谷歌增强了其安全浏览服务，以在桌面版Chrome、iOS版和即将推出的Android版Chrome中提供针对危险网站的实时保护，同时不会将浏览历史数据发送到广告行业。 安全浏览是谷歌提供的非商业性API，允许客户端应用程序查询数据库以查找网站，以确定其是否构成已知风险。 安全浏览的标准版本将支持实时数据查询，但不会将浏览历史数据发送回谷歌。 谷歌Chrome安全部门的Jasika Bawa、Xinghui Lu，以及谷歌安全浏览部门的Jonathan Li和Alex Wozniak解释说，本地存储的可疑网站列表每30到60分钟更新一次，并使用基于哈希的检查。然而，这已经不够了。 因此，在本月的桌面版、iOS版和Android版Chrome中，安全浏览的标准层将获得隐私保护和实时保护。 这些信息将被加密并发送到由Fastly运营的Oblivious HTTP隐私服务器，该服务器将删除任何潜在的用户标识符，并将清理后的结果转发到谷歌安全浏览服务器。   转自安全客，原文链接：https://www.anquanke.com/post/id/293989 封面来源于网络，如有侵权请联系删除

COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标，以往该组织主要通过网络钓鱼活动窃取凭据。 谷歌周四警告（https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/）称，以网络钓鱼攻击闻名的俄罗斯 APT 组织 ColdRiver 也一直在开发定制恶意软件。 谷歌安全团队共享了失陷检测指标 (IoC) 和 YARA 规则，以帮助防御者检测和分析威胁。 ColdRiver 还受到 Star Blizzard、Callisto Group、BlueCharlie、TA446 和 Dancing Salome 等其他公司的关注。该组织与俄罗斯联邦安全局的一个部门有联系，以开展网络间谍活动和影响力活动而闻名。 APT 组织通常针对美国、英国和其他北约国家的学术界、国防、政府、非政府组织和智库部门的组织。 美国和英国政府最近就 ColdRiver 的活动向各组织发出警告，并宣布对两名涉嫌成员实施制裁。 ColdRiver 的许多攻击都涉及旨在窃取凭据的鱼叉式网络钓鱼。谷歌的安全研究人员最近发现似乎是由该组织开发和使用的定制恶意软件。 该恶意软件名为 Spica，被描述为用 Rust 编写的后门，它使用基于 Websocket 的 JSON 进行命令和控制 (C&C)。Spica 可用于执行任意 shell 命令、窃取 Web 浏览器 cookie、上传和下载文件、获取文件系统内容以及窃取文档。 该恶意软件是通过向目标发送看似加密的良性 PDF 来传播的。当受害者通知发件人 PDF 已加密时，他们会收到一个据称可用于解密文档的可执行文件，这个可执行文件会部署恶意软件。 诱饵文档 Spica 于 2023 年 9 月被 Google 发现，但 ColdRiver 可能至少从 2022 年 11 月起就开始使用它。该公司的研究人员只能获得该恶意软件的单个样本，他们认为该样本可能在 8 月份就被使用过。 谷歌研究人员表示：“我们认为 SPICA 后门可能有多个版本，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文档。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Yk0WmhcN5MhUvZNjTUEtuw? 封面来源于网络，如有侵权请联系删除

