HackerNews 编译，转载请注明出处： 谷歌在 Android 16 Beta 2 中推出了一项新的安全功能，旨在防止用户在通话期间更改敏感设置，以应对日益复杂的电话诈骗。 电话诈骗手段日益复杂，诈骗者常利用心理操纵技巧诱使受害者授予权限，从而安装恶意软件。常见手法包括引导受害者在通话中启用侧载或无障碍权限，使恶意应用能够绕过安全防护并控制设备。鉴于此，谷歌在 Android 16 中引入了“通话中防诈骗保护”功能。 阻止通话期间启用侧载权限：侧载允许应用安装其他应用，通常默认禁用以确保安全。Android 16 现在防止用户在通话期间启用此权限，进一步增强了安全性。 限制通话期间的无障碍权限：无障碍权限允许应用读取屏幕内容并代表用户执行操作，这常被恶意软件利用。Android 16 在通话期间阻止授予这些权限，进一步降低了未经授权控制的风险。 警告提示：用户在尝试绕过这些限制时，会收到关于潜在诈骗的明确警告，鼓励他们验证来电者的身份。 增强的确认模式：此功能扩展了 Android 15 中引入的保护措施，增加了更严格的防护，防止未经授权访问敏感设置。 这项新安全功能是谷歌在应对电话导向攻击交付（TOAD）诈骗等日益增长的威胁中，持续提升用户安全性的努力的一部分。通过将这些保护措施集成到 Android 16 Beta 2 中，谷歌旨在显著减少诈骗案件。 虽然诈骗者可能仍会指示受害者挂断电话后启用权限，但这一额外步骤足以扰乱其诈骗手段。此外，Android 16 还包括更广泛的安全增强功能，如防止意图重定向攻击和改进大屏设备的应用兼容性。 目前，防诈骗保护功能已在 Android 16 Beta 2 中上线，适用于 Pixel 设备（Pixel 6 及更新型号）。Android 16 的最终版本预计将于 2025 年第二季度晚些时候发布。随着这些功能的公开推出，用户可以期待一个更安全的移动体验，优先保护隐私和防止诈骗。 随着诈骗手段因人工智能的进步而变得更加复杂，谷歌的新方法标志着在降低风险和为用户提供强大防御网络威胁方面迈出了重要一步。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   谷歌澄清，新推出的 Android 系统 SafetyCore 应用不会对内容进行客户端扫描。 “Android 提供了许多本地保护措施，以防范恶意软件、信息垃圾邮件和滥用保护以及电话诈骗等威胁，同时保护用户隐私并让用户掌控自己的数据。”谷歌公司发言人向《黑客新闻》表示。“SafetyCore 是一项面向 Android 9 及以上设备的谷歌系统服务，它为安全、私密地进行内容分类提供了本地基础设施，帮助用户检测不想要的内容。用户可以控制 SafetyCore，只有当应用程序通过可选功能请求时，SafetyCore 才会分类特定内容。” SafetyCore（包名“com.google.android.safetycore”）于2024年10月首次推出，作为谷歌针对谷歌消息应用的一系列安全措施的一部分，旨在打击诈骗和敏感内容。该功能需要2GB的RAM，适用于运行 Android 9 及更高版本的所有 Android 设备，以及运行轻量级操作系统 Android Go 的入门级智能手机。 客户端扫描（CSS）是一种替代方法，用于在设备上分析数据，而不是削弱加密或在现有系统中添加后门。然而，这种方法引发了严重的隐私问题，因为它容易被滥用，迫使服务提供商超出最初同意的范围搜索材料。 谷歌消息应用中的敏感内容警告与苹果 iMessage 中的通信安全功能相似，后者使用本地机器学习分析照片和视频附件，判断照片或视频是否包含裸露内容。 GrapheneOS 操作系统的维护者在 X 上发布的一篇帖子中重申，SafetyCore 不提供客户端扫描，主要设计用于提供本地机器学习模型，其他应用程序可以利用这些模型将内容分类为垃圾邮件、诈骗或恶意软件。“对这类内容进行分类与试图检测非法内容并向服务提供商报告是不同的，后者会严重侵犯人们的隐私，并且仍存在误报的情况。这不是 SafetyCore 的用途，它也无法用于此。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 Check Point 与 Hackread.com 共同发布的最新研究报告，Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。 