Hackernews 编译，转载请注明出处： 你真的隐身了吗? 深入谷歌私人浏览，揭开网络隐身的神话和真相。 长期以来，谷歌的隐身模式一直是那些希望对共享设备和有意跟踪在线活动的公司的用户的首选保密工具。它通常被称为私人浏览，或色情模式。 与流行的观点相反，隐私功能不仅仅是为了隐藏网上的成人内容。例如，大多数在线航班搜索引擎使用cookie来跟踪搜索，在多次搜索同一行程后，机票价格会慢慢上涨，从而诱使用户提前预订。用户可以通过打开单独的隐身浏览窗口来节省潜在的巨大成本。 “隐形页面”的真相 许多用户仍然没有意识到，隐身浏览窗口并没有向雇主、互联网服务提供商或他们访问的一些网站隐藏他们的浏览历史。在私人窗口登录Facebook、亚马逊或Gmail等任何网站时，大型科技公司仍然可以将你的在线活动与其他账户和个人资料联系起来。虽然对许多人来说，这是显而易见的，但其他人仍带着虚假的安全感继续使用这个功能。 然而，在技术人员沾沾自喜之前，即使你相信你的在线行为被匿名所掩盖，看不见的力量可能仍然在起作用。即使没有登录到一个平台，你的虚拟足迹仍然很容易被追踪，这要归功于“指纹识别”。这种高级形式的跟踪结合了您的IP地址、屏幕分辨率、安装的字体和浏览器版本等详细信息。指纹识别技术创造了一个独特的轮廓—就像一个侦探从分散的线索中拼凑出一个难以捉摸的人物的身份。 这个数字身份可以跨会话和设备持久存在。它通常不受试图清除浏览器历史记录或使用隐身模式的影响。这对用户来说意味着，让你的设备成为“你的”的那些方面—那些个人定制和调整—也可能是泄露你在线匿名性的因素。所以，即使你在“隐身”的保护伞下浏览网页，也要记住:你的数字身份影子可能仍然是可见的。 隐私审判:谷歌的隐身模式面临50亿美元的赔款 自从将“不作恶”(Don’t be evil)的座右铭从公司行为准则中删除后，许多人对信任这家科技巨头变得越来越谨慎。从2020年起，谷歌将面临一场50亿美元的巨额诉讼，这是一项开创性的法律行动，给其吹捧的“隐身模式”蒙上了阴影。原告强烈认为，尽管谷歌保证了隐私，但其复杂的cookie网络、分析工具和基于应用程序的工具未能暂停跟踪，即使用户认为他们在隐身保护伞下受到了保护。 相比之下，谷歌坚定地为自己辩护，强调其网站一贯有清晰的声明。他们指出，Chrome的隐身功能并不是一种隐形的面纱，而只是一种防止浏览数据被存储在本地的功能。事实上，每次用户打开私人浏览会话时，都会出现警告。问题是很少有人读到这个警告，这意味着这场诉讼的关键在于一个经典的论题:感知安全与实际安全。 这家科技巨头将法庭案件视为小麻烦。从局外人的角度来看，潜在的罚款似乎只是他们巨大收入海洋中的沧海一粟。对这类公司来说，处罚已成为他们在数据驱动的帝国中开展业务的另一项成本。但随着一场50亿美元的诉讼越来越接近审判，这家科技巨头会受到的可能不仅仅是流个鼻血这么简单了。 谷歌是否歪曲了隐身模式的作用? 从技术角度来看，谷歌的隐身模式的主要功能似乎一直是透明的:保护用户的浏览历史不被其他使用同一设备的人看到。如果你的设备在多个设备上同步，这个功能可以确保隐私不被窥探。 精通技术的人很清楚它的局限性。然而，普通用户往往会被迫接受冗长的条款和条件。这些文件有时用密密麻麻的法律术语写成，似乎是为了鼓励用户盲目地同意。 对许多用户来说，“历史”一词可能包含了更广泛的理解。他们可以假定“没有历史”意味着没有任何痕迹—在网络空间的沙滩上没有留下脚印。这种感知到的隐私和实际功能之间的差异可能会导致虚假陈述。如果这是故意混淆以误导普通用户，那么问责制问题就出现了。 2018年，谷歌Chrome工程师的内部通信揭示了他们对隐身模式的看法，这为这场辩论增加了另一层含义。谷歌员工开玩笑说，使用“间谍”图标是不合适的。另一个人将其与《辛普森一家》中的一个搞笑角色“Guy Incognito”联系起来，这个角色以其可笑而无效的伪装而闻名。这个玩笑虽然轻松愉快，但可能无意中强调了一个事实:隐姓姓名对隐私的承诺可能就像“Guy Incognito”的胡子伪装一样肤浅。虽然表面上来看是幽默的，但这种内部玩笑可以被视为淡化隐私问题。 隐私逐渐成为这个时代的奢侈品，但结合VPN浏览器扩展可以在保护在线匿名性方面发挥关键作用。它提供了一个强大的屏障，防止互联网服务提供商跟踪你的一举一动。这是阻止广告商从你在网站上的浏览中获取利益一个屏障。 虽然隐身面纱看起来不透明，但真正的在线隐身可能比你想象的更难以捉摸。读者可以常常自省：我的数字身份是否真的隐藏起来了。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

