网易科技讯 10月9日消息，据美国媒体报道，谷歌将遇到与Facebook一样的情况，Google+存在的安全漏洞允许第三方开发者访问用户资料，这种情况从2015年就出现，但谷歌直到今年三月才发现并修复，而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时，这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上，谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露，虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示，谷歌认为”可能导致我们成为关注焦点甚至替代Facebook，虽然后者一直未摆脱Cambridge Analytica丑闻困扰”，因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施，包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务，用户可在十个月内保存数据，谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度，第三方应用访问用户数据时必须每次都要确认，而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”，包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认，“这次评估确认了我们以前就知道的情况：虽然我们的工程团队这么多年在开发Google+上投入很多，但没有获得广泛的消费者或开发者认可，用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年，而且直到今年三月才被发现，是在今年5月欧洲GDPR法规生效前，因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是，G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题，可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查，这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评，因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源：网易科技，封面源自网络；

近日，谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink。一直以来，加密技术就是保护用户数据的有效手段，但是加密技术涉及到了非常艰深的密码学知识，开发者如果想要理解如何正确去实施密码学，这个过程将会花费他们大量时间去研究目前积累了数十年的学术文献。在当下高强度的开发工作下，显而易见，通常开发者都难有这样富足的时间。这样就给产品的安全带来了致命威胁，怎么办呢？ Google 为此开发了一款多语言、跨平台的加密软件库，用以帮助内部开发人员提供安全的加密代码。谷歌介绍，在内部，Tink 已经被用于保护许多产品的数据，如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源，此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布，谷歌为开发者介绍了它的特性、意义与使用示例等内容。 谷歌描述，Tink 旨在提供安全、易于正确使用且难以滥用的加密 API，它建立在现有安全相关的库之上，如 BoringSSL 和 Java Cryptography Architecture，但谷歌专门的团队 Project Wycheproof 发现了这些库中的一些弱点，Tink 进行了跟进，使之更加安全。 使用 Tink，许多常见的加密操作，如数据加密、数字签名等只需几行代码就可以完成，以下是使用 Java 中的 AEAD 接口加密和解密的 demo： import com.google.crypto.tink.Aead;    import com.google.crypto.tink.KeysetHandle;    import com.google.crypto.tink.aead.AeadFactory;    import com.google.crypto.tink.aead.AeadKeyTemplates;    // 1. Generate the key material.    KeysetHandle keysetHandle = KeysetHandle.generateNew(        AeadKeyTemplates.AES256_EAX);    // 2. Get the primitive.    Aead aead = AeadFactory.getPrimitive(keysetHandle);    // 3. Use the primitive.    byte[] plaintext = ...;    byte[] additionalData = ...;    byte[] ciphertext = aead.encrypt(plaintext, additionalData); Tink 希望消除尽可能多的潜在误用。例如，如果底层加密模式需要 nonce（密码学中只被使用一次的任意或非重复的随机数），但重用 nonce 的话会产生安全问题，那么这时 Tink 将不允许用户传递 nonce。 Tink 的功能很多，大概有如下几个方面： 可以安全抵御选择密文攻击，允许安全审计员和自动化工具快速发现那些与安全要求不匹配的代码。 隔离了用于潜在危险操作的 API，例如从磁盘加载明文密钥。 为密钥管理提供支持，包括密钥轮换和逐步淘汰已弃用的密码。 可以通过设计进行扩展：可以轻松添加自定义加密方案或内部密钥管理系统，以便与 Tink 的其它部分无缝协作。Tink 的任何部分都难以更换或移除，所有组件都是可组合的，并且可以以各种组合进行选择和组合。例如，如果只需要数字签名，则可以排除对称密钥加密组件，以最大限度地减少应用程序中的代码大小。 这个开发库为广大开发者带来了极大便利，如果你还没体验过，赶快去试试吧： https://github.com/google/tink       稿源：开源中国，封面源自网络；