Google 日历成工具：网络攻击者利用 Google 日历的功能模块，发送仿冒合法邀请函的网络钓鱼邮件。 高级攻击策略：攻击者采用 Google 表单和 Google 绘图等多元化工具，规避传统邮件安全防护机制，从而强化攻击的可信度。 影响范围广泛：在短短四周内，已检测到与该攻击活动关联的 4000 余封网络钓鱼邮件，涉及约 300 家品牌企业。 社会工程学手法：网络犯罪分子通过制造紧迫感、恐慌情绪以及冒充身份等手段，诱使受害者点击恶意链接并泄露敏感信息。 防范措施：部署高级邮箱安全监控系统、第三方应用程序使用审计机制以及行为分析技术，对于抵御此类不断演进的威胁具有重要意义。 Google 日历作为 Google 工作空间的重要组成部分，是一款面向全球超过 5 亿用户的日程安排与时间管理工具，支持 41 种语言。 据 CPR 的研究显示，攻击者正试图操控 Google 日历及其相关功能模块，例如 Google 绘图，通过发送伪装成合法邮件的链接，突破传统邮箱安全防线，实施网络钓鱼攻击。这些链接表面上看似指向 Google 表单或 Google 绘图，进一步提升了攻击的可信度。 恶意邮件与 Google 日历配置（来源：CPR） 攻击者最初利用 Google 日历内置的友好功能，提供链接至 Google 表单。在察觉到安全产品能够识别恶意日历邀请后，攻击者迅速调整策略，将攻击手段与 Google 绘图功能相结合。 Check Point 发文指出：网络犯罪分子正在篡改“发件人”头部信息，使邮件看起来像是由已知且合法的用户通过 Google 日历发送的。在短短四周内，网络安全研究人员已监测到 4000 多封此类钓鱼邮件，涉及约 300 家品牌企业。 攻击者利用用户对 Google 日历的信任和熟悉程度，诱使受害者点击恶意链接。他们会伪造看似合法的日历邀请，通常来自受害者熟悉的联系人或组织机构。这些初始邀请可能包含指向 Google 表单、Google 绘图或 ICS 文件附件的链接，后者看似是简单的信息请求或调查问卷，常以 CAPTCHA 或支持按钮的形式呈现。 一旦受害者点击链接，将被重定向至一个精心设计的恶意网站，该网站通过虚假身份验证流程窃取个人信息或公司数据。该网站可能模仿合法的登录页面、加密货币交易所或技术支持页面。攻击者的最终目的是诱骗受害者泄露敏感信息，如密码、信用卡详细信息或个人身份证号码。被盗取的信息可能被用于信用卡欺诈或未经授权的交易，给受害者带来重大风险。 值得注意的是，攻击者通常会叠加社会工程学策略来增强攻击的可信度。他们可能通过制造紧迫感、恐慌情绪或激发好奇心，诱使受害者点击恶意链接。此外，攻击者还可能冒充可信任的个人或组织，以获取受害者的信任。这无疑大大大提高了通过Google日历钓鱼的成功率，企业/组织应保持高度警惕，以应对日益复杂化的网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418157.html 封面来源于网络，如有侵权请联系删除

在谷歌宣布拟230亿美元收购Wiz后，这家网络安全初创公司最终决定拒绝这一天价收购要约。 根据最新一期《财富》杂志周一披露，Wiz已向公司1200名员工发了一份内部说明，称Wiz是一家价值120美元的云安全初创公司，正在与谷歌母公司Alphabet进行收购谈判，公司已决定不推进这笔交易，并将继续是一家独立的公司。 “虽然我们对收到的报价感到受宠若惊，但我们选择继续走在建立Wiz的道路上，”首席执行官Assaf Rappaport写道。他进一步概述了该公司的雄心勃勃的目标，包括达到10亿美元的年度经常性收入并最终IPO上市。 Wiz是一家成立于2020年的以色列网络安全初创公司，曾今年年初以120亿美元的估值筹集了10亿美元的风险投资，并计划将这笔资金用于增长和收购。今年4月，Wiz以 3.5 亿美元的价格收购了 Gem Security。 一位知情人士向《财富》杂志证实，Wiz的投资者完全支持公司继续保持独立的决定，该决定基于一个简单的计算：Wiz已经足够大，可以瞄准IPO，这仍然是公司的最终目标。 