Chrome 漏洞奖励计划（VRP）自 2010 年启动以来，得到了很多安全研究人员的踊跃参与，通过报告存在于 Chrome 和 Chrome OS 中的漏洞来赚取赏金。而通过这个项目，谷歌也修复了大量漏洞，从而让软件变得更加安全。现在，谷歌宣布进一步扩大奖励计划，并为 V8 JavaScript 引擎中的漏洞提供两倍的赏金。 此前，谷歌只是对那些在 V8 中具备完整功能报告的安全专家提供奖励。而现在，谷歌还会对那些耗时提出如何利用安全漏洞的研究人员提供奖励，这些悬赏的赏金已经增加了一倍。谷歌表示，提供可供利用证据的安全专家能够帮助公司修复错误和缓解漏洞，因此应给予相应的奖励。它还强调，即使V8安全错误不属于上述类别，它仍可能有资格获得更高的奖励。         （消息来源：cnBeta；封面来自网络）

在宣传 Play Store 的时候，谷歌表示它不仅仅只是一个 Android 应用商城，更是你可以信赖且安全的应用来源。不过这并不代表着就百分百安全了，近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复，不过由于应用开发者尚未完全跟进，意味着依然有不少应用和它们的用户存在风险。 顾名思义，Google Play Core Library 是谷歌移动服务最基础的组件之一。它提供了包括下载其他语言、管理特征模块的分发或者功能之类的功能，而不需要通过 Play Store 更新应用程序本身。几乎所有的 Play Store 应用都利用了这些功能，从而让 Core Library 成为所有 Android 应用程序的关键部分。 不幸的是，Core库中的一个严重缺陷利用了该功能，以使库实际上执行恶意代码。 Check Point Research详细介绍了漏洞利用的工作方式，如果不加以解决，这是一个非常可怕的漏洞。幸运的是，Google已于去年4月修补了Play Core Library，然后于8月公开披露了该漏洞。 不过安全研究人员对该漏洞的调查并未停止，并警告称仍有不少应用程序开发人员尚未更新升级至最新的 Play Core Library。与Google最终完成所有工作的服务器端修补程序不同，这种修补程序必须由应用程序开发人员通过更新其应用程序以使用库的固定版本来自行应用。根据最近的统计，他们估计 Google Play 商店中尚未有 13％ 的应用程序没有更新。       （消息及封面来源：cnBeta）

跨站泄露，也被称为 “XS-Leaks”，是网络设计中的一类问题，它允许网络应用相互交互，即使它们不相关。这导致用户数据在不同的Web应用之间共享，通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多，为了解决这一问题，谷歌宣布建立了一个知识库，以便开发者和安全研究人员更好地了解这个问题，并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”，包含的文章解释了跨站点泄漏的概念，演示一些常见的攻击，以及你介绍针对它们设置的防御措施。除了每种攻击的细节，还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能，以防止跨站泄漏，如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员，以使所有相关方提供的多年经验基础上，通过保护所有用户免受利用这种行为的威胁，使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息，这里是谷歌的专门网站，或者这里是相关的GitHub仓库。         （消息来源：cnBeta；封面来自网络）

跨站泄露，也被称为 “XS-Leaks”，是网络设计中的一类问题，它允许网络应用相互交互，即使它们不相关。这导致用户数据在不同的Web应用之间共享，通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多，为了解决这一问题，谷歌宣布建立了一个知识库，以便开发者和安全研究人员更好地了解这个问题，并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”，包含的文章解释了跨站点泄漏的概念，演示一些常见的攻击，以及你介绍针对它们设置的防御措施。除了每种攻击的细节，还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能，以防止跨站泄漏，如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员，以使所有相关方提供的多年经验基础上，通过保护所有用户免受利用这种行为的威胁，使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息，这里是谷歌的专门网站，或者这里是相关的GitHub仓库。         （消息来源：cnBeta；封面来源于网络）

据外媒报道，近日谷歌Project Zero研究人员Ian Beer演示了如何远程盗取iPhone中的照片。在视频中，Beer用iPhone拍摄了一张照片，然后打开YouTube应用。YouTube应用并不是黑客攻击的一部分–它的打开只是为了演示iPhone在被篡改时如何没有任何被篡改的迹象。 自动攻击不需要互联网连接，它确实需要iPhone连接到某种无线系统 – 在这种情况下，它连接到Wi-Fi信号。通常情况下，Wi-Fi网络是有密码保护的，所以设备和攻击者之间会有额外的安全层。Beer建议，演示绕过了他通常需要突破第一条无线连接线的那一点，但这样做只需要时间，而这个演示都是关于初级黑客的。 在黑客攻击中，用户能够利用手机上的内核bug，让黑客将恶意软件上传到手机中，并授权访问手机中的内容。这一切都是远程完成的，黑客不需要对手机进行任何形式的物理访问。整个过程可以在手机用户不知情的情况下进行。这个过程的任何部分都不会以任何明显的方式影响手机的工作进程。 目前的好消息是，这个漏洞从今年年初开始就已经被修复了。只要iPhone有最新的安全更新，你就不会受到这个特定漏洞的影响。       （消息及封面来源：cnBeta）

