户”的数据。 谷歌承认ShinyHunters勒索组织访问了其用于存储中小企业联系信息和相关备注的Salesforce数据库。2025年8月8日，谷歌表示已完成向受影响方发送事件通知邮件。谷歌发言人向媒体说明：“该事件影响了谷歌企业内部用于与潜在广告客户沟通的一个Salesforce实例中的部分数据。受影响系统包含基本商业联系信息，如企业名称、电话号码及相关备注。”谷歌同时保证其系统未被入侵：“谷歌产品或谷歌云内的数据未受影响。我们将持续更新博客内容以提供更多信息。谷歌安全团队已评估该实例并部署了缓解措施。” 此次事件涉及Salesforce——一个基于云的软件即服务（SaaS）客户关系管理（CRM）平台。谷歌曾于2025年6月5日警告存在针对Salesforce实例的持续钓鱼活动。据报道，多家公司已沦为同类骗局的受害者，包括三家法国奢侈品牌香奈儿、路易威登和迪奥，以及运动品牌阿迪达斯、丹麦珠宝商潘多拉。思科系统也披露其遭遇第三方CRM系统数据泄露。 被追踪为UNC6040的威胁行为体似乎与ShinyHunters有关联，其使用语音钓鱼（vishing）攻击入侵Salesforce实例。黑客冒充IT支持人员致电员工，诱骗受害者授权恶意应用。一旦获得授权，该应用便连接到目标组织的Salesforce门户，使黑客能够窃取数据。黑客滥用Salesforce自带的合法批量数据导入导出工具Data Loader。研究人员此前指出：“UNC6040还会直接索要用户凭证和多因素认证码，以通过Salesforce Data Loader应用认证并实施数据窃取。”遭UNC6040入侵的企业随后会面临ShinyHunters威胁组织的勒索要求。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google成为最新一家在ShinyHunters勒索集团持续发动的Salesforce CRM数据窃取攻击中遭遇数据泄露的公司。 6月，Google曾警告称，一个被其归类为“UNC6040”的威胁行为者正针对企业员工发起语音钓鱼（vishing）社会工程攻击，以入侵Salesforce实例并下载客户数据。这些数据随后被用于勒索公司支付赎金，以防止数据泄露。 在昨晚发布的一则简要更新中，Google表示其自身也在6月成为同类攻击的受害者，旗下一个Salesforce CRM实例遭入侵，客户数据被盗。 “6月，Google的一个企业Salesforce实例受到了本公告所述UNC6040类似活动的影响。Google已对该活动做出响应，进行了影响分析并开始实施缓解措施，”Google的更新写道。“该实例用于存储中小企业的联系信息及相关备注。分析显示，威胁行为者在访问被切断前的短暂时间窗口内获取了数据。” “威胁行为者获取的数据仅限于基础的、且大部分为公开的商业信息，例如企业名称和联系方式。” Google将这些攻击背后的威胁行为者归类为“UNC6040”或“UNC6240”。然而，持续追踪此类攻击的BleepingComputer获悉，臭名昭著的威胁行为者ShinyHunters正是这些攻击的幕后黑手。 ShinyHunters活跃多年，对包括PowerSchool、Oracle Cloud、Snowflake数据窃取攻击、AT&T、NitroPDF、Wattpad、MathWay等在内的多起泄露事件负责。 在昨日与BleepingComputer的对话中，ShinyHunters声称已入侵多个Salesforce实例，且攻击仍在进行。该威胁行为者昨日向BleepingComputer宣称，他们入侵了一家市值万亿美元的公司，并正考虑直接泄露数据而非尝试勒索。目前尚不清楚这家公司是否为Google。 对于受攻击影响的其他公司，该威胁行为者正通过电子邮件进行勒索，要求其支付赎金以防止数据被公开泄露。一旦完成私下勒索，他们计划在黑客论坛上公开泄露或出售数据。 BleepingComputer获悉，已有一家公司支付了4枚比特币（约合40万美元）以防止其数据泄露。 其他受此次攻击影响的公司包括阿迪达斯、澳洲航空、安联人寿、思科，以及LVMH旗下的路易威登、迪奥和蒂芙尼公司。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布安全更新修复安卓系统多项安全漏洞，包含两个已被实际利用的高通漏洞。漏洞涉及CVE-2025-21479（CVSS评分8.6）与CVE-2025-27038（CVSS评分7.5），二者与CVE-2025-21480（CVSS评分8.6）均由芯片制造商于2025年6月披露。 