谷歌宣布，从Chrome浏览器116版本开始，其安全更新频率将从过去的每两周一次压缩为每周一次，以解决攻击者通过补丁更新的时间间隔，利用N Day和0 Day漏洞进行攻击活动。 谷歌表示，Chromium 是一个开源项目，任何人都可以查看其源代码并提交漏洞修复，这些更改、修复和安全更新将添加到 Chrome 的开发版本（Beta/Canary）中，并在将其推送到正式稳定版 Chrome 之前对其进行稳定性、性能或兼容性问题测试。 这一机制虽然有良好的透明度，但也让攻击者有可乘之机，即在这些修复正式推送到稳定版 Chrome的庞大用户群之前在野外利用这些漏洞。 谷歌早在几年前就发现了这个问题，当时补丁间隔平均为 35 天，而在 2020 年，随着 Chrome 77 的发布，谷歌将间隔缩短为每两周更新一次， 通过压缩到每周的更新，Google 进一步缩短了补丁间隔，并将N Day漏洞的利用窗口机会减少到一周，从而可以有效阻止需要更复杂利用路径的漏洞利用。这无疑会对 Chrome 的安全性产生积极影响，但仍不能避免攻击者使用已知技术对某些漏洞进行有效利用。 需要注意的是，Android的生态系统让谷歌难以控制，很多情况下，谷歌发布的补丁需要几个月的时间才能将其引入第三方厂家生产的设备中。     转自Freebuf，原文链接:https://www.freebuf.com/news/374385.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 方便的广告拦截器、价格跟踪器或拼写检查扩展可能正显著危及你的在线安全。网络安全公司Veriti的联合创始人奥伦•科伦(Oren Koren)建议用户删除所有Chrome扩展。他并不是唯一一个这样做的人，另外四位网络安全研究人员也有类似的看法。 据cybernews消息，他们最近使用了在线工具crxcavator.io用于分析Chrome扩展，并注意到几乎所有流行的扩展都使用了一个被认为是“关键”风险的“chrome.webRequest”API。这意味着什么，用户应该担心吗? Koren的答案是:“你给了他们访问权限，所以他们可以看到一切。” 扩展程序比你设备上的许多常规应用程序拥有更多的功能。这意味着电脑上的文件可能无法躲过间谍的眼睛。 供应链很脆弱 Koren介绍，即使是被认为是安全的扩展，也可能因为整个供应链的薄弱环节而存在风险。数以百万计的用户可能会使用这个扩展，若其供应链中的任何环节出现问题，用户也将受到影响。 “现在每个人都在使用广告拦截扩展，它大量使用了webRequest功能。这个功能允许它拦截五种类型的数据，”Koren说。 http:// – 浏览数据被截获的风险; https:// – 加密浏览数据被拦截的风险; ftp:// – 暴露登录凭据和未授权文件访问的风险(FTP服务器的目录列表，在登录阶段传递的用户名和密码，跟踪和下载文件的能力); file:// – 泄露敏感本地文件或内部资源(只有所有者拥有的特定内部或外部文件路径)的风险; ws:// – 可能危及组织内容的web服务的风险 基本上，你的广告拦截器可以检查你通过网络发送的所有内容，例如收集FTP密码、获得完整的文件列表，并跟踪下载。 Breachsense的创始人兼首席执行官乔希·阿米沙夫(Josh Amishav)补充说，允许扩展访问“chrome.webRequest”API有很高的风险，因为它允许扩展在发送或接收web请求之前拦截、阻止、修改或重定向web请求。 扩展可以利用这一点来修改web请求和响应，允许他们向网站注入恶意内容，并收集敏感的用户数据，如登录凭据、浏览习惯和其他个人信息。 开发商可能没有恶意，但它们的扩展可以被黑客攻击，正如应用程序一样。一个流行的应用程序，CCleaner曾经遭受攻击，使其用户暴露在危险中。漏洞也可能在开发人员的软件框架中被发现，例如Electron。 “如果你通过供应链获得访问权限，你可能会获得不应该从外部访问的用户敏感文件。你实际上收集了所有的内部url，还能访问HTTP、FTP、客户数据或内部文件”Koren解释道。 许多恶意的扩展已经被创建，其中最危险的是侧负载扩展。 