知情人士还称，此次巨额收购将招致监管部门的反垄断审查也是Wiz最终决定寻求保持独立的原因之一。 目前，美欧监管机构对大型企业的收购和合并采取强硬立场，谷歌因线上搜索领域的主导地位和广告技术业务中阻碍公平竞争的行为正面临美国司法部的反垄断诉讼。 据悉，Wiz拒绝被谷歌收购的决定得到了一系列知名投资者的支持，包括Andreessen Horowitz、Lightspeed Venture Partners、Thrive Capital、Index Ventures、Cyberstarts、Advent International、Greylock、Greenoaks、Salesforce Ventures、Sequoia Capital和Wellington Management。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406854.html 封面来源于网络，如有侵权请联系删除

谷歌近日宣布将放弃在 Chrome 浏览器中逐步淘汰第三方 cookie 的长期计划。在经历了多年的拖延和行业动荡之后，谷歌的这一戏剧性转变标志着广告商的重大胜利和隐私权倡导者的潜在挫折。 谷歌现在将为用户提供保留或拒绝这些数字跟踪信标的选择，而不是取消这些信标。虽然此举将这家科技巨头定位为消费者控制权的拥护者，但有人认为，这是谷歌为保持其广告主导地位而采取的策略。 谷歌表示：我们将在 Chrome 浏览器中引入一种新的体验，让人们在浏览网页时做出明智的选择，并能够随时调整这种选择，而不是废弃第三方 cookies。 隐私沙盒遭苹果抨击 为此，谷歌曾提出将隐私沙盒（Privacy Sandbox）作为Cookie 的替代方案，此前隐私沙盒的发展历程可谓一波三折，不仅历经了监管审查还有行业反弹，其应用程序接口（Topics API）能够对用户兴趣进行分类，同时不泄露个人数据，但却遭到了苹果公司的强烈批评，苹果公司称其为潜在的用户指纹识别和重新识别工具。 苹果 Webkit 团队本月早些时候表示：用户并不会被事先告知 Chrome 浏览器为他们标记了哪些话题，也不会被告知 Chrome 浏览器将哪些话题透露给了哪些人。这一切都是在后台默认情况下发生的。API的意图是帮助广告商根据每个用户的兴趣向他们投放广告，即使当前网站并不一定暗示他们有这些兴趣。 苹果方面还指出了其潜在的漏洞：这些漏洞可能会让数据经纪人积累大量有关用户上网行为的信息。数据经纪人已经能够读取你不断变化的兴趣，并将其存储在他们对你的永久档案中。现在想象一下，先进的机器学习和人工智能能根据各种兴趣信号组合推断出你的哪些信息。 当数据掮客和追踪者可以对大量人群进行比较和对比时，会出现什么样的模式呢？请记住，他们可以将 Topics API 的输出与他们所掌握的任何其他数据点结合起来，通过对所有数据的分析，为试图得出关于你的结论的算法提供依据。 第三方 Cookie 的决定受到隐私权倡导者的批评 此次谷歌决定保留 Cookie 的决定，是平衡隐私与定向广告经济引擎之间的巨大挑战。虽然谷歌声称会优先考虑用户的选择，但人们对该公司利用其市场力量塑造未来在线追踪的能力仍心存疑虑。 包括英国竞争与市场管理局（CMA）和信息专员办公室（ICO）在内的监管机构对谷歌的决定表示失望，并誓言要对该公司的新方法进行严格审查。 ICO 副专员 Stephen Bonner 表示：我们对谷歌改变计划，不再打算从 Chrome 浏览器中淘汰第三方 cookies 感到失望。从 2019 年谷歌沙盒项目启动之初，我们就认为屏蔽第三方 Cookie 对消费者来说是积极的一步。谷歌提出的新计划是一个重大变化，我们将在获得更多细节后对这一新的行动方案进行反思。 我们将一如既往地支持创建一个更加注重隐私保护的互联网。尽管谷歌做出了这样的决定，但我们仍将继续鼓励数字广告行业采用更私密的第三方 cookies 替代方案，而不是采用更不透明的跟踪形式。 我们将监督该行业如何应对，并在发现包括谷歌在内的所有公司存在系统性违规行为时考虑采取监管行动。 CMA 方面也持类似观点，CMA 现在将与 ICO 密切合作，正在仔细考虑谷歌对隐私沙盒采取的新方法。同时也欢迎大家就谷歌修订后的方法发表意见，包括对消费者和市场结果可能产生的影响。 目前，该行业正在努力应对这一影响深远的变革所带来的不确定性，迎接新时代的到来。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406826.html 封面来源于网络，如有侵权请联系删除