CVE-2025-21479属于图形组件授权错误漏洞，可能导致因GPU微代码中未经授权的命令执行而引发内存损坏。CVE-2025-27038则是图形组件的释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。 目前尚无漏洞实际利用细节，但高通曾声明“谷歌威胁分析小组迹象表明，CVE-2025-21479、CVE-2025-21480、CVE-2025-27038可能已被有限且针对性利用”。鉴于Variston、Cy4Gate等商业间谍软件供应商曾利用类似高通芯片漏洞，推测上述漏洞可能已被同类场景滥用。 这三项漏洞已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞目录，要求联邦机构在2025年6月24日前完成更新。 谷歌2025年8月补丁还修复了安卓框架中两个高危权限提升漏洞（CVE-2025-22441与CVE-2025-48533）以及系统组件关键漏洞（CVE-2025-48530）。后者在与其他漏洞串联时，无需额外权限或用户交互即可实现远程代码执行。 谷歌提供2025-08-01和2025-08-05两套补丁级别，后者额外包含Arm与高通闭源及第三方组件修复方案。建议安卓用户及时安装更新以防范潜在威胁。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌宣布推出一项名为“OSS Rebuild”的新计划，旨在增强开源软件包生态系统的安全性，防范软件供应链攻击。 谷歌开源安全团队（GOSST）的Matthew Suozzo在本周的博客文章中表示：“随着供应链攻击持续针对广泛使用的依赖库，OSS Rebuild能为安全团队提供强大的数据来避免遭受入侵，同时无需增加上游维护者的负担。” 该项目旨在为Python Package Index (Python)、npm (JS/TS) 和 Crates.io (Rust) 软件包注册表提供构建溯源（build provenance），并计划将其扩展到其他开源软件开发平台。 OSS Rebuild 的核心思路是结合利用声明式构建定义（declarative build definitions）、构建工具（build instrumentation）和网络监控能力，生成可信的安全元数据。这些元数据随后可用于验证软件包的来源，并确保其未被篡改。 谷歌表示：“通过自动化和启发式方法，我们确定目标软件包的预期构建定义并重建它。我们将结果与现有的上游制品进行语义比较，对两者进行归一化处理，以消除导致比特级（bit-for-bit）比较失败的不稳定因素（例如，归档压缩差异）。” 成功复现软件包后，构建定义和结果将通过 SLSA Provenance 作为证明机制发布。这使用户能够可靠地验证其来源、重复构建过程，甚至从已知功能基线定制构建。 在自动化无法完全复现软件包的情况下，OSS Rebuild 提供了可替代使用的手动构建规范。 谷歌指出，OSS Rebuild 有助于检测不同类别的供应链入侵事件，包括： 包含公共源代码仓库中不存在代码的已发布软件包（例如 @solana/web3.js 事件） 可疑的构建活动（例如 tj-actions/changed-files 案例） 通过人工审查难以识别的、嵌入在软件包中的异常执行路径或可疑操作（例如 XZ Utils 后门） 除了保护软件供应链，该方案还能改进软件物料清单（SBOM）、加速漏洞响应、增强软件包的可信度，并消除组织依赖 CI/CD 平台负责其软件包安全性的需要。 谷歌解释道：“重建工作通过分析已发布的元数据和制品来推导，并与上游软件包版本进行评估。成功后，将为上游制品发布构建证明，验证上游制品的完整性，并消除许多可能的入侵来源。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 谷歌表示，其开发用于查找漏洞的大型语言模型近期发现了一个黑客正准备利用的程序错误。 去年年底，谷歌宣布了一款名为 Big Sleep 的AI代理——该项目源于谷歌 Project Zero 和 Google DeepMind 在大型语言模型辅助漏洞研究方面的工作。该工具能主动搜索和发现软件中未知的安全漏洞。 本周二（报道时间），谷歌表示 Big Sleep 成功发现了 CVE-2025-6965——一个谷歌称之为“仅威胁行为者知晓并面临被利用风险”的关键安全漏洞。 该漏洞影响 SQLite，一个深受开发者欢迎的开源数据库引擎。谷歌声称它“实际上预测到了一个漏洞即将被利用”，并成功在事发前将其阻断。 