Google 安全团队在许多 Chrome 扩展开发者成为钓鱼攻击目标后向他们发出安全警告。据悉，这波钓鱼攻击始于六月中旬，直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ，攻击者推送更新在扩展中加入广告后才被人所熟知。 攻击者诱骗开发者的钓鱼邮件内容类似，都是伪装成来自 Google，通知扩展开发者违反了 Chrome Web Store 的规则，需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录，开发者在大意之下就可能会将账号泄漏给攻击者。 稿源：solidot奇客，封面源自网络；

HackerNews.cc 8 月 10 日消息，研究人员近期在 Google Play 商店发现一款新型恶意软件 SonicSpy，不仅可以窃取用户通话记录、音频图像，还可以监控用户日志调用、联系方式与 Wi-Fi 接入站点等信息。总而言之，SonicSpy 允许攻击者远程执行 73 种不同命令。此外，该恶意软件还被怀疑是伊拉克开发人员的研究成果。    调查显示，恶意软件 SonicSpy 主要作为消息应用程序出售，以避免用户在下载时产生任何疑惑，在感染用户设备后能够自动窃取数据并将其传输至命令与控制服务器。目前，研究人员在 Google Play 商店中发现三种不同版本的 SonicSpy（称为 soniac、hulk messenger 与 troy chat），其每个版本都可作为一种监控信息应用程序。虽然 Google 在检测后已删除上述恶意程序，但在第三方应用程序市场中可能仍存在其他版本。据悉，soniac 在 Google 移除时已被下载 1,000 至 5,000 次。 研究人员在分析 SonicSpy 样本后发现，它与间谍软件 Spyote 存在相似之处。SonicSpy 与 Spynote 不仅共享同一代码，还都使用动态 DNS 服务且运行在非标准的 2222 端口。对此，研究人员猜测上述两款恶意软件可能由相同的开发人员研发。 研究人员 Michael Flossman 表示，恶意软件幕后黑手利用加密通信应用程序也显示了他们对收集敏感信息的强烈兴趣。虽然 SonicSpy 目前已从 Google Play 商店中移除，但它极有可能还会再次进入。为防止用户设备遭受感染，研究人员建议用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限并仅授予应用程序必要权限。 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

得益于谷歌 Project Zero 团队 Ian Beer 发现的 libxpc 漏洞，开发者在本月初表示 iOS 10.3.2 越狱成为可能。那么你是否已经决定停留在 10.3.2 版本等待越狱呢？如果你已经升级至 10.3.3 版本，那么很遗憾的告诉你自今天开始无法降级了，苹果已经关闭了 iOS 10.3.2 的验证激活通道。 据悉曝光的 libxpc 漏洞可以提权获得系统最高权限，从而执行任意代码。不过该漏洞已经在 iOS 10.3.3 版本中得到了修复，这就意味着只有停留在 10.3.2 版本才能可能等待大神公布越狱操作程序。 iOS 10.3.3 于今年 7 月 19 日正式发布，共计修复 47 处安全漏洞，其中最值得关注的就是此次更新修复了一个较为严重的 WiFi 漏洞（CVE-2017-7047），所以如果不想被黑客远程控制你的 iPhone，最好更新 iOS 10.3.3。这个漏洞会影响  iPhone 5 及以后的设备、iPad 4 及以后的设备还有 iPod touch 6。 稿源：cnBeta，封面源自网络；

英国内政大臣 Amber Rudd 正准备与 Google、Facebook、Twitter 和 Microsoft 等美国科技公司的代表在旧金山举行的反恐论坛上讨论对抗极端主义的措施。 Rudd 表示，科技公司必须加强与极端主义的对抗，否则将会面临法律惩罚。此外，科技公司在打垮互联网的敌人上做得还不够，消息应用加密已然成为一个问题。 Rudd 预计将在会上告诉科技公司，不应该允许极端分子上传内容。电子前哨基金会对此表达了担忧，认为这将互联网上的言论自由产生严重影响。Rudd 表示，英国政府支持加密，但问题是日益增长的端对端加密。 稿源：solidot奇客，封面源自网络；