谷歌Project Zero白帽黑客Ian Beer周二披露了一个现已修补的严重“wormable”iOS漏洞的细节，该漏洞可能使远程攻击者能够通过Wi-Fi完全控制附近的任何设备。 Beer在一篇长篇博客中说，利用这个漏洞，可以“实时查看所有照片、阅读所有电子邮件、复制所有私人信息并实时监控（设备）上发生的一切”。 苹果在今年早些时候推出的iOS 13.3.1、macOS Catalina 10.15.3和watchOS 5.3.7的一系列安全更新中解决了该漏洞（编号为CVE-2020-3843）。 “远程攻击者可能会导致系统意外终止或内核内存损坏，”iPhone制造商在其公告中指出，“内存损坏问题通过改进输入验证得到解决。” 该漏洞源于与Apple Wireless Direct Link（AWDL）相关的Wi-Fi驱动程序中的“相当小的缓冲区溢出错误”，该协议是苹果公司开发的一种专用网格网络协议，用于AirDrop、AirPlay等，从而使苹果设备之间的通信更加方便。 简而言之，零点击漏洞利用一个由iPhone 11 Pro、Raspberry Pi和两个不同的Wi-Fi适配器组成的设置来实现任意内核内存的远程读写，利用它通过受害者进程将Shellcode有效负载注入内核内存，并逃离进程的沙盒保护以获取用户数据。 换言之，攻击者以AirDrop BTLE框架为目标，通过从存储在手机中的100个随机生成的联系人列表中联系人的哈希值来启用AWDL接口，然后利用AWDL缓冲区溢出获取对设备的访问权，并以根用户身份运行植入程序，从而完全控制用户的个人数据，包括电子邮件、照片、消息、iCloud数据等。 尽管没有证据表明该漏洞是在野外被利用的，但研究人员指出，“利用漏洞的厂商似乎注意到了这些修复。” 这并不是第一次在Apple的AWDL协议中发现安全漏洞。去年7月，德国达姆施塔特技术大学的研究人员揭露了AWDL中的漏洞，攻击者能够跟踪用户、使设备崩溃，甚至拦截通过中间人（MitM）攻击在设备之间传输的文件。 Synacktiv详细介绍了苹果“Memory Leak”零日漏洞 在另一项开发中，Synacktiv分享了CVE-2020-27950的更多细节，CVE-2020-27950是苹果上个月在谷歌Project Zero发布报告后修补的三个漏洞之一。 虽然披露的内容缺乏细节，但这些漏洞是由于FontParser库中允许远程代码执行的内存损坏问题、授予恶意应用程序内核运行任意代码权限的内存泄漏以及内核中的类型混乱造成的。 通过比较与iOS 12.4.8和12.4.9相关的两个内核二进制文件，Synacktiv的研究人员能够追溯内存泄漏问题的根源，明确指出这些变化解决了内核如何处理与苹果设备中进程间通信相关的mach消息。 研究人员还设计了一种概念验证代码，利用该漏洞泄漏了mach端口内核地址。 Synacktiv的Fabien Perigaud说：“这个漏洞在XNU中存活了这么长时间真是令人惊讶，因为它的代码是开源的，并且受到了数百名黑客的监督。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在美国网络安全公司 Palo Alto Networks 报告发布后，谷歌随机对两款来自百度的 Android 应用展开了调查。报告称百度搜索框和地图应用内含收集用户信息的代码，而谷歌也在 2020 年 10 月将之从 Play 商店下架。不过上周，百度搜索框再次出现在了广大用户的面前。 具体说来是，Palo Alto Networks 称数据收集代码存在于百度推送 SDK 中，用于在两款 App 内显示实时通知。然而数据收集行为研究员 Stefan Achleitner 和 Xuchengcheng 指出： “该代码会收集包括电话型号、MAC 地址、运营商信息、国际移动订阅用户身份（IMSI）等在内的详细信息。 Achleitner 和 Xu 补充道，尽管这种行为看似无害，但诸如 IMSI 代码之类的数据，仍可被用于精准识别和追踪用户，即使该用户切换到了另一设备也无解。” 一方面，尽管向谷歌报告了此事，但尴尬的是，该公司的 Android 应用政策并未特别禁止收集个人用户的详细信息。 不过另一方面，Play 商店安全研究团队还是在两次调查中发现了百度 App 的其它未指明的违规情况，最终导致两款 App 于 2020 年 10 月 28 日被官方应用商店下架。 “百度发言人在今日的一封电子邮件中称，最初报告提到的数据收集行为引发了谷歌团队的调查，但这并不是两款 App 被 Play 商店下架的原因，因为该公司已从用户那里获得了收集此类信息的许可。 与此同时，百度团队表示正在努力解决谷歌发现的其它问题。截止发稿时，百度搜索框应用已经重返 Play 商店，而地图应用也会在修复相关问题后尽快回归。” 10 月下架之前，两款百度 App 的下载量总计超过了 600 万。此外 Palo Alto Networks 研究人员在中国广告技术巨头 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。 Achleitner 和 Xu 表示，该 SDK 已被 37500 多款应用程序使用，且允许开发者收集包括电话型号、屏幕分辨率、MAC 地址、Android ID、广告 ID、运营商 / IMSI / IMEI 等在内的个人信息。 显然，这类事件并非孤立发生，而是围绕 Android 生态的一个老大难问题。       （消息来源：cnBeta；封面来自网络）