据熟悉内情的人士透露，谷歌母公司 Alphabet正在就以约 230 亿美元的价格收购网络安全初创公司 Wiz 进行深入谈判，这将是谷歌有史以来规模最大的一次收购。此外，它也是以色列公司最大的一笔收购，超过了目前由 Mobileye 保持的纪录，后者在 2017 年以 150 亿美元的价格出售给了英特尔。 这些人士说，如果谈判不破裂，协议可能很快就会达成。 在搜索公司和其他科技巨头受到严格的反垄断审查之际，Alphabet 正对这项交易虎视眈眈。这项收购还有助于推动Alphabet 在云计算领域的发展，云计算是一项重要且不断增长的业务，但 Alphabet 在这一领域一直落后于同行。 自 CEO Assaf Rappaport和几位同事于 2020 年创立以来，Wiz 的估值一路飙升。该公司为云计算提供网络安全软件，今年早些时候以 120 亿美元的估值融资 10 亿美元。它是人工智能行业之外仅有的几家在 2024 年以较高估值融资的初创公司之一。 大多数初创企业仍在承受本世纪初达到顶峰的科技繁荣所带来的宿醉效应，在此期间，低利率环境助长了估值膨胀，远远超过了业务增长。 Wiz表示，该公司在 18 个月后实现了 1 亿美元的ARR收入，并将在 2023 年实现 3.5 亿美元的年经常性收入。该公司得到了红杉资本（Sequoia Capital）、Andreessen Horowitz、Index Ventures 和 Lightspeed Venture Partners 等硅谷知名风投的支持。 在 IPO市场停滞不前、反垄断环境使初创企业不愿进行并购的情况下，如果谷歌的交易完成，将标志着这些投资者难得的一次退出。 尽管拥有超过 2 万亿美元的市值，谷歌近年来的收购行为却比一些大科技同行更为保守。它对微软以 260 亿美元收购LinkedIn 或以 750 亿美元收购动视暴雪（ActivisionBlizzard）这样的大手笔交易避而远之。 收购 Wiz 将使谷歌迄今为止最大的交易–2012 年斥资 125 亿美元收购摩托罗拉移动（Motorola Mobility）–的规模相形见绌。此外，谷歌还在 2021 年斥资 21 亿美元收购了 Fitbit（该交易在宣布后遭遇监管障碍），并在 2014 年斥资 32 亿美元收购了 Nest Labs。多年来的其他收购还包括 YouTube、DoubleClick、Looker 和 Waze。 谷歌一直在努力加强其网络安全业务，重点是云计算。两年前，谷歌以近 54 亿美元收购了另一家安全公司 Mandiant，这是谷歌近期最大的一笔收购，也是有史以来第二大收购。 谷歌目前正在等待美国司法部反垄断诉讼的判决，该诉讼指控谷歌使用非法手段加强其在互联网搜索领域的主导地位。该机构去年提起了第二起反垄断诉讼，指控谷歌的广告技术业务存在不公平行为，目前尚未开庭审理。 不过，谷歌在云计算市场的实力远不及它在搜索和在线广告领域的实力。该公司仅次于亚马逊和微软，排在第三位，但它正在大力投资云计算业务，而且增长迅速。去年，谷歌云计算业务的收入增长了 26%，并首次实现了营业利润。 由于反垄断审查和高利率使潜在买家保持观望，如果 Wiz 的交易达成，它将成为近期最大的技术交易之一。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406013.html 封面来源于网络，如有侵权请联系删除

