谷歌修复了积极利用的 Android 内核漏洞
近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ,并引入了一个修复程序,该修复程序也及时同步给Linux供应商,然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。 4月,CISA披露该漏洞正在被积极利用,并将其添加到其“已知被利用漏洞目录”中。在5月的Android安全公告中,谷歌确认该编号为CVE-2021-22600的漏洞可能被有针对性的利用。目前尚不清楚该漏洞是如何被用于攻击的,但它很可能被用于执行特权命令并通过企业网络中的Linux系统横向传播。 最近的Android版本(10、11、12)包含了越来越严格的权限,使得恶意软件很难获得高级功能所需的权限。因此,在感染后利用漏洞来获得更高的特权并非不可能。此漏洞的第二个潜在用途是用户安装并激活后,可以在设备上获得root权限的设备root工具。 以下是本月修复的内容摘要: Android框架中的四个提权 (EoP) 和一个信息泄露 (ID) 漏洞 Android系统中的三个EoP、两个ID 和两个拒绝服务(DoS) 漏洞 内核组件中的三个EoP 和一个 ID 缺陷 联发科组件中的三个高危漏洞 高通组件中的15个高严重性和1个严重严重性缺陷 需要注意的是,针对CVE-2021-22600和所有来自第三方供应商的修复程序都在2022-05-05 安全补丁程序级别上可用,而不是在2022年5月1日发布的第一个安全补丁程序级别上可用。无论如何,所有这些修复仍然包含在下个月的第一个安全补丁级别中,该补丁将于 2022 年6月1日发布。 同时,该安全补丁并不适用于Android 9或更早版本,建议用户出于安全原因,应该升级到更新的Android操作系统版本。使用Google Pixel设备的用户本月收到了额外的修复,其中一个仅影响使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的两个是漏洞是CVE-2022-20120和CVE-2022-20117,一个是影响引导加载程序的严重远程执行漏洞,一个是Titan-M上的严重信息泄露漏洞。 转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332228.html 封面来源于网络,如有侵权请联系删除
谷歌搜索 2021 Webspam 报告:过滤垃圾网站数量是 2020 年的六倍
由周四发布的“网络垃圾”(Webspam)报告可知,谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉,作为 Alphabet 旗下子公司,Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统,并且可在超过 99% 情况下实现“不受垃圾所困扰”(spam-free)的搜索体验。 (来自:Google Search Central Blog) 此前,SpamBrain 已被这家搜索巨头用于防止用户点击那些可能被注入了恶意软件的有害网站、或旨在诱骗人们泄露个人信息 / 汇款的诈骗站点。 Google 表示,鉴于垃圾信息散播者在持续不断地找到绕过过滤机制的方法,基于人工智能的筛查系统也是相当必要的。 需要指出的是,搜索是 Google 的重要收入来源之一。而高质量和安全的网站搜索结果,也对该公司来说至关重要。 经过多年摸索,垃圾网站制作方早已精通搜索引擎优化(SEO)技术,来人为地提升其搜索排名。 作为应对,Google 也迫切需要排除掉那些利用欺诈算法的垃圾网站。 截至目前,Google 已借助 SpamBrain 将垃圾站点砍掉 70%,其中包括被黑客入侵并植入有害代码的感染站点。若被其得逞,受害者将被窃取登录凭据等机密信息。 其它类型的垃圾站点,还涉及将恶意软件注入受害者的计算机、或诱导重定向至恶意站点。庆幸的是,Google 声称 SpamBrain 能够将这类害群之马排除在搜索结果之外。 