网络安全公司SlashNext的首席执行官帕特里克•哈尔警告称，官方扩展商店里潜伏着成千上万的恶意浏览器扩展，这让用户产生了一种虚假的安全感，他们以为所有这些可用的扩展都经过了仔细审查，被认为是安全的。 “这就像从Google Play下载应用程序一样。想想看，Google Play中有多少恶意应用程序?很多。因为这需要时间来分析。” 包括谷歌在内的许多企业都有收集用户数据的动机。 网络罪犯的终极目标——部署勒索软件 根据Harr的说法，最广泛的零时攻击发生在浏览器中。恶意url和漏洞利用通常会逃避安全解决方案，从而导致业务中断、财务损失和客户信任破坏。 “在当前的威胁形势下，恶意浏览器扩展非常普遍，尤其是作为部署勒索软件的工具。我们通常认为勒索软件是从网络钓鱼电子邮件开始的，这当然是一个主要的起源点，但攻击者也擅长利用恶意浏览器扩展来窃取用户凭证，这是他们完成最终目标的第一步，”Harr说。 Moonlock恶意软件实验室的工程经理Oleksii Yasynskyi表示，chrome.webRequest的API可以注入病毒或引导用户进入网络钓鱼页面。一些扩展还可以跟踪用户活动，并用于间谍活动，收集个人数据。 Yasynskyi警告说:“潜在的后果包括个人信息被盗、经济损失、系统损坏和安全隐患。” 删除扩展，保护隐私 “第一步是不允许扩展从我们这里获得任何内容。我知道这是一件非常困难的事情。”Koren建议使用安全的浏览工具，确保即使是偶尔浏览，也要启用防病毒软件和防火墙。 如果你真的想要使用你的广告拦截器、翻译、一些奇怪的GPT附加组件或价格跟踪器，确保它来自信誉良好的开发商，并验证它收集的数据。 如果浏览器突然显示大量广告，这可能是恶意浏览器扩展的第一个迹象。“如果一个扩展请求过多或不必要的权限，并与它的预期功能无关，最好避免它。最后，定期更新所有已安装的扩展，以确保您拥有最新的安全补丁和错误修复，”Amishav总结道。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

上周五，Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新，以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做，请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本，在Windows上至少更新到108.0.5359.94/.95。 Google的Prudhvikumar Bommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。 正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。 “对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。” 这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。 当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的”关于Chrome”。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7172756651026907659/ 封面来源于网络，如有侵权请联系删除

otto-js 安全研究团队于本周五发布博文，概述了在未经用户许可且用户不知情的情况下，黑客可以利用 Google Chrome 和 Microsoft Edge 浏览器中的增强拼写功能，将密码和个人身份信息 (PII) 传输到第三方基于云的服务器。 该漏洞不仅让普通最终用户的私人信息面临风险，而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特（Josh Summit）在测试公司的脚本行为检测能力时发现的。 在测试过程中，施密特和 otto-js 团队发现，在 Chrome 浏览器中的“增强拼写检查”和 Edge 浏览器的“MS Editor”中，正确组合功能会无意中暴露包含 PII 和其他敏感信息的字段数据，并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们，一旦启用，用户通常不会意识到他们的数据正在与第三方共享。 