近日，谷歌宣布，将对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞赏金提高五倍，单个安全漏洞的新最高奖励金额为 15.15万美元。 谷歌表示：随着时间的推移，我们的系统已经变得更加安全，因此想要发现漏洞比之前更加困难，可能需更长的时间。鉴于此，我们将把奖励金额提高5倍。 如果在我们最敏感的产品中发现 RCE，奖励金额为 10.1万美元，如果报告质量优异，则奖励金额为 1.5 倍 ，也就是15.15万美元。 自7 月 11 日 00:00开始提交的漏洞报告均有资格使用新的奖励机制，获得相应漏洞赏金。 除了提供更高的报酬外，该公司最近还扩大了支付选项，包括通过 Bugcrowd 收取报酬的可能性。 谷歌 VRP 规则中更新的 “奖励金额 “部分提供了有关谷歌更改奖励金额和新支付结构的更多信息。 来源：谷歌 谷歌 VRP 的最新进展 上周，谷歌推出了 kvmCTF，这是 2023 年 10 月宣布的一项新的 VRP，旨在提高基于内核的虚拟机（KVM）管理程序的安全性。kvmCTF 专注于 KVM 管理程序中的虚拟机可触及漏洞，并为完全虚拟机逃逸漏洞提供 25 万美元的悬赏金。 一年前，该公司还将 Chrome 浏览器沙箱逃逸链漏洞的奖励提高了两倍。 自 2010 年推出漏洞奖励计划（VRP）以来，谷歌已向报告了 15000 多个漏洞的安全研究人员支付了 5000 多万美元的赏金。 仅去年一年，谷歌就支付了1000万美元，其中最高的赏金支付给了一名赏金猎人，他获得了11.33万美元。 有史以来最高的 VRP 赏金为 60.5 万美元，是 2022 年支付给 gzobqq 的，因为他报告了安卓漏洞链中的五个安全漏洞。2021年，同一位安全研究人员报告了另一个重要的安卓漏洞链，获得了 15.7 万美元的赏金。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405804.html 封面来源于网络，如有侵权请联系删除

近日，谷歌对其高级保护计划（APP）进行了重大改进，专门针对高风险用户推出了通行密钥，为传统物理安全密钥提供了一个替代方案，从而提升账户的安全性。 此前，想要加入谷歌高级保护计划的用户都需要一个物理安全密钥。但如今这个密钥为用户保护账户安全提供了一种更灵活、更方便的选择，尤其是对那些无法立即拿到实体钥匙的人。 据高级保护计划产品负责人 Shuvo Chatterjee 和隐私安全与安全合作伙伴 Grace Hoyt 称，这一更新允许高风险用户选择通行密钥作为他们的验证方法，与实体钥匙一起使用或代替实体钥匙。 用于高级保护程序 (APP) 的 Google 密钥 来源：Google 谷歌 谷歌密钥采用 FIDO 身份验证标准，可确保强大的安全性，防止网络钓鱼和未经授权的访问尝试。与密码相比，它们的设计更快捷、更方便，可利用生物识别技术，如指纹或面部扫描或 PIN 码进行验证。这使它们不仅安全，而且方便用户，减少了对记忆或输入密码的依赖。 Shuvo 和 Grace 详细阐述了这次更新的意义，他们说：现在高风险用户均可以注册高级保护计划，使用密码匙来保护自己的账户安全，这无疑为他们提供了一种更简化、更便捷的方式。 高级保护计划本身是谷歌最安全的账户保护产品，专为容易受到复杂网络威胁的个人，如记者、政治活动家和人权工作者量身定制。它通过要求严格的身份验证措施来抵御网络钓鱼、恶意软件和欺诈性访问尝试等常见攻击。 如何使用谷歌通行证 要使用密匙注册，用户首先需要确保其设备和浏览器的兼容性。然后用户可以访问谷歌高级保护计划的注册页面，选择 “开始”，按照屏幕上的说明使用密码或物理安全密钥完成设置。注册时还需要提供电话号码或电子邮件等恢复选项，以便在必要时恢复账户。 除了加强用户安全，谷歌还宣布与 Internews 建立合作伙伴关系，旨在为全球记者和人权工作者提供额外的安全支持。这一举措将利用 Internews 遍布亚洲、拉丁美洲和欧洲 10 个国家的广泛安全合作伙伴和培训师网络。 谷歌通过此次合作践行了其扩大关键在线安全工具和资源的使用范围来支持高风险个人的承诺，也是对现有项目（如 “盾牌项目”）以及与 “保卫数字运动”（Defending Digital Campaigns）和 IFES 等组织合作开展的各种安全培训项目的补充。 谷歌在高级保护计划中引入密钥，这标志着谷歌在加强高风险用户的在线安全方面迈出了重要一步。通过提供物理安全密钥的多功能替代方案，谷歌的账户保护更加方便易用，同时也加强了其对面临网络风险的个人的保护。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405698.html 封面来源于网络，如有侵权请联系删除