近日，谷歌正在测试 Chrome 浏览器的一项新功能。该功能可在已安装的扩展程序从 Chrome 网上商城删除时向用户发出恶意软件提示警告。 在Chrome 应用商店里一直有人源源不断的发布浏览器扩展程序，有很多都会通过弹出式广告和重定向广告进行推广。 这些扩展程序是由诈骗公司和威胁行为者制作的，他们利用这些扩展程序注入广告、跟踪用户的搜索历史、并将用户重定向到联盟网页，或者在更严重的情况下窃取用户的 Gmail 电子邮件和 Facebook 账户。 问题是，这些扩展程序推出得很快，就在谷歌从 Chrome 浏览器网络商店删除旧扩展程序的同时，开发者又发布了新的扩展程序。 不幸的是，如果你安装了这些扩展，即使谷歌检测到它们是恶意软件并将它们从商店中删除，它们仍然会安装在你的浏览器中。 有鉴于此，谷歌正在为浏览器扩展程序提供安全检查功能，当某个扩展程序被检测为恶意软件或从商店中删除时，谷歌就会向 Chrome 浏览器用户发出警告，提醒他们从浏览器中卸载这些扩展程序。 该功能将在 Chrome 浏览器 117 中启用，但现在可以在 Chrome 浏览器 116 中通过启用浏览器的试验性 “安全检查扩展模块 “功能来测试该功能。 要启用该功能，只需将 Chrome 浏览器 URL “chrome://flags/#safety-check-extensions “复制到地址栏并按回车键。你将进入 Chrome 浏览器标志页面，并突出显示 “安全检查中的扩展模块 “功能。 现在将其设置为已启用，然后按提示重启浏览器以启用该功能。 谷歌浏览器扩展安全检查 启用后，”隐私和安全 “设置页面下将出现一个新选项，提示您查看从 Chrome 网上商城删除的任何扩展，如下图所示。 Chrome扩展的安全检查 来源：谷歌 单击此链接将进入扩展页面，其中列出已删除的扩展以及删除的原因，并提示您卸载它们。 从 Chrome 浏览器网络商店移除潜在恶意扩展程序  图源：Google 谷歌 谷歌表示，这些扩展程序从Chrome 浏览器网络商店中移除的原因是它们不是由开发者发布的、且违反政策，或直接被检测为恶意软件。 谷歌方面建议用户立即删除那些被检测为恶意软件的扩展程序，这样不仅能更好的保护自己的数据，还能防止电脑遭遇外部攻击。 另外，还有一些因其他原因被移除的扩展软件，谷歌也建议用户移除。这些软件从严格意义来说虽然不算恶意软件，但可能违反了其他政策。 谷歌有一个专门的 Chrome 浏览器网络商店政策页面，详细说明了哪些内容或行为可能导致扩展从商店中删除。   转自Freebuf，原文链接:https://www.freebuf.com/news/375515.html 封面来源于网络，如有侵权请联系删除

近日，谷歌发布了年度零日漏洞报告，展示了 2022 年的野外漏洞统计数据，并强调了 Android 平台中长期存在的问题，该问题在很长一段时间内提高了已披露漏洞的价值和使用。 更具体地说，谷歌的报告强调了安卓系统中的 “N-days “问题，该问题源于安卓生态系统的复杂性，涉及上游供应商（谷歌）和下游制造商（手机制造商）之间的多个环节。致使不同设备型号之间的安全更新时间存在重大差异，即对于威胁行为者来说，”N-days “就是 “0-days”。 “0-day漏洞”（又称零日漏洞），通常就是指还没有补丁的安全漏洞，也就是已经被少数人发现的，但还没被传播开来，官方还未修复的漏洞。 当“0-day漏洞”被发现并公开后，没有补丁的一段时间内（通常时间会很短），根据习惯这个漏洞会被称为1-day漏洞。当厂商提供了修复补丁，但是漏洞仍然还在被利用时，我们一般会称呼这个漏洞为N-day漏洞。 谷歌在报告中表示，尽管谷歌或其他厂商已经提供了补丁，但攻击者仍可以利用该漏洞。因为即使谷歌或其他厂商修复了漏洞，但下游的设备制造商仍需要几个月的时间才能在自己的安卓版本中推出。 因此，上游厂商和下游厂商之间补丁的间隔使得N-days（公开已知的漏洞）可以像0-days一样，因为用户无法随时获得补丁，他们唯一的办法就是停止使用设备。 N-days 与 0-days 同样危险 2022 年，诸如此类的问题对安卓系统造成了很大的影响，其中最著名的是 CVE-2022-38181，这是 ARM Mali GPU 中的一个漏洞。该漏洞于 2022 年 7 月报告给安卓安全团队，被认定为 “无法修复”，2022 年 10 月被 ARM 修补，最后被纳入安卓 2023 年 4 月的安全更新中。 2022 年 11 月，即 ARM 发布修补程序一个月后，该漏洞在野外被发现。 直到 2023 年 4 月，Android 安全更新推送修复程序时，对该漏洞的利用仍有增无减，这距离 ARM 解决该安全问题足足过去了 6 个月。 CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，该漏洞已于 2022 年 6 月得到修补，但基于早期 Chrome 版本的供应商浏览器（如三星的 “互联网浏览器”）仍未得到解决。 CVE-2022-22706：ARM Mali GPU 内核驱动程序中的漏洞，供应商已于 2022 年 1 月修补了该漏洞。 这两个漏洞于 2022 年 12 月被发现利用，是三星安卓设备感染间谍软件的攻击链的一部分。 三星于 2023 年 5 月发布了针对 CVE-2022-22706 的安全更新，而安卓安全更新则在 2023 年 6 月的安全更新中采用了 ARM 的修复程序，延迟时间长达 17 个月之久。 即使谷歌发布了安卓安全更新，设备供应商也需要长达三个月的时间才能为支持的机型提供修补程序，这就给攻击者提供了针对特定设备攻击的机会。 这种补丁间隙实际上使 “N-day “与 “0-day “具有同等威胁，威胁者可以在未打补丁的设备上利用 “N-day”。相比于0日漏洞N-day可能威胁会更大，因为其技术细节已经公布，可能还有概念验证（PoC）漏洞，使威胁者更容易滥用它们。 好消息是，谷歌 2022 年的活动总结显示，零日漏洞与 2021 年相比有所下降，发现了 41 个，而浏览器类别的下降幅度最大，发现了 15 个漏洞（2021 年为 26 个）。 另一个值得注意的发现是，在 2022 年发现的零日漏洞中，有 40% 以上是以前报告过的漏洞的变种，因为绕过已知漏洞的修复程序通常，比找到一个新型零日漏洞要容易得多。     转自Freebuf，原文链接：https://www.freebuf.com/news/373462.html 封面来源于网络，如有侵权请联系删除