Google 政策沟通经理 Ned Adriance 在一封电子邮件中提到: 欺诈者经常拙劣地模仿其它网站,常见套路是填充替换关键词、假借品牌徽标、并附上想要引诱受害者拨打的电话号码。 而 Google 的 SpamBrain 算法方案,能够基本上确保此类欺诈型站点出现在相关搜索结果页面中,且过滤了 75% 的乱码垃圾站点。 这些垃圾站点往往在一堆无意义的文本中填充大量关键词,以试图提升其搜索排名。有时甚至会砸钱挂上垃圾链接,来诱骗搜索引擎的爬虫和抬升 PageRank 品质评分。 对于用户来说,时间总是相当宝贵的。而 Google 的各种解决方案,就希望为用户带来更好的内容检索体验。 【背景资料】 Google 于 2018 年推出的 SpamBrain 系统,且与近 20 年前刚开始治理恶意网站时相比,去年搜索过滤的垃圾站点数量已暴增 200 倍。 即便如此,这场“道高一尺魔高一丈”的垃圾信息攻防战,显然不会轻易完结。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261185.htm 封面来源于网络,如有侵权请联系删除
谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。 (来自:Google Security Blog) 从 2019 到 2021 年,Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年,Chrome 却没有记录到零日漏洞。 Chrome Security 团队解释称,虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用,但由于缺乏完整的归纳试图,可用数据或存在抽样偏差。 那为何大家还是感觉漏洞变多了呢?Chrome Security 将之归结于四个可能的原因 ——(1)供应商透明度、(2)攻击者焦点的演变、(3)站点隔离项目的完工、以及(4)软件错误的复杂性。 ● 首先,许多浏览器厂商都在一改往日的做法,主动通过各自的渠道来披露此类漏洞利用的详情。 ● 其次,攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎,攻击者也自然地盯上了更广泛的受众群体。 ● 第三,错误的增加,或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现,不至于对全局造成过大的伤害。 ● 第四,基于软件存在 bug 这一简单事实,我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂,更多的错误也是难以避免。 零日漏洞趋势 综上所述,漏洞数量已不再和安全风险直接画等号。即便如此,Chrome 团队仍保证他们会在发布前,努力检测并修复错误。 在利用已知漏洞的 n-day 攻击方面,其“补丁空窗期”已显著减少(Chrome 为 35 天 / 平均 76~18 天)。此外为了防患于未然,Chrome 团队还在努力让攻击变得更加复杂和代价高昂。 在具体正在实施的改进中,包括了不断增强的站点隔离,尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件,以及被野外利用后的缓解措施等。 最后,对于普通用户来说,最简单的应对方法,就是在看到 Chrome 更新提醒的第一时间执行操作。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247609.htm 封面来源于网络,如有侵权请联系删除
谷歌、亚马逊等公司将因“全球最大数据泄露事件”被起诉
