Hackernews 编译，转载请注明出处： 9月2日，谷歌发布了紧急补丁，以修复Chrome浏览器中的一个安全漏洞，据称该漏洞正在被广泛利用。 该漏洞被跟踪为CVE-2022-3075，涉及Mojo中数据验证不足的情况，Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。 这家互联网巨头表示：“谷歌知道有报道称CVE-2022-3075在野外存在漏洞，但没有深入研究有关攻击性质的更多细节，以防止其他黑客利用该漏洞。” 这是自今年年初以来谷歌解决的第6个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free漏洞 CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 CVE-2022-2856 – Intents中不受信任的输入验证不足 建议用户升级到适用于Windows、macOS和Linux的版本105.0.5195.102，以缓解潜在威胁。还建议基于Chrome浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户在修复应用程序时利用该补丁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

谷歌推出一项新的漏洞奖励计划，奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。 作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分，谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”，将会有1000美元左右的额外奖励。 谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充，涵盖了安卓、Chrome、Linux 内核等领域。迄今为止，谷歌已向研究人员发放了超过3800万美元的奖励金。 这项新的开源漏洞奖励计划关注开源软件，旨在解决和供应链攻陷相关的风险。 谷歌表示，“去年，针对开源软件供应链的攻击同比增长了650%，出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。” 谷歌表示，谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖，不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到，“请首先将您的漏洞报告直接发给易受攻击数据包的所有人，确保该问题在我们知晓漏洞详情前就已在上游修复。” 涵盖在内的项目分为三个层级，旗舰开源软件项目（这些项目被认为敏感度高）中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。 谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。 转自 安全内参，原文链接：https://www.secrss.com/articles/46426 封面来源于网络，如有侵权请联系删除

新的研究称，在五大科技公司中，Google追踪的用户隐私数据比其他公司都多，而苹果追踪的数据最少。此前，苹果公司专门推出了《应用程序跟踪透明度》指引，以保护用户的隐私不受其他公司的影响。然而，一份新的报告称，苹果也在避免自己做任何超过运行其服务所需的追踪，据StockApps.com报道，苹果”是最有隐私意识的公司”。 研究人员评价：”苹果只存储维护用户账户所需的信息，这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。 StockApps.com的报告没有列出它所说的大科技公司为每个用户收集的”数据点”。然而，它说它们包括位置信息、浏览器历史记录、在第三方网站上的活动，在Google的案例中，还包括Gmail中的电子邮件。 研究报告没有详细说明其方法，但委托了营销公司digitalinformationworld调查苹果、亚马逊、Facebook、Google和Twitter。 在这五家公司中，Google跟踪每个用户的39个独立数据点，而苹果只跟踪12个。出乎意料的是，Facebook却只追踪14个数据点，而亚马逊追踪23个，Twitter追踪24个。 StockApps.com的Edith Reads说：”大多数人没有时间或耐心去阅读他们所访问的每个网站的隐私政策，这些政策可能有几页长。结果，用户最终允许Google通过同意隐私政策条款收获他们需要的所有数据。” 澳大利亚政府最近因Android系统的位置追踪问题对Google罚款4000万澳元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308685.htm 封面来源于网络，如有侵权请联系删除

8月23日消息，谷歌威胁分析小组（TAG）发现，名为Charming Kitten的伊朗政府支持团体，在其恶意软件库中增加了一个新工具，可以从Gmail、雅虎和微软Outlook账户中检索用户数据。 谷歌将该工具称为HYPERSCRAPE，该工具在2021年12月首次被发现。据说伊朗用这个开发中的软件入侵了二十余个帐户，已知最早的样本可以追溯到2020年。 Charming Kitten是一个高度活跃的高级持续性威胁（APT），据信与伊朗的伊斯兰革命卫队（IRGC）有关，曾参与过与政府利益一致的间谍活动。 它还被追踪为APT35、Cobalt Illusion、ITG18、Phosphorus、TA453和Yellow Garuda，该组织的成员还进行勒索软件攻击，这表明威胁者的动机既包含间谍活动，又包含经济原因。 谷歌TAG研究员Ajax Bash说：”HYPERSCRAPE需要受害者的账户凭证，通过劫持的有效、认证的用户会话或者攻击者已经获得的凭证运行。 该工具以.NET编写，可以在Windows机器上运行，它具有下载和窃取受害者电子邮件收件箱内容的功能，此外，它还可以删除谷歌发送的安全邮件。 如果一封邮件原本是未读的，该工具会在打开并下载邮件的”.eml “文件后将其标记为未读。更重要的是，据说HYPERSCRAPE的早期版本包含了一个从谷歌Takeout请求数据的选项，该功能允许用户将他们的数据导出到一个可下载的存档文件中。 在此之前，普华永道最近发现了一个基于C++的Telegram “抓取 “工具，用于获取特定账户的Telegram信息和联系人。 此前，Charming Kitten还部署了一个名为LittleLooter的定制安卓监控软件，这是一款功能丰富的植入软件，能够收集存储入侵设备中的敏感信息，并记录音频、视频和通话。 研究员表示：”像他们的许多工具一样，HYPERSCRAPE技术并不复杂，但能高效地实现目标。”他表示，受影响的账户已被重新保护，并通知了受害者。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342863.html 封面来源于网络，如有侵权请联系删除