据观察，一种新的恶意广告活动利用谷歌搜索和必应的广告，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标，诱骗他们下载木马安装程序，目的是入侵企业网络，并可能在未来实施勒索软件攻击。 Sophos在周三的一份分析报告中称，这种 “机会主义 “活动被称为 “Nitrogen“，旨在部署Cobalt Strike等第二阶段攻击工具。 eSentire 在 2023 年 6 月首次记录了 Nitrogen，详细描述了一个感染链，它将用户重定向到受攻击的 WordPress 网站，最终将 Python 脚本和 Cobalt Strike Beacons 发送到目标系统上。 Sophos 研究人员表示：”在整个感染链中，威胁方使用不常见的导出转发和 DLL 预加载技术来掩盖其恶意活动“。 Python 脚本一旦启动，就会建立一个 Meterpreter 反向 TCP 外壳，从而允许攻击者在受感染的主机上远程执行代码，并下载一个 Cobalt Strike Beacon 以便后期利用。 研究人员说：搜索引擎内显示的广告已成为攻击者常用的手段。通过广撒网的方式，诱使毫无戒心的用户点击并下载。 这其中包括，网络犯罪分子利用付费广告引诱用户访问恶意网站，诱使他们下载 BATLOADER、EugenLoader（又名 FakeBat）和 IcedID 等多种恶意软件，然后利用这些恶意软件传播信息窃取程序和其他有效载荷。 不仅如此，Sophos 还说它在著名的暗网市场上发现了 “大量关于SEO中毒，恶意广告和相关服务的广告和讨论”，以及提供受损Google Ads帐户的卖家。 这也进一步说明 “攻击者对 SEO 中毒和恶意广告有着浓厚的兴趣”。     转自Freebuf，原文链接:https://www.freebuf.com/articles/373279.html 封面来源于网络，如有侵权请联系删除