据外媒 7 月 27 日报道，Google 安全研究人员近期在 Google Play Store 中发现新型 Android 间谍软件 Lipizzan，允许黑客从移动设备中过滤任何类型数据，并将其作为监控工具使用。 Lipizzan 是一款多阶段间谍软件产品，与具备政府、情报机构背景的以色列安全公司 Equus Technologies 有关。研究人员在对恶意软件深入分析后表示，被感染应用经过两个阶段成功绕过 Google 过滤器进入应用商店下载。 第一个阶段，黑客将 Lipizzan 冒充合法应用（如 “ Backup ” 或 “ Cleaner ” 等应用），通过 Google Play 等多渠道传播。一旦安装恶意代码，Lipizzan 将下载并加载第二阶段许可证验证，即针对受害设备进行检测与验证。如果获取信息明确，那么黑客将于第二阶段利用已知漏洞将目标设备数据过滤至命令与控制服务器。 一旦感染目标设备，间谍软件除监控用户通话记录、设备麦克风、位置、摄像头外，还将收集用户联系人、短信与应用数据等信息。Google 表示，黑客成功拦截第一批受感染间谍软件的应用程序后，可通过调整绕过 Google Play Store 过滤器上传第二批受感染应用程序，包括新名称与第二阶段加密流程。 目前，仅有不到 100 台设备受到影响（占 Android 设备 0.000007％），谷歌完成检测后当即消除威胁并建议用户仅使用正规 Google Play Store 下载应用、及时更新手机系统版本。 原作者：Bogdan Popa，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，“ 网络中立 ” 成为美国热门话题已经有一段时间，虽然还没有做出最终的决定，但可以看到，人们对于它的争论并没有任何结束的迹象。日前，美国众议院能源与商务委员会主席 Greg Walden 在华盛顿举行的 FCC 监督听证会上宣布，他们将就网络中立问题举行一场听证会。 该委员会向来自科技领域的 CEO 发出了邀请。Greg Walden 说道：“ 现在是时候让所有人都坐在一起解决掉这个问题。” 而就在近几个月内，由共和党主导的 FCC 跟科技行业的关系因网络中立问题而变得异常紧张。由特朗普总统任命的 FCC 主席 Ajit Pai 建议推翻掉由前总统奥巴马领导班子制定的这一规定。 据悉，这场听证会定于美国东部时间 9 月 7 日早上 10 点进行，届时，包括亚马逊、谷歌、Facebook、Netflix 等公司的 CEO 都将可能出席这场会议。实际上，已经有大量的科技公司都在公开场合对 FCC 取消网络中立的计划表示反对。本月早些时候，许多公司就在网上发起了一个叫做 Day of Action（行动日）的抗议活动，旨在维护网络中立规定。 稿源：cnBeta，封面源自网络

谷歌一直有清洁能源情结。现今，谷歌已不满足于风电、光伏，而是要进军人类的终极能源——核聚变。具体的参与方式，是用算法提高核聚变实验效率，从而使核聚变发电能够早日实现商用。 据英国《 卫报 》 7 月 25 日消息，谷歌正联合美国一家领先的核聚变公司 Tri Alpha 共同开发一种新的计算机算法，以期加快等离子体实验。 Tri Alpha 大有来头：它得到微软联合创始人保罗·艾伦（Paul Allen）的青睐。目前，Tri Alpha 已获得艾伦和高盛 5 亿多美元投资。 在技术路线上，这里的聚变实验装置不是传统的环形 “ 托克马克 ”（Tokamak ）。40 多年来，托克马克装置一直是核聚变反应的主要研究工具。但 Tri Alpha 建造了被称为 “ 场反向配置（field-reversed configuration，FRC）” 的独特装置，据说它体积更小、更简单也更廉价。据测算，等离子体随能量的增加变得更稳定，与其他方法中等离子体在加热时更难控制形成对比。 难题在于，Tri Alpha 需要处理常规模拟不适用的设备限制和等离子体性能，但谷歌的计算资源也无法解决这个问题。为此，Tri Alpha 和谷歌研究部门合作，创建了 “ 验光师算法 ”（Optometrist algorithm），来帮助核聚变实验更有效地产生实验所需的等离子体。新算法让计算机与人类判断相结合，为科学家提供 “ 机器设置和相关结果 ”，人为的输入可以反过来衡量进一步测试的备选方案。 核聚变时，原子在极端温度下相互碰撞融合、释放大量能量，过程异常复杂。核聚变的物理学涉及非线性现象，其中微小的变化就可以产生巨大的结果，这使得整个工程实验具有非常大的挑战性。即使结合谷歌规模化的计算机资源，整件事情（核聚变）也依然超越我们的认知。因此，双方将计算机学习方法与人类研究人员的选择相结合，由计算机向人类专家提供多种选择，人类专家根据直觉选择出他们认为更有希望的选项。 结合谷歌提供的算法，在 Tri Alpha 公司的 C2-U 机器上进行的实验取得了更快的进展，运行时间从一个月减少到几个小时，这一算法解释了意想不到的控制等离子体的方法。新系统中，等离子体装置运行得更快、能量损耗减少 50%、等离子体总能量增加。 稿源：cnBeta、澎湃新闻网，内容有删减；封面源自网络