据外媒Neowin报道,在今天这个围绕着互联网的世界里,对我们私人数据的在线保护始终是一个热门话题。大型科技公司由于收集和管理的数据量大,经常面临监管机构等的冲击。在与此相关的最新进展中,来自爱尔兰公民自由委员会(ICCL)的高级研究员Johnny Ryan博士决定对IAB技术实验室提起诉讼。该诉讼被提交到汉堡地方法院,针对ICCL认为的“全球最大数据泄露事件”。 IAB技术实验室是一个由一些最大的科技公司组成的联盟,如Google、Facebook、亚马逊等,它负责提供在线数字广告空间运作所依据的技术标准。 在数字广告市场上,广告被放置在各个网站上,使用一种叫做实时竞价(RTB)的方法。RTB是数字广告库存实时购买和销售的过程。ICCL在其诉讼中指出,RTB的使用极大地侵犯了数百万用户的隐私,因为如此多的个人数据被共享到庞大的网络中。 以下是Johnny Ryan博士对此事的看法: 通过挑战在线广告行业的标准,我们的诉讼瞄准了Google、Facebook、亚马逊、Twitter、Verizon、AT&T以及整个在线广告和监控行业。这个行业跟踪我们,并建立了关于我们最亲密的秘密的隐秘档案。从今天开始,我们要改变这种状况。 ICCL提供了一份播放RTB数量最多的九个大公司的名单。它包含了一些常见的公司的名字。 关于此事的更多细节,你可以访问ICCL的官方网页。 这并不是第一次与RTB有关的诉讼,因为Google最近被法国的一个调查机构处以2.2亿欧元(约2.68亿美元)的罚款,该公司同意与之和解。 (消息及封面来源:cnBeta)
谷歌承诺 FLoC 隐私沙箱不留后门 广告商对此持怀疑态度
过去几年,谷歌一直在积极向 Web 浏览器的 Cookie 发起战争,尤其是那些严重侵犯用户隐私的第三方跨站追踪 Cookie 。但由于此类 Cookie 也被广告平台给广泛使用,意味着谷歌也必须为自己找到替代解决方案。最终该公司交出了两个答案,其一是隐私沙箱(Privacy Sandbox)、另一个就是所谓的“联合学习队列”(简称 FLoC)。 不出所料的是,包括电子前沿基金会(EFF)在内的组织机构、各大浏览器开发商、甚至广告商们,都对谷歌的 FLoC 追踪提出了严厉的批评。 为平复外界的怒火,谷歌现又承诺自己不会违反相应规则,但隐私倡导者和与之有竞争关系的广告技术公司,均不对此表示买账。 DigiDay 指出,FLoC 本质上是将针对特定用户的追踪,改成了针对同一群体的用户追踪,这些用户拥有类似的 Chrome 浏览历史记录。 虽然谷歌假意宣称自己尊重用户的线上隐私,但还是有眼尖的人指出,该公司正好可以利用 FLoC 的机会来进一步巩固自身在广告市场的主导地位。 近日,谷歌广告副总裁兼总经理 Jerry Dischler 公开承诺,该公司不会在 FLoC 中留有后门,也不会按照其它广告商与合作伙伴的规则意图来行事。 这位高管在一次线上举办的营销活动期间表示,谷歌将为自己的广告和指标使用相同的隐私沙箱 API,但这番言论并不让人信服。 一方面,即将实施 FLoC 追踪的 Chrome / Chromium 浏览器,本身就是谷歌自己把持的灰色地带。 另一面,谷歌拥有保留第一方属性的个人用户数据的权利,意味着本质上仍可能换汤不换药。 更何况,谷歌很有可能在不久的将来推翻这一承诺,正如此前屡次发生过的类似事件那样。 (消息及封面来源:cnBeta)
谷歌披露新型 Rowhammer 攻击 可突破访问多行内存地址上的内容
早在 2014 年,就有许多研究人员讨论过影响当时主流的 DDR3 内存的 Rowhammer 漏洞。2015 年的时候,谷歌发布了一个可利用该漏洞的利用程序。可知通过对一个内存地址的多次访问请求,将使得攻击者能够篡改其它内存地址中存储的内容。更糟糕的是,由于该漏洞源于硅芯片中的电耦合现象,所以相关漏洞攻击将能够绕过基于软件和硬件层面的防护。 为堵上这一缺陷,许多 DRAM 制造商在自家芯片产品中部署了相应的逻辑检测功能,以便在检测到非法访问时进行溯源和阻止。 然而现实是,即便市面上主流的 DRAM 芯片已经升级到了 DDR4,但攻击者仍可通过 TRRespass 之类的手段来利用 Rowhammer 漏洞。 以谷歌最新披露的“半双”(Half-double)技术为例,其危险程度比初始版本还要高得多。 此前只需通过重复访问一个内存地址,即可访问相邻一行的 DRAM 地址。但谷歌现已证明,即使效力有所降低,他们还是成功地将非法地址访问多加了一行。 