除了字段数据，otto-js 团队还发现用户密码可能会通过查看密码选项暴露。该选项旨在帮助用户确保密码不被错误键入，通过增强的拼写检查功能无意中将密码暴露给第三方服务器。 面临风险的并不仅仅只是个人用户。该漏洞可能导致企业组织的凭据被未经授权的第三方泄露。 otto-js 团队提供了以下示例，以展示登录云服务和基础架构帐户的用户如何在不知情的情况下将其帐户访问凭据传递给 Microsoft 或 Google 服务器。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317813.htm 封面来源于网络，如有侵权请联系删除

近期，谷歌发布公告，称已经为Windows用户发布了Chrome 103.0.5060.114更新，以解决在野被攻击者利用的高严重性零日漏洞，这也是2022年谷歌修补的第四个 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范围内的Stable Desktop频道推出，谷歌表示它需要几天或几周的时间才能触达整个用户群。 按照提示，BleepingComputer进入Chrome 菜单>帮助>关于 Google Chrome 检查新更新时，发现更新立即可用。同时Web浏览器还将自动检查新更新并在下次启动后自动安装它们。 上周五，Avast威胁情报团队的Jan Vojtesek报告说，近期修复的零日漏洞(编号为CVE – 222 -2294)是WebRTC (Web实时通信)组件中一个严重的基于堆的缓冲区溢出漏洞。 尽管谷歌表示这个零日漏洞在野被利用，但该公司尚未分享技术细节或有关这些事件的任何信息。谷歌表示：“在大多数用户更新修复之前，对错误详细信息和链接的访问可能会受到限制。如果漏洞存在于第三方中，在尚未修复之前，我们也会保留限制。”由于有关攻击的详细信息延迟发布，Chrome用户有足够的时间来更新和防止利用尝试，直到 Google 提供更多详细信息。 通过此次更新，谷歌解决了自年初以来的第四次 Chrome 零日问题，而在这之前发现并修补的前三个零日漏洞分别是： CVE-2022-1364  – 4 月 14 日 CVE-2022-1096  – 3 月 25 日 CVE-2022-0609  – 2 月 14 日 根据谷歌威胁分析组 (TAG)的说法，2月份修复的CVE-2022-0609在2月补丁发布前几周被朝鲜支持的国家黑客利用，最早的在野漏洞利用是在今年1月4日发现的。它被两个朝鲜资助的威胁组织所利用，并通过网络钓鱼邮件、使用虚假的工作诱饵和提供隐藏iframes服务的网站来传播恶意软件。最后，对于此次漏洞，谷歌方面建议用户尽快安装最新的谷歌浏览器更新。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/338299.html 封面来源于网络，如有侵权请联系删除

消费者监察公司 Which? 近日表示，Chrome 浏览器无法识别绝大多数的钓鱼网站。而对于这项研究的有效性和使用方法，Google 提出了质疑。 根据 Which? 公司对新近发现的前 800 个钓鱼网站进行的研究，Windows 端 Chrome 浏览器只阻止了其中的 28%，而 macOS 端只阻止了 25%。这些数字与表现最好的浏览器 Firefox 形成鲜明对比，Firefox 在 Windows 中能将用户从这些网站中的 85% 重定向，在 Mac 上为 78%。   在发送给英国新闻媒体 The Independent 的声明中，Google 对 Which? 的调查结果持怀疑态度： 这项研究的方法和结果需要仔细审查。10 多年来，Google 一直帮助其他浏览器制定反钓鱼标准–并免费提供基础技术。Google 和 Mozilla 经常合作以提高网络的安全性，Firefox 浏览器主要依靠 Google 的 Safe Browsing API 来阻止网络钓鱼–但研究人员表示，Firefox 浏览器提供的网络钓鱼保护明显多于Chrome。使用相同技术检测网络钓鱼的浏览器在其提供的保护水平上存在有意义的差异是非常不可能的，因此我们对这份报告的发现仍然持怀疑态度。 网络钓鱼骗局几乎和互联网一样久远。它们通常采取电子邮件或短信的形式，其中有伪装成任何数量的合法公司的官方登录页面的欺诈性网站链接。Chrome、Firefox和其他浏览器试图过滤掉这些可疑的网站。 网络钓鱼骗局在用户层面最容易得到缓解。消费者应该对要求提供信息或要求他们登录某个网站的未经请求的电子邮件持怀疑态度，无论该电子邮件或网站看起来多么正式。糟糕的语法或拼写以及不寻常的URL是其他明显的迹象，表明电子邮件并非真正来自银行或其他用户经常访问的网站。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1274521.htm 封面来源于网络，如有侵权请联系删除

