据外媒报道，谷歌拓展了旗下 “Android Security Rewards” 计划，以鼓励大家帮助其填补更多漏洞。自 2010 年漏洞赏金计划上线以来，谷歌已为安全人员支付了数百万美元。 在这一计划推出第二年，谷歌收到安全研究人员发来的 450 多份漏洞报告。过去一年中，平均每个安全研究人员获得的奖金额提高了 52.3%，总奖金额增加了一倍，增加至 110 万美元。谷歌希望通过提高赏金来激励安全研究人员，使其投入更多的时间来研究其移动操作系统 Android 中的漏洞。 据了解，“ Android Security Rewards ” 计划是对谷歌现有的内部安全计划的有益补充。它可以激励黑客个人和组织去寻找漏洞，并以适当的方式来公布这些漏洞，而不是利用这些漏洞作恶或销售给第三方作恶。 目前，谷歌 Android 团队准备提高两项漏洞赏金。发现 TrustZone 或 Verified Boot 远程漏洞的奖金额提高了三倍，从原来的 5 万美元提高到了 20 万美元。发现远程内核漏洞的奖金额提高了四倍，从原来的 3 万美元提高到了 15 万美元。 稿源：网易数码、中关村，封面源自网络

据媒体报道，谷歌近日下架了 Play 商店中 40 多款应用，因为这些应用会悄悄迫使 Android 用户点击广告。据悉这些应用累计下载量高达 3600 万次，安全研究人员表示，这应该是 Google Play 发生的最大一起广告欺诈案例，并且从官方应用商店中安装的角度来看，这也是最成功的恶意软件。 安全公司 Check Point 声称，这 41 个应用程序来自同一家韩国公司 Kiniwini，其应用中隐藏了非法的广告点击功能，且应用大部分是游戏。谷歌的 Bouncer 技术实际是用于阻止应用在 Play 商店上架，但这次显然出了问题。 Check Point表示，这些恶意应用会通过模仿 PC 浏览器的软件在后台秘密打开网页。一旦目标网站被打开，恶意软件就会使用 JavaScript 代码找到并点击 Google 广告基础架构上的横幅。每次广告被点击后，该韩国公司就会获得收入，Check Point 估计该公司每月可赚 30 万美元左右。 Kiniwini 公司最早的恶意软件版本要追溯到 2016 年 4 月份，这意味着其逃避了足足一年的审核。目前该韩国公司在官网上表示已经注意到谷歌下架了其软件，但他们计划重新发布代码更新过的游戏。 稿源：IT之家；封面源自网络

据 CNET 报道，硅谷科技巨头们似乎已厌倦美国间谍带来的困扰。在 26 日当天，包括谷歌、亚马逊、微软、Facebook 等在内的 31 家科技公司签署公开信函，呼吁美国国会对网络监控法案进行改革，即修订《 外国情报监视法 》中的 Section 702 部分。这部分条款允许国安局（ NSA ）收集国外公民的网络数据，甚至有些情况下包括美国公民。 Section 702 是爱德华 · 斯诺登（ Edward Snowden ）曝光 NSA 大规模监控计划期间首次泄露的，它让 NSA 梳理有关个人的所有数字活动，也是多年来科技公司与政府机构争论的焦点之一。这部分条款将于今年 12 月 31 日到期，除非国会决定更新计划。 硅谷巨头们希望国会的政治家们能够修订 Section 702，而不只是延长期限。在公开信中，这些公司为网络监控改革提出 5 点建议，包括扩大透明度（ 比如多少美国人受到监视 ）、缩小范围以防无辜的人遭到窥探以及对监控项目加大监督力度等。 自从 2013 年以来，谷歌始终坚持公布它们按照法律要求移交给政府的数据，尽管美国政府禁止此举。苹果在解锁圣贝纳迪诺恐怖分子 iPhone 手机时，也曾与 FBI 对簿公堂。2016 年下半年，美国情报机构向苹果索要用户个人信息的请求增加到 6000 次，比上半年增加了 1 倍。苹果目前并未在此次公开信上签名，也未对此做出回应。 稿源：cnBeta、网易科技；封面源自网络