如图所示,研究人员先是尝试多次访问地址“A”,然后顺利实现了对地址“B”的数十次访问,接着又向地址“C”发起了攻击。 谷歌希望促成跨行业合作,以封堵 Rowhammer 内存访问漏洞 谷歌解释称,Half-double 与 TRRespass 有很大的不同。旧攻击利用了制造商在相关防御上的盲点,而新手段直接砸到了轨基板底层的固有属性。 考虑到电耦合(Electrical Coupling)与距离相关,随着芯片制程的不断发展,DRAM 的单元尺寸也会跟着缩小,导致 Rowhammer 攻击的波及范围也变得更广(大于两行的概念验证也将是可行的)。 在最坏的情况下,恶意代码或可借此逃脱沙箱环境、甚至接管系统。为堵上这个大漏洞,谷歌正在与 JEDEC 等半导体行业的工贸组织和软硬件研究人员展开密切合作,以寻求潜在的解决方案。 感兴趣的朋友,可查阅谷歌发布的有关缓解技术的两份文档: (1)《NEAR-TERM DRAM LEVEL ROWHAMMER MITIGATION》 (2)《SYSTEM LEVEL ROWHAMMER MITIGATION》 (消息及封面来源:cnBeta)
今年一季度黑客利用微软和谷歌等服务发送了 5200 万条恶意信息
2021 年第 1 季度,网络犯罪分子利用 Office 365、Azure、OneDrive、SharePoint、G-Suite 和 Firebase 等存储服务发送了 5200 万条恶意信息。在疫情期间在企业加速推进云端迁移的过程中,犯罪分子将钓鱼电子邮件隐藏到微软和Google的各项服务中,来达到窃取用户数据、勒索用户等目的。 Proofpoint 安全研究人员发现,仅在 2021 年第 1 季度,从 Microsoft 365 发出的恶意电子邮件就超过 700 万封,从Google基础设施发出的恶意邮件就超过 4500 万封。此外,他们还发现,网络犯罪分子利用 Office 365、Azure、OneDrive、SharePoint、G-Suite 和 Firebase 存储,以便发送钓鱼邮件和主机攻击。 报告中指出:“通过这些受信任的云服务的恶意信息发送量已经超过 2020 年任意僵尸网络,而这些域名的受信任声誉,包括 outlook.com 和 sharepoint.com,增加了防御者的检测难度”。 只要一个账号被攻克就有可能导致一大片网络的沦陷,ProofPoint 估计有 95% 的组织成为云账户泄露的目标,而且超过一半以上是成功。此外,超过 30% 的被攻击的组织“经历了访问后的活动,包括文件操作、电子邮件转发和OAuth活动”。 一旦攻击者掌握了证书,他们就可以迅速切换各种服务,发送更有说服力的钓鱼邮件。Proofpoint提供了许多活动的例子,这些活动试图诱使用户交出他们的详细资料或提供恶意软件,同时隐藏在微软和Google的背后。 根据Proofpoint团队的说法,有一条信息包括一个微软的SharePoint URL,声称将收件人引向详细介绍COVID-19准则的文件。这条恶意信息被发送给运输、制造和商业服务行业的5000名收件人。 最近的另一个欺诈性视频会议凭证网络钓鱼活动使用了.onmicrosoft.com域名。这些信息包括一个重定向到一个假的网络邮件认证页面的URL,旨在窃取用户凭证。这一数量不多的活动由大约10,000条信息组成,目标是制造业、技术和金融服务的消费者。 (消息及封面来源:cnBeta)
谷歌遭亚利桑那州司法部长起诉 被指欺诈用户
据外媒报道,当地时间周三,谷歌受到来自亚利桑那州司法部长Mark Brnovich提起的诉讼,后者指控这家搜索巨头欺骗用户并从他们的手机中收集位置数据。我们知道,谷歌的绝大部分收入来自其庞大的广告业务,而谷歌在用户使用其产品时收集的个人信息为其提供了支撑。 对此,Brnovich在Twitter上发文指出,用户被一种虚假的安全感欺骗了,因为谷歌让用户认为他们禁用了位置数据收集的设置,而实际上这些设置仍旧是处于开启状态。 该诉讼要求谷歌提供损害赔偿,但具体金额尚不清楚。Brnovich的办公室也没有回复记者的置评请求。 谷歌则有在一份声明中为自己关于位置数据的政策进行过辩护。发言人Jose Castaneda表示:”司法部长和收取诉讼费用的律师似乎错误地描述了我们的服务。我们一直在我们的产品中内置了隐私功能并为位置数据提供了强大的控制。我们期待澄清事实。” (稿源:cnBeta,封面源自网络。)