该公司表示：“我们相信这是AI代理首次被用于直接挫败在野漏洞利用企图。” 一位谷歌发言人告诉 Recorded Future News，该公司的威胁情报小组“当时能够识别出表明威胁行为者正在部署零日漏洞攻击的痕迹，但未能立即确定具体的漏洞。” “这些有限的线索被传递给零日计划（zero day initiative）的其他谷歌团队成员，他们利用 Big Sleep 找出了对手在其行动中准备利用的漏洞，”该发言人表示。 该公司拒绝详细说明威胁行为者的身份或所发现的具体痕迹。 在一篇宣传多项AI进展的博客文章中，谷歌表示，自 Big Sleep 于去年11月推出以来，它已发现多个真实世界的漏洞，“超出”了公司的预期。 谷歌表示，他们现在正使用 Big Sleep 来帮助保护开源项目，并称AI代理是“颠覆性因素”，因为它们“可以解放安全团队，让他们专注于高复杂性威胁，显著扩大其影响范围和覆盖范围”。 这家科技巨头发布了一份白皮书，阐述了他们如何构建自己的AI代理，据称该方式能保障隐私、限制潜在的“恶意行为”并以透明方式运作。 目前，数十家公司和美国政府机构正在努力开发旨在快速搜索和发现代码漏洞的AI工具。 下个月，美国国防部将宣布一项持续数年的竞赛的获胜者，该竞赛旨在利用AI创建能自动保护支撑全球关键系统所用基础重要代码的系统。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国加利福尼亚州的一家法院已下令谷歌支付3.14亿美元，原因是其被指控在安卓设备用户手机空闲时滥用其蜂窝数据，被动地向该公司发送信息。这一判决标志着最初于2019年8月提起的法律集体诉讼告一段落。 原告在其诉讼中辩称，谷歌的安卓操作系统利用用户的蜂窝数据，在未经用户许可的情况下传输“各种信息给谷歌”，即使他们的设备处于空闲状态也不例外。 原告表示：“尽管谷歌可以设计成仅在手机连接Wi-Fi时进行这些传输，但它却将这些传输设计为也可以在蜂窝网络上进行。” “谷歌未经授权使用他们的蜂窝数据违反了加州法律，并要求谷歌就其未经许可、为自身利益而使用的蜂窝数据价值向原告作出补偿。” 原告辩称，这些传输发生在谷歌产品在后台打开并运行时，即使用户已关闭所有谷歌应用程序且设备处于休眠状态也不例外，从而滥用了用户的数据流量配额。 在一个实例中，原告发现，一台采用默认设置、装有标准预装应用程序并连接了新谷歌账户的三星Galaxy S7设备，每天发送和接收8.88 MB的蜂窝数据，其中94%的通信发生在谷歌与设备之间。 这种信息交换在24小时内大约发生了389次。传输的信息主要包括包含操作系统指标、网络状态和已打开应用列表的日志文件。 根据法庭文件：“日志文件通常不是时间敏感的，其传输可以轻易延迟至有Wi-Fi时再进行，谷歌也可以对安卓进行编程，允许用户仅在连接Wi-Fi时启用被动传输，但显然它选择不这样做。相反，谷歌选择直接利用原告的数据流量配额。” 这还不是全部。该法庭诉讼还引用了2018年的另一项实验，该实验发现，一部“外表处于休眠且静止不动”但打开了Chrome网络浏览器应用程序并将其置于后台的安卓设备，在24小时内导致了约900次被动传输。 相比之下，一部同样静止未动、Safari浏览器在后台打开的iPhone则发送了“明显少得多的信息”，并且指出苹果的操作系统在被动信息传输方面给予用户更大的控制权。 在2025年6月2日开始的审判之后，陪审团支持了原告，称这家科技巨头应对进行这些被动数据传输并导致用户承担其所称的“强制且不可避免的负担[…]以利于谷歌的便利和利益”负责。 谷歌在给路透社的一份声明中表示将对裁决提出上诉，并辩称这些数据传输与“对安卓设备的安全性、性能和可靠性至关重要的服务”有关。该公司还指出，其在用户使用条款协议中披露了这些传输行为并获得了用户的同意。 该陪审团裁决是在谷歌同意支付近14亿美元以和解德克萨斯州两起诉讼近两个月后作出的，这两起诉讼指控谷歌在未经同意的情况下追踪用户的个人位置信息并保存其人脸识别数据。 这一进展也紧随Meta之后，该公司表示正在对欧盟委员会2025年4月的一项决定提出上诉，该决定认为其“付费或同意”模式违反了该地区的《数字市场法案》(DMA)，并处以2亿欧元（2.27亿美元）的罚款。 “该决定强制要求Meta必须免费提供个性化程度较低的广告服务，而忽略了成本、影响或有效性，并强加了一种可能不可行的商业模式，”该公司表示。 “这忽视了市场经济中的商业现实，即Meta理应为其用户选择使用的有价值且创新的服务获得公平补偿——这一原则对于维持创新和经济增长至关重要。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文