2023 年 10 月，为提高基于内核的虚拟机（KVM）管理程序的安全性，谷歌推出一项新的漏洞奖励计划（VRP）——kvmCTF。 据悉，KVM 是一个开源管理程序，目前已有超过 17 年的发展历史，是消费者和企业环境中的一个重要组件，为安卓和谷歌云平台提供动力。作为 KVM 的积极和重要贡献者，谷歌开发了 kvmCTF 作为一个协作平台，帮助识别和修复安全漏洞。 与谷歌针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样，kvmCTF 的重点是基于内核的虚拟机（KVM）管理程序中的虚拟机可触及安全漏洞，参加该计划的安全研究人员将获得一个可控的实验室环境，以便其展示其捕获可利用安全漏洞的标志。 值得注意的是，与其他漏洞奖励计划不同，kvmCTF 仅仅专注于零日安全漏洞，不会奖励针对已知漏洞的漏洞利用。kvmCTF 的奖励级别如下： 完全虚拟机逃逸：25 万美元； 任意内存写入：100000 美元； 任意内存读取：50000 美元； 相对内存写入：50000 美元； 拒绝服务：20000 美元； 相对内存读取：10000 美元。 谷歌软件工程师 Marios Pomonis 表示，参赛者可以预约访问客户虚拟机的时间段，并尝试执行客户对主机攻击，但是其攻击的目的必须是利用主机内核 KVM 子系统中的零日漏洞。如果攻击成功，“攻击者”将获得一个标志，以证明其成功利用了安全漏洞。kvmCTF 计划会根据攻击的严重程度决定奖励金额的大小。（注意：只有在上游补丁发布后，谷歌才会收到已发现零日漏洞的详细信息，以确保与开源社区同步共享信息） 最后，谷歌方面强调，在开始参与 kvmCTF 计划前，参与者必须查看、了解清楚 kvmCTF 的各项规则，其中包括有关预订时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规行为映射到奖励层级的信息，以及报告漏洞的详细说明。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405089.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，谷歌正在开发一项不受限制的 WebUSB 新功能，可允许受信任的隔离网络应用程序绕过 WebUSB API 中的安全限制。 WebUSB 是一种 JavaScript API，能够让网络应用程序访问计算机上的本地 USB 设备。作为 WebUSB 规范的一部分，某些接口，比如HID、大容量存储、智能卡、视频、音频/视频设备和无线控制器会受保护，不能通过网络应用程序访问，以防止恶意脚本访问潜在的敏感数据。 此外，WebUSB 规范还包括一个阻止列表，禁止通过 API 访问的特定 USB 设备，如用于多因素身份验证的 YubiKeys、Google Titan 密钥和 Feitian 安全密钥。 谷歌目前正在测试的 “无限制 WebUSB “功能，允许隔离的网络应用程序访问这些受限制的设备和接口。谷歌在 Chrome 浏览器的状态更新中指出：“WebUSB 规范定义了一个易受攻击设备的屏蔽列表和一个受保护接口类的列表，这些设备和接口类被禁止通过 WebUSB 访问。有了这项功能，拥有访问 ‘usb-un-restricted’ 权限策略功能的隔离网络应用程序将被允许访问这些列表中的设备和受保护的接口。” 独立网络应用程序是指不托管在实时网络服务器上，而是打包成网络捆绑包（Web Bundles）、由开发人员签名并分发给最终用户的应用程序。这些应用程序通常供公司内部使用。为使其正常运行，这些网络应用必须拥有使用 “USB-unrestricted “功能的权限。 当具有该权限的应用程序试图访问 USB 设备时，系统会首先检查该设备是否在易受攻击设备的拦截列表中。如果是，该设备通常会从访问列表中移除。但使用 “usb-unrestricted “权限的网络应用程序可以绕过这一限制。 这一功能无疑会让受信任的隔离网络应用程序能够访问更广泛的 USB 设备，从而在受信任的环境中实现更多功能。谷歌表示，它计划在将于 2024 年 8 月发布 Chome 128 版本中对其进行测试。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404867.html 封面来源于网络，如有侵权请联系删除