EFF 呼吁阻止谷歌收购 Fitbit:会收集大量用户的敏感数据
5月14日,欧洲消费者组织BEUC警告称谷歌收购Fitbit会改变数字健康市场的游戏规则,可能会损害消费者利益,同时阻碍创新。在近日电子前沿基金会(EFF)发布的公开信中,该机构也持相同的观点,希望能够阻止谷歌收购Fitbit,并希望得到之前已购买Fitbit产品用户的支持。 更具体来说,EFF认为只有Fitbit的用户才能帮助阻止这次收购,并向Fitbit用户发出了灵魂拷问。EFF问道:“你购买Fitbit产品的原因之一是不是不愿意向谷歌分享更多的数据?谷歌收购Fitbit是否让你有种无法逃脱谷歌数据收集魔爪的感觉?” EFF表示科技巨头并不一定会投资创新,而是更喜欢收购能够为创新加油的公司。EFF表示:“谷歌的两个标志性项目搜索和Gmail都是内部项目,但其他绝大多数产品的成功都是收购自其他公司。” EFF继续说道:“现在谷歌正尝试在Fitbit旧戏重演,这会让这家占主导地位的可穿戴健身追踪公司消失进入Googleplex中,而其中会收集大量用户的敏感数据。” 谷歌于去年11月官宣了这笔交易,通过收购Fitbit,谷歌试图在竞争激烈的健身追踪器和智能手表市场上与苹果和三星一较高下。在这一领域,华为和小米也是主要竞争者。 然而,批评人士表示,收购Fitbit将使这家美国科技巨头获得大量的健康数据。这些数据来自于Fitbit的健身追踪器和其他用于监控用户日常步数、卡路里消耗和行驶距离的设备。 (稿源:cnBeta,封面源自网络。)
苹果、谷歌就接触者追踪隐私问题与德国和法国“对峙”
据外媒AppleInsider报道,目前,苹果和谷歌正在与德国和法国官员就iOS系统的安全技术问题以及如何存储接触者追踪数据的问题展开“对峙”。这两家科技巨头在4月10日宣布了一项联合倡议,将开发一个跨平台、系统级的接触者追踪框架–这种方法可以追踪并可能缓解COVID-19的传播。全球各国都在探索类似的技术,但欧洲的几个国家正在与苹果和谷歌就如何去做这件事产生分歧。 据路透社报道,由于苹果和谷歌周五拒绝了法国和德国的要求,要求他们支持自己国家的努力,或者放宽这两家科技公司正在构建的严格的隐私限制,因此,关于接触者追踪隐私问题的紧张对峙在周五升级。 这场对峙是由两大因素引发的。其一,苹果的iOS软件有一个安全功能,禁止通过蓝牙发送数据的应用在后台使用短程通信协议。如果不具备在后台运行的能力,接触者追踪应用就会受到严重阻碍,因为用户将被要求保持应用打开和手机解锁。4月早些时候,法国官员曾敦促苹果在iOS中放弃这一限制,让自己的联系人追踪应用能够正常运行。 能够在后台使用蓝牙追踪智能手机用户是否与COVID-19检测呈阳性的人接触过,是苹果和谷歌的接触者追踪系统的核心功能之一,该系统将成为公共卫生机构可以用来构建自己的应用程序的框架。但苹果和谷歌要求开发者以分散的方式处理数据,在收到COVID-19检测呈阳性之前,任何信息都不能离开用户的设备。这两家公司似乎都不愿意在这些协议上动摇。 “这些隐私原则不会改变,”苹果公司全球隐私总监Gary Davis说。”它们是基本的隐私原则,是实现这一目标所需要的。” 这就是导致对峙的另一个因素。法国和德国,以及英国的国家卫生局显然选择了集中式的接触者追踪解决方案,将用户数据存储在中央服务器上。因为这样一来,他们将无法使用苹果和谷歌的API,这让这些应用又回到了后台蓝牙的问题上。如果没有这个关键功能,数字接触者追踪措施的效果就会受到严重怀疑。而欧洲当局则对此表示不满。一位法国官员表示,欧盟国家 “完全被谷歌和苹果所挟持”。 苹果和谷歌周五宣布了有关其接触者追踪努力的细化技术细节,实际上,该计划将于4月28日提前推出。 (稿源:cnBeta,封面源自网络。)