云安全公司Orca Security在谷歌云构建（Google Cloud Build）服务中发现了一个关键的设计漏洞，该漏洞会让攻击者的权限升级，使他们可以在未经授权的情况下访问谷歌构件注册表（Google Artifact Registry）代码库。 该漏洞被称为 “Bad.Build”，可使威胁者冒充谷歌云构建管理的服务账户，针对构件注册表运行 API 调用，并控制应用程序映像。 这样，他们就可以注入恶意代码，从而在客户环境中部署恶意软件，导致潜在的供应链攻击。 Orca安全研究员Roi Nisimi表示：潜在的威胁可能是多种多样的，所有使用构件注册中心作为主要或次要镜像库的组织都应该警惕。 最直接的影响是破坏依赖于这些镜像的应用程序。这也可能导致 DOS、数据窃取和向用户传播恶意软件。正如我们在 SolarWinds 以及最近的 3CX 和 MOVEit 供应链攻击中所看到的那样，这可能会产生深远的影响。 Orca Security的攻击利用了cloudbuild.builds.create来升级权限，允许攻击者使用artifactregistry权限来篡改谷歌Kubernetes引擎（GKE）的docker镜像，并以root身份在docker容器内运行代码。 在 Orca Security 报告该问题后，谷歌安全团队实施了部分修复措施，撤销了默认云构建服务账户中与构件注册表无关的 logging.privateLogEntries.list 权限。 但是，这一措施并不能直接解决Artifact Registry中的底层漏洞，权限升级和供应链攻击风险依然存在。 因此，企业必须密切关注谷歌云构建服务账户的行为。应用 “最小特权原则”（Principle of Least Privilege）和实施云检测与响应功能来识别异常从而降低风险。 美国东部时间 7 月 18 日谷歌发表了如下声明： 我们创建了漏洞奖励计划，专门用于识别和修复类似的漏洞。我们非常感谢 Orca 和更多的安全社区参与这些计划。我们感谢研究人员所做的工作，并已根据他们的报告在 6 月初发布的安全公告中进行了修复。 参考链接：https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/     转自Freebuf，原文链接:https://www.freebuf.com/news/372456.html 封面来源于网络，如有侵权请联系删除

谷歌宣布了一项新的漏洞赏金计划，名为Mobile VRP（漏洞奖励计划），该计划涵盖其移动应用程序，用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用（谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面）才在新赏金计划的范围内。 谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞： 导致任意文件写入的路径遍历/压缩路径遍历漏洞 导致启动非出口应用组件的意图重定向 因不安全使用待定意图而导致的漏洞 孤立权限 下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励： 白帽可以赚取高达30000美元，因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用，以实现任意代码执行。 谷歌在公告中指出，当调查一个漏洞时，请只针对你自己的账户，千万不要试图访问其他人的数据，也不要参与任何会对谷歌造成破坏或损害的活动。 有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367384.html 封面来源于网络，如有侵权请联系删除

苹果与谷歌在5月3日提交了一份新草案，旨在阻止蓝牙定位追踪设备滥用行为。 在两家公司发布的联合新闻稿中表示，首创的规范将允许蓝牙位置跟踪设备与跨 iOS 和安卓平台的未经授权的跟踪检测和警报兼容。目前三星、Tile、Chipolo、eufy Security 和 Pebblebee 已表示支持该草案。 这预示着，如果制造商采用了基于该草案制定的技术标准，安卓和iOS系统都将支持对未授权的追踪进行报警，比如这两个系统的设备都将能够提醒用户，某个位置的追踪器正被用来通过 蓝牙众包、GPS/GNSS定位、WiFi定位、蜂窝定位或通过其他一些方式来监控他们的活动。 此前，基于苹果AirTags、三星SmartTag+等实现的追踪设备功能主要用于监控钥匙、钱包、行李和其他个人物品，但这些设备也被不法分子滥用于犯罪，包括跟踪、骚扰和盗窃。 目前，苹果已经允许用户通过iOS平台内置的功能和专用的安卓应用找到附近的AirTag或AirPod设备，这些设备可能被滥用来追踪个人。该公司还提供了关于停用未知的AirTag、AirPods或第三方Find My网络配件的信息，这样用户就不会再收到位置更新。 但即便苹果努力使用户更容易发现利用设备进行的人身追踪，却因为标准并不统一，无法在其他系统平台起到作用。此外，在用户的实际运用中发现追踪设备往往存在滞后性，等用户真正察觉时可能已经被追踪了数小时甚至更长的时间。 据悉，该草案的一个关键方面是使用配对注册表，其中包含配件所有者已混淆的可验证份信息（例如电话号码或电子邮件地址）以及配件的序列号。此外，如果追踪器不再靠近所有者的配对设备超过 30 分钟，则追踪器从“靠近所有者”模式转换为“分离”模式。 苹果和谷歌将在未来三个月内就该草案征求相关方的反馈意见，之后预计将在年底前在二者系统上发布具体的生产实践。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365423.html 封面来源于网络，如有侵权请联系删除  