适用于桌面 PC 和笔记本的 Chrome 稳定版将新增“Privacy Guide”功能，它将帮助该网络浏览器的用户理解和实施隐私、安全和在线安全设置。虽然 Chrome 浏览器一直有大部分的这些设置，但现在 Google 声称隐私和安全控制应该更容易理解。 图片链接：https://static.cnbetacdn.com/article/2022/04/dba1b2944eed048.webp Privacy Guide 是对 Chrome 浏览器现有隐私和安全控制的简化，以及技巧指导。Google安全工程中心（GSEC）开发了这个新指南。Google在宣布这项功能的博文中解释说，这种新的安全和隐私设置的引导方式背后的主要意图是帮助用户理解每项设置背后的“为什么”。 Privacy Guide 中的每项设置将试图提供其背后的原因，以及激活或停用这些设置将如何影响浏览体验。目前，Privacy Guide 提供了对 cookies、历史记录同步、安全浏览以及使搜索和浏览更好的控制。Google已经保证，它将根据用户的反馈增加更多的设置和解释。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255413.htm 封面来源于网络，如有侵权请联系删除

Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84，以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说：”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌面频道中向全球推出，整个用户群完成更新可能需要一个星期。进入Chrome菜单>帮助>关于Google浏览器检查新的更新时，这个更新立即可用。该网络浏览器还将自动检查新的更新，并在下次启动后自动安装。 今天修复的零日漏洞（被追踪为CVE-2022-1096）是一个匿名安全研究员报告的Chrome V8 JavaScript引擎中的高严重性类型混淆缺陷。 虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃，通过读取或写入超出缓冲区的内存，攻击者也可以利用它们来执行任意代码。 即使Google说它在外部检测到利用这一零日的攻击，该公司也没有分享有关这些事件的技术细节或其他信息。 “对错误细节和链接的访问可能会保持限制，直到大多数用户得到修复的更新，”Google说。”如果该错误存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留信息披露的限制。” 在浏览器供应商发布更多信息之前，Google浏览器用户应该有足够的时间来升级Chrome浏览器并防止恶意攻击者利用它的企图。 通过这次更新，Google解决了自2022年开始的第二个Chrome零日漏洞，另一个（追踪号为CVE-2022-0609）在上个月打了补丁。 Google威胁分析小组（TAG）透露，朝鲜政府支持的黑客在2月补丁公布前几周就利用了CVE-2022-0609零日，最早的主动利用迹象是在2022年1月4日发现的。 由朝鲜政府支持的两个独立的威胁集团在通过钓鱼邮件推送恶意软件的活动中利用了这个零日漏洞，这些钓鱼邮件使用虚假的工作诱饵和被破坏的网站托管隐藏的iframe来提供一个利用工具包。 研究人员解释说：”这些电子邮件包含欺骗合法求职网站的链接，如Indeed和ZipRecruiter。在其他情况下，我们已经观察到假网站–它被设置为分发木马化的加密货币应用程序–托管iframes并将其访问者指向漏洞工具包。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1251469.htm 封面来源于网络，如有侵权请联系删除