Google、Chainalysis、加利福尼亚州圣地亚哥分校和纽约大学 Tandon 工程学院近期发布一项研究报告，指出勒索软件受害者在过去两年支付了超过 2500 万美元赎金。通过跟踪支付区块，并将其与已知样本进行比较，研究人员能够构建勒索软件生态系统的全面图景。 近年来，勒索攻击已经成为不可避免的威胁。一旦系统被感染，程序会将所有本地文件加密，攻击者持有解密私钥，要求数千美元的比特币恢复系统。这是一个破坏性但有利可图的攻击，旧金山最大的公共广播电台电脑于今年夏天被残酷勒索攻击锁定，迫使工作人员依靠机械秒表和纸张脚本继续进行广播工作。 此外，该研究跟踪了 34 个独立的赎金家族，其中一些主要勒索软件带来了大部分利润。数据显示一种称为洛克的勒索软件在 2016 年初引发勒索业界赎金巨幅上涨。随后几年，该勒索软件获得 700 多万美元赎金。 至关重要的是，洛克是第一个将付款和加密基础架构与分发恶意软件的组织分开的勒索程序，使恶意软件的传播速度远远超过其竞争对手。洛克巨大优势在于将维护的人员与感染机器的人员脱钩。洛克只专注于构建恶意软件和支持基础架构，它们有其他僵尸网络传播和分发恶意软件。 稿源：cnBeta，封面源自网络

HackerNews.cc 24 日消息，安全公司 RedLock 研究人员发现 Google Groups 在线服务出现配置错误，导致 IBM’s Weather Company 、Fusion Media Group、协助桌面支持服务提供商 Freshworks 与视频广告平台 SpotX 等数百家企业机密数据在线曝光。 Google Groups 作为企业协作工具与交流平台，负责团队通信维护与邮件管理。当这些电子邮件组被设置为公开状态而非内部共享时，无需成为内部成员即可公开查看成员之间发送的内部消息。 RedLock 研究人员发现，此次事件致使受害企业员工电子邮件地址与内容，以及员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等个人身份信息在线泄露，可供全球用户任意查看。 值得深思的是，引发这起数据泄露事件并非安全漏洞，仅是 Google Groups 功能设置。但这一事件表明，任何一次操作疏忽都将对企业产生毁灭性影响。一旦网络犯罪分子获取这些企业信息，就可用来劫持企业帐户、开展网络钓鱼攻击以及在线泄露敏感谈话内容等。 目前，为防止数据信息再次泄露，研究人员建议各企业立即检查 Google Groups 设置，以确保域名访问权限切换至内部成员使用。 原作者：Charlie Osborne，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌研究人员近期仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。不过在这个时候却有其他安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时并未按照规定操作。 该研究人员注册新域名后向赛门铁克和科莫多申请证书，在此过程中两家公司都给签发了数字证书。紧接着这名研究人员伪造对应证书的伪造私钥上传 Pastebin 网站，然后开始向赛门铁克和科莫多申请撤销证书。 正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。因此赛门铁克在收到这名研究人员的申请后立刻吊销证书，而科莫多在收到申请后却没有将对应证书吊销。但别忘了本身研究人员发给赛门铁克的就是伪造私钥， 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。 按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。但是赛门铁克在未经验证的情况下直接将证书吊销， 这个操作不但不符合要求而且还可能造成极大的危害。例如研究人员直接伪造私钥后向赛门铁克申请吊销搜狗的证书， 赛门铁克就会直接吊销。随后，大家在访问搜狗时就会直接出现拦截提醒， 因为搜狗证书已被作废并不再被任何浏览器信任。 当然如果真的去申请吊销大公司的证书不大可能实现， 但是如果去申请吊销中小网站的搞不好就真的会成功。谷歌和 Mozilla 要求赛门铁克改善基础设施提高安全，同时谷歌也提出需要对赛门铁克执行惩罚性措施。目前，惩罚性措施主要包括缩短赛门铁克签发证书的有效期， 同时还包括暂停信任赛门铁克的 EV 扩展验证证书。 稿源：蓝点网，封面源自网络