谷歌表示 2022 年期间，为阻止恶意软件传播以及欺诈团伙使用恶意应用程序感染安卓用户的设备，一共封禁了 17.3 万个开发者账户。值得一的是，谷歌对应用程序的审核也变得更加严谨，其发布的“不良应用”年度报告显示，阻止了约 150 万个违法政策的应用程序进入 Google Play 商店。 除了上述举措外，Google Play 的安全团队还阻止了可能导致超过 20 亿美元损失的欺诈和滥用交易。 谷歌加强开发者安全性审查 近些年，谷歌对于安全开发者的安全性审查投入了很多资源，目前，想要加入 Play Store 生态系统的开发者都需要接受大量审查，例如电话和电子邮件身份验证等，此举有助于传播违反谷歌播放政策的应用程序的账户数量大大下降。 不仅如此，谷歌还与软件开发工具包（SDK）供应商开展合作，限制对敏感数据的访问和分享，以确保安卓官方商店 100 多万个应用程序拥有更好的“隐私状态”。 Google Play 2022年 “不良应用 ”报告（来源：谷歌） 总的来说，谷歌在过去三年一直持续加强安卓平台隐私保护，这些措施也起到了很好的作用，阻止大约 50 万个提交到谷歌 Play 商店的应用程序请求和访问敏感权限。 2021 年，谷歌封禁约 19 万个恶意开发者帐户 2021 年，谷歌对恶意程序以及开发者的审查已经在逐渐收紧，全年共阻止了 120 万个违反政策的应用程序，禁止了 19 万个与恶意和垃圾邮件开发者有关的账户，关闭了约 50 万个不活跃或被放弃的开发者账户。 2022 年，Google Play 进行更新，增加了数据安全部分，详细规定了应用程序应该如何收集、共享和保护用户数据。 最后，谷歌指出随着安卓生态系统的扩展，必须与开发者社区密切合作，确保其拥有安全工具、知识和最大支持，以构建尊重用户数据安全、隐私安全的可靠应用程序，后续将继续与 SDK 供应商密切合作，以提高应用程序和 SDK 的安全性，限制用户数据的共享方式，并改善与应用程序开发人员的沟通渠道。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365179.html 封面来源于网络，如有侵权请联系删除  

4月14日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 谷歌曾在一份公告中提到，零日漏洞作为头条新闻的“常客”，风险性确实是比较大的。即使我们一发现漏洞就立刻修复，它的风险仍然存在，而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面，所以如何去改善这件事，真的是个非常现实的问题。 不仅如此，安全威胁还可能来自于供应商应用不完整的补丁。有时候一些实验室和研究机构外部的零日漏洞有很大一部分会直接变成以前打过补丁的漏洞的“升级版本”。如果想要减轻此类风险，必须要从漏洞的根源解决问题。而在这个解决过程中，要优先考虑现代安全软件开发实践的情况，这样就能更好的消除所有同类型的威胁，同时还能阻止潜在的攻击路径。 基于上述因素，谷歌表示目前正在组建一个黑客政策委员会，该委员会将会确立新的政策和法规。同时，谷歌进一步强调，后面如果再出现某产品系列的漏洞被人利用的情况出现，掌握证据后，会直接将调查事件结果进行公开披露。 这家科技巨头表示，它还在筹备设立一个安全研究法律辩护基金，专为从事正向研究的优秀个人提供种子资金，以更好的促进网络安全问题的宣传，从而更好的发现安全问题并更加及时地报告漏洞信息。 谷歌最新的安全计划表明，如果想要漏洞不轻易被利用，那么就要加速已知漏洞的补丁应用，制定有针对性的政策，并且让用户及时了解这些讯息，以最大程度的确保产品的生命周期。另外，安全计划中还强调了在软件开发生命周期的任何阶段，应用设计安全原则都十分重要。 在公开宣布这一消息之后，谷歌还推出了一项名为deps.dev API的免费API服务，可以向人们提供对Go、Maven、PyPI、npm和Cargo存储库中约500万个开源包中，共计约5000多万个版本的安全元数据和依赖性信息访问的服务，从而确保软件供应链的安全性。 同时，谷歌的云计算部门也宣布将为Java和Python生态系统提供开源软件（Assured OSS）服务，以保证该系统的普遍可用性。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363591.html 封面来源于网络，如有侵权请联系删除