据外媒 17 日报道，安全公司 DefenseCode 的研究人员发现了 Google Chrome 浏览器中存在的一个漏洞，其允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件，从而窃取用户登录凭证并启动 SMB（服务器消息块）中继攻击。 研究人员表示，此次攻击活动极其简单，受害者在点击恶意链接时，将自动下载 Windows Explorer Shell 或 SCF 文件，而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求，从而泄露受害者的用户名与哈希密码。 调查显示，攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站，即可窃取并使用受害者的身份凭证，即便受害者并无管理员权限。此外，研究人员表示，该漏洞将影响所有 Windows 版本下的 Chrome 浏览器，甚至包括 Windows 10 系统。 Chrome 的这一漏洞目前尚未被修复。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险，同时将 SMB 服务限制在专用网络内，并配置好基于 Internet SMB 服务器连接的防火墙端口。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 12 日报道，安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞，可能导致用户遭受网络钓鱼攻击。 XSS（跨站脚本攻击）：攻击者在 Web 页面插入恶意 Script 代码，致使用户浏览页面时自动执行代码，从而达到恶意攻击用户的目的。 调查显示，XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中，允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ，那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。 目前，谷歌表示该库仅是 “ 测试版本 ” ，而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以，用户不必太过担心，谷歌承诺尽快修复补丁，以保证用户系统的安全。 原作者：Richard Chirgwin，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

自 Google 宣布 OSS-Fuzz 之后的五个月内，这款工具在开源项目中嗅探出超过 1000 个 bug，其中包括 264 个潜在的安全漏洞。谷歌团队非常努力，每天都要处理 10 万亿的测试输入。其中，有 47 个项目早已整合了 Fuzz。Google 表示：“ OSS-Fuzz 已经在几个关键开源项目中找到了多个安全漏洞 ”。 其中，FreeType 2（10 个）、FFmpeg（17 个）、LibreOffice（33 个）、SQLite 3（8 个）、GnuTLS（10 个）、PCRE2（25 个）、gRPC（9 个）、Wireshark（7 个）。此外，OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug，它就是 CVE-2017-2801 。 据该公司所述，当某个项目集成 OSS-Fuzz 之后，后续它会自动抓取问题且几个小时后回溯至上游资源库，从而将用户受影响的可能性尽可能降低。Google 还称，OSS-Fuzz 已经报告超过 300 次超时和内存不足失败，其中有 3/4 已被修复。 稿源：据 cnBeta，封面源自网络

据报道，Google Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在线公布一个 “ 非常糟糕 ” 的 RCE 漏洞，但并未披露细节和风险：“ 我们可能发现了近期内最糟糕的 Windows 远程代码执行漏洞，攻击者们不需要处于同一局域网中就可静默安装，这简直是一个虫洞 ”。 目前，微软尚未就此事作出回应，但该公司至少有 90 天的时间窗口开发修复补丁。如果他们在未来 3 个月内未能成功修复，那两位研究人员将会把漏洞详情公布在互联网中，这是 Google Project Zero 项目的一贯政策。其实，这并非 Google 安全研究人员首次（及近期）在微软产品中发现的漏洞，此前 Google 也曾在“ 超期 ”后强行曝光其它漏洞详情，比如今年 2 月份时曝光的某个微软浏览器漏洞。 尽管微软在上一个 “ 补丁星期二 ” （5 月 2 日）中进行了修复，但还是对 Google 披露漏洞（公开披露漏洞详情）行为表示不满，指责该举措将致使成千上万的 Windows 用户处于风险之中。此外，至于微软能否在 5 月 10 日修复上周曝光的漏洞，目前仍有待观察。 稿源：cnBeta，封面源自网络

谷歌于 5 月 3 日及时解决针对谷歌 Docs 服务用户的一起大规模钓鱼攻击。据悉，这起钓鱼骗局在网络上快速传播，试图入侵用户的谷歌账号。许多用户表示，这起骗局的设计非常精巧，令人难以防范。谷歌向用户发出建议，即不要点击陌生链接。随后，谷歌发布 Twitter 消息称，局面已经得到了控制。钓鱼攻击并不新颖，而谷歌用户也常常成为被钓鱼的目标。 2014 年，类似的骗局瞄准了谷歌 Docs 和 Drive 用户。有报道称，此次的攻击瞄准记者和教育行业人士。但此次骗局略有不同，其目的是获得用户帐号的访问权限，而不是直接窃取用户名和密码。攻击者开发了一款看起来类似谷歌 Docs 的应用，让没有防范的受害者主动给予某些权限。 赛门铁克信息安全技术和响应集团总监林·奥莫楚（ Lin O ‘ Murchu ）表示，给予 Gmail 帐号权限 “ 相当于提供了用户名和密码 ”。这意味着，即使用户没有输入密码，他们也可能成为钓鱼攻击的受害者。在入侵成功后，钓鱼应用会向用户的通讯录好友发送电子邮件，从而实现传播。谷歌随后禁用了这一钓鱼应用。 稿源：cnBeta、，稿件以及封面源自网络