据91Mobiles报道，数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示，科技公司收集了用户的大量敏感数据，似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为，但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。 在寻找哪家科技巨头从其用户那里收集最多的数据时，StockApps发现，这些公司从用户那里收集了多达39种数据，并在需要时使用这些数据，而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter：许多人每天都会频繁使用的网站/应用程序。 根据该报告，Google从用户那里收集的数据最多，有39种。接下来是Twitter，它搜集了24种数据。紧随其后的是亚马逊，它从用户那里累计了23类数据。当用户使用他们的平台时，Meta拥有的 Facebook会获取14种数据。排名最后的是苹果，它在12个不同类别中保存的数据量最少。 来自StockApps.com的Edith Reads对此评论说：“大多数人没有时间或耐心阅读他们访问的每个网站可能长达数页的隐私政策。而且，不是所有用户都有法律背景，这很可能无法正确掌握隐私政策。” “除了用户不能够找到耐心、时间或精力来发现网站存储了哪些信息，以及如何利用这些信息来获取利益。这意味着，用户通过接受隐私政策，能够让Google获取他们所需要的所有信息”。” 虽然报告没有强调这些公司到底绞尽脑汁地收集了哪些数据，但它确实表明，收集的数据被用于他们的利益，这很可能是根据用户的搜索历史或在社交平台上的互动来投放广告。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308141.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击，该攻击达到每秒4600万次请求（RPS）。 攻击发生在6月1日9:45，它以每秒10000多次请求（rps）开始，目标是客户的HTTP/S负载均衡器。八分钟后，攻击速度增至每秒100000次请求，两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出，每秒请求量至少比之前的记录高出76%，该记录在6月被Cloudflare阻止，达到2600万RPS。 谷歌表示：“这是迄今为止报告的最大的第7层DDoS攻击，比之前报告的记录至少大76%。此次攻击的规模就像在10秒内接受维基百科（世界上十大流量网站之一）的所有日常请求一样。” 专家报告称，该攻击来自132个国家的5256个源IP，前4个国家贡献了总攻击流量的约31%。 大约22%（1169）的源IP对应于Tor出口节点，但专家指出，来自这些节点的请求量仅占攻击流量的3%。 “虽然我们认为由于易受攻击的服务的性质，Tor参与攻击是偶然的，但即使在峰值的3%（超过130万rps），我们的分析表明，Tor出口节点可以向web应用程序和服务发送大量不受欢迎的流量。”报告继续说道。 此次攻击涉及的不安全服务的地理分布和类型表明，它是由Mēris僵尸网络发起的。 “攻击在谷歌网络的边缘被阻止，恶意请求从客户的应用程序上游被阻止。在攻击开始之前，客户已经在其相关的Cloud Armor安全策略中配置了Adaptive Protection，以了解并为其服务建立正常流量模式的基线模型。”专家总结道。“因此，Adaptive Protection能够在其生命周期的早期检测到DDoS攻击，分析其传入流量，并使用推荐的保护规则生成警报——所有这些都在攻击升级之前完成。客户通过部署推荐的规则，利用Cloud Armor最近推出的速率限制功能来限制攻击流量，从而对警报采取行动。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样，在更新大多数用户之前，这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。 最新更新进一步解决了其他10个安全漏洞，其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关，同时还修复了下载中的堆缓冲区溢出漏洞。 这是谷歌自年初以来修复的第五个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 建议用户更新到适用于macOS和Linux的104.0.5112.101版本，以及适用于Windows的104.O.5112.102/101版本，以缓解潜在威胁。基于Chromium浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也建议应用修复程序。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，澳大利亚公平竞争和消费者委员会(ACCC)发布消息称，谷歌2017年1月至2018年 12 月的时间里，存在收集和使用其位置数据并误导澳大利亚 Android 用户，被处以6000万美元(约合人民币2.88亿元)罚款。 澳大利亚竞争监管机构表示，这家科技巨头继续跟踪其部分用户的 Android 手机，尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是，谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。 ACCC 表示，根据现有数据，估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。 