尽管下载数量超过了 1 亿次，谷歌还是在安全研究人员披露了 GO SMS Pro 应用的隐私安全漏洞之后，立即下架了这款热门的第三方短信应用。报告指出，GP SMS Pro 存在一个可被攻击者利用的漏洞，以访问用户的图像、视频、音频等媒体文件。不过在正式向外界曝光之前，研究人员已照例给开发商预留了数月的修补时间。 Trustwave 安全研究人员指出，v7.91 版本似乎容易受此漏洞的影响。当在 App 中显示用户之间的会话时，非用户将获得一个显示消息内容的链接。 问题在于，Go SMS Pro 会顺序生成链接。这意味着只需在 URL 上动手脚，非用户就可以轻松将其他人的消息链接也扒拉下来。结合脚本等工具，攻击者可借此手机大量的敏感数据。 甚至两名 Go SMS Pro 用户之间发送的消息，也可以通过链接的形式来呈现。糟糕的是，用户根本无法确定他们的信息是否被盗。 不过最让人感到不安的，是尽管 SpiderLabs 研究人员与 GO SMS Pro 开发者取得了联系，后者仍拖延了数月时间来修补漏洞。         （消息来源：cnBeta；封面来自网络）

扩展程序已成为现代浏览器体验中不可或缺的一环，而 Google Chrome 也是许多用户的不二之选。发展迅猛的 Chrome 网上应用店，已经能够满足大多数用户的实际需求。与此同时，谷歌希望进一步提升隐私体验。比如在最新宣布的隐私政策中，该公司就要求开发者必须披露其收集和分享的数据。 虽然日常使用中可能很难察觉，但某些扩展显然会对用户的数据隐私和安全构成威胁，尤其是那些能够读取浏览器中所加载的所有信息、有时也包括敏感细节的恶意扩展。 庆幸的是，在最新提出的隐私要求中，谷歌将强制扩展程序开发人员附带明确的数据收集信息，以便用户在安装时就有所了解。 “从 2021 年 1 月开始，Chrome 网上应用店中的每款扩展程序的详情页，都将以清晰易懂的语言来描述和披露其收集的数据信息。” 此外谷歌还宣布了一项新的约束政策，以限制开发者对其通过加载项收集的数据进行利用，进而保护用户的相关权益： “（1）确保对用户数据的操作使用符合用户的主要利益，并且符合扩展的合理使用目的。 （2）重申坚决不允许转售用户数据，谷歌自己不会、也不允许第三方扩展程序开发者这么做。 （3）禁止利用用户数据开展有针对性的广告营销活动。 （4）禁止将用户数据用于任何形式的信贷、数据经纪、或其它形式的转让和使用目的。” 即日起，开发者已能够在 Chrome 网上应用店中更新其隐私详情，正式功能将于 2021 年 1 月正式上线。逾期未更新的扩展程序，将被挂上“开发者未提供此类信息”的显眼提示。     （消息来源：cnBeta；封面来自网络）

经过两年漫长时间，现在全球每一个Android用户，都可以使用取代短信的下一代短信标准。谷歌通过其Android Messages应用直接向任何安装它并将其作为默认短信应用的人提供RCS聊天服务，而无需移动运营商参与。同样重要的是，谷歌宣布终于开始启用一项关键的隐私功能：端到端加密，这意味着运营商和谷歌都无法读取这些信息的内容。 尽管加密功能只是开始向注册Android Messages公测版的用户推出，但为RCS开启加密功能是一件非常重要的事情。这是一个巨大的隐私胜利，因为这意味着在全球绝大多数人使用的智能手机平台上，短信的事实上的替代者默认情况下将是私密的。至于iPhone，我们还没有听说苹果是否打算采用RCS标准。 自从最初宣布计划过渡到RCS作为安卓系统的主要短信平台后，该标准的推广就陷入了混乱之中。去年，谷歌开始自己动手，慢慢地让不同国家的用户直接从谷歌那里获得RCS服务，而不是等待运营商开启。今天，该公司宣布这一进程已经完成，在谷歌提供服务的所有地方，都可以通过Android Messages获得RCS服务。在某些地区和某些运营商，如果他们选择，谷歌将继续允许这些运营商运行你的RCS服务。 如前所述，谷歌将在本月推出测试版，而谷歌并没有加密聊天何时能毕业进入主应用的时间表。而对于愿意注册Android Messages公测版的人来说，要知道，和往常一样，谷歌将逐步推出该功能，所以你可能不会马上得到这项加密功能。只有当双方用户都在使用Android Messages并已收到更新时，端到端加密才会在一对一的聊天中发挥作用。在群组聊天中启用端到端加密是一个更棘手的问题，所以谷歌不会承诺扩展该功能的时间表。         （消息来源：cnBeta；封面来自网络）