据外媒报道，美国法院已强制谷歌交出在海外存储的 Gmail 私人邮件。理由很简单：能够在美国境内查看的信息必然受美国搜查令约束。 美国加利福尼亚州地方法官 Laurel Beeler 于 4 月 19 日听证会上否决了谷歌公司针对此事提出的异议。谷歌方面曾提交一份撤销该搜查令的动议，但被否决。此项搜查令发布于 2016 年 6 月 30 日，要求谷歌交出大量 Gmail 账户信息，包括邮件正文、附件、元数据与位置数据等。 目前谷歌已按照搜查令要求将所有请求数据交付美国特工，但拒绝交出两个帐户的相关信息以及另外两个账户的附件访问权限，坚持称该数据并不在美国搜查令覆盖范围内，与微软电子邮件风波中的情况相似。然而，Beeler 法官不同意  Chocolate Factory 的评估结果，认为如果谷歌能够在美国境内自有机器上提取信息，此类信息就理应属于美国法院管辖范围。此外，由于信息提取自山景城谷歌总部，不应被视为海外信息，与微软隐私案中提及的将信息存储在爱尔兰的情况有所不同。 Beeler 表示，谷歌公司作为该地区的服务提供商受该地区法院管辖，同样，搜查令也仅针对该公司有权访问与交付政府所请求信息的情况。谷歌信息存储方式不同于微软：微软信息存储位置与用户报告的位置相一致，而谷歌则通过信息自动分发算法提高网络效率，不涉及存储决策。目前，谷歌已按照政府要求提供搜查令中规定的所有 Gmail 帐户和邮件信息，但拒绝对此事发表任何评论。 原作者：Shaun Nichols，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

去年，谷歌发布了 Google Neural Machine Translation (GNMT)，即谷歌神经机器翻译，一个 sequence-to-sequence (“ seq2seq ”) 的模型。现在，它已经用于谷歌翻译的产品系统。虽然消费者感受到的提升并不十分明显，谷歌宣称，GNMT 对翻译质量带来了巨大飞跃。 但谷歌想做的显然不止于此。其在官方博客表示：“由于外部研究人员无法获取训练这些模型的框架，GNMT 的影响力受到了束缚。” 如何把该技术的影响力最大化？答案只有一个——开源。因而，谷歌于昨晚发布了 tf-seq2seq —— 基于 TensorFlow 的 seq2seq 框架。谷歌表示，它使开发者试验 seq2seq 模型变得更方便，更容易达到一流的效果。另外，tf-seq2seq 的代码库很干净并且模块化，保留了全部的测试覆盖，并把所有功能写入文件。 该框架支持标准 seq2seq 模型的多种配置，比如编码器/解码器的深度、注意力机制（attention mechanism）、RNN 单元类型以及 beam size。这样的多功能性，能帮助研究人员找到最优的超参数，也使它超过了其他框架。 上图所示，是一个从中文到英文的 seq2seq 翻译模型。每一个时间步骤，编码器接收一个汉字以及它的上一个状态（黑色箭头），然后生成输出矢量（蓝色箭头）。下一步，解码器一个词一个词地生成英语翻译。在每一个时间步骤，解码器接收上一个字词、上一个状态、所有编码器的加权输出和，以生成下一个英语词汇。雷锋网提醒，在谷歌的执行中，他们使用 wordpieces 来处理生僻字词。 据有关媒体了解，除了机器翻译，tf-seq2seq 还能被应用到其他 sequence-to-sequence 任务上；即任何给定输入顺序、需要学习输出顺序的任务。这包括 machine summarization、图像抓取、语音识别、对话建模。谷歌自承，在设计该框架时可以说是十分地仔细，才能维持这个层次的广适性，并提供人性化的教程、预处理数据以及其他的机器翻译功能。 谷歌在博客表示：“我们希望，你会用 tf-seq2seq 来加速（或起步）你的深度学习研究。我们欢迎你对 GitHub 资源库的贡献。有一系列公开的问题需要你的帮助！” 稿源：cnBeta、凤凰网科技，封面源自网络