ACCC 主席 Gina Cass-Gottlieb表示，谷歌是世界上最大的公司之一，它能够保留通过“网络和应用活动”设置收集的位置数据，谷歌可以使用保留的数据将广告定位到某些消费者，即使这些消费者“位置记录”设置已关闭。 个人位置数据对一些消费者来说既敏感又重要，如果谷歌没有做出误导性的陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。 澳大利亚联邦法院做出处罚决定 ACCC早在2019年10月就对谷歌提起诉讼。2021年4月，澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示，被误导的用户不会想到，如果允许“网络和应用程序活动”的跟踪，就意味着允许谷歌使用自己的位置数据。 当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制，并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项，让用户控制数据变得更加容易。” 此番联邦法院确认，2017年1月至2018年12月期间，谷歌通过安卓手机收集和使用其个人位置数据时，对用户做出误导性陈述，违反了消费者法。不仅如此，谷歌还被发现另外两项误导用户的违法行为。 在8月12日联邦法院的听证会上，双方同意处以6000万澳元的“公平合理”罚款，并且已向Thomas Thawley大法官提交一份联合意见书。此外，联邦法院下令谷歌调整其政策，以确保对合规的承诺，并为员工提供有关消费者法的培训。 ACCC 主席 Gina Cass-Gottlieb认为，“个人位置数据对某些消费者来说是敏感和重要的，如果不是谷歌做出误导性陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。” 在ACCC主席Gina Cass-Gottlieb看来， 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号，即企业不能就数据的收集和使用误导消费者。 谷歌在全球范围内遭遇多次处罚 这已经不是谷歌第一次因违反数据相关法律而遭受处罚，近年来，谷歌在全球范围内都曾因为数据收集、使用不当，违反当地数据法规而被罚款。 2022年 1 月，法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款，原因是谷歌将这个选项隐藏在多次点击之后，使网站访问者难以拒绝跟踪cookie，这侵犯了互联网用户的同意自由。 . 此前，谷歌还因激进的数据收集被罚款 1130 万美元，因偏袒竞争对手的服务而被罚款2.2 亿欧元 ，因在线广告中的反竞争行为被罚款 17 亿美元 ，以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341890.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Google修补了Android操作系统中的一个关键漏洞，跟踪为CVE-2022-20345，可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码，而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。 Google还修补了Google Pixel设备中的数十个安全漏洞，包括四个关键的远程代码执行漏洞，跟踪如下： CVE REFERENCES TYPE SEVERITY COMPONENT CVE-2022-20237 A-229621649 * RCE Critical Modem CVE-2022-20400 A-225178325* RCE Critical Modem CVE-2022-20402 A-218701042 * RCE Critical Modem CVE-2022-20403 A-207975764 * RCE Critical Modem   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

7月29日，趋势科技发布了一份报告，揭露了在Google Play应用商店内的一系列银行类恶意软件活动。 报告主要分析了17款伪装成生产力工具和实用应用程序的滴管应用程序，它们被统称为DawDropper。根据报告描述，这17款应用包括了文档扫描仪、VPN 服务、二维码阅读器和通话记录器等多种类型，共携带了四个银行木马系列，包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址，并在 GitHub 上托管恶意有效载荷。 2021 年 3 月，趋势科技还发现了另一个名为Clast82的dropper，DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。 研究人员指出，这类银行Drop恶意软件采用自己的分发和安装技术。比如在今年年初就观察到了带有硬编码的有效载荷下载地址的版本，而最新观察到版本能隐藏实际有效载荷的下载地址，有时还使用第三方服务作为其 C&C 服务器。 截至报告发布时，这些恶意应用程序已从 Google Play 中移除。但报告指出，网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里已经看到银行木马如何改进其技术以避免被检测，例如将恶意负载隐藏在 Dropper 中。随着越来越多的银行木马通过 DaaS 提供，攻击者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340693.html 封面来源于网络，如有侵权请联系删除