安全公司 Palo Alto 的一份报告指出，有 145 个 Google Play 应用程序被恶意的 Windows 可执行文件感染，在其向 Google 安全小组报告了调查结果后，谷歌从 Google Play 中删除了所有受感染的应用。 值得注意的是，受感染的 APK 文件不会对 Android 设备本身构成任何威胁，因为这些嵌入式 Windows 可执行二进制文件只能在 Windows 系统上运行。而这些 APK 文件之所以会被感染，原因在于 APK 开发者所使用的 Windows 系统已经被恶意程序感染，也就是说开发者在被感染后，不知不觉将恶意程序感染到其开发的 APP 上了。这种通过在开发生命周期中隐藏恶意程序，利用软件开发人员来实施大规模攻击的策略，在此之前已经有过案例，如 KeRanger、XcodeGhost 和 NotPetya 等，对软件供应链构成严重威胁。 大多数受感染的 APP 上架于 2017 年 10 月到 11 月之间，这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP 中，有几个甚至有超过 1000 的安装量和 4 星评价。 报告中指出，在这些受感染的应用程序中，一个 APK 可能包含多个不同位置的恶意 PE（Portable Executable）可执行文件，它们的文件名不同，并且还以“Android.exe”、“my music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个 PE 文件比较突出，仅它们就覆盖了所有受感染 APK，主要功能是记录键盘输入，以获取信用卡号、社会保险号和密码等敏感信息。 读者也不用过于担心，Palo Alto 已经分析出了恶意 PE 文件在 Windows 系统上执行时会产生以下可疑活动： 在 Windows 系统文件夹中创建可执行文件和隐藏文件，包括复制自身 更改 Windows 注册表以在重启系统后进行自启动 试图长时间进入睡眼状态 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动 如果在自己的电脑中发现这些可疑行为，那么请及早排查，避免进一步受伤害。   稿源：开源中国社区，封面源自网络；

据外媒报道，昨日，谷歌公布了一项惊人的统计数据，这家公司指出，自 2017 年年初开始，其 8.5 万名职工的工作账号未曾遭到过泄露。作为一家全球性的互联网巨头公司，按理说它会是钓鱼攻击的主要目标之一，那这家公司究竟是如何做到这点的呢？ 这是因为谷歌开始要求其员工使用硬件安全密匙进行双重身份认证。 如今，双重认证已经变得非常普遍，但并非所有方法都是一样安全的。像基于 SMS 的双重认证，其肯定比只使用密码保护账号更安全，但它却存在漏洞。而物理密匙现在则被广泛认为是一种更加安全的双重认证，谷歌于昨日提出的主张就支持了这一观点。 对此，当看到谷歌开始涉足安全密匙业务领域也就不足为奇了。今日，这家公司发布了一款叫做 Titan 的新产品，这是一款兼容 FIDO 的物理密匙，它可用来保护支持该硬件的账号。眼下，来自世界各地的大型网站都已经支持通过安全密匙进行双重认证的方式，包括 Facebook、Twitter。 据了解，Titan 将有两个版本：USB 版和蓝牙版。USB 版，很显然需要将设备插到电脑的 USB 端口展开认证，而蓝牙版则用于移动设备的无线认证。获悉，两款密匙设备的套装价将在 50 美元左右，单独购买的话售价大概是 20 美元或 25 美元。 目前，Titan 只适用于 Google Cloud 用户–他们可以在注册后免费试用–但谷歌表示，他们将很快通过 Google Store 向所有人提供这项服务。   稿源：cnBeta.COM，封面源自网络；  

在 7 月 24 号发布的 Chrome 68 中，Google 引入了一项重大的变化。当加载非 HTTPS 网站时，该浏览器的处理方式会更加审慎。据悉，只要遇到潜在不安全的站点，Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响，但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法，因为这项老旧的技术未对数据进行加密。   在之前版本的 Chrome 浏览器中，Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”，并在地址栏上凸显一个标记。 然而现在的情况是，Google 突然加快的步伐，彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营，并抛出安全警示。 在官方支持页面上，Google 解释到： 过去几年中，我们一直主张站点采用 HTTPS，以提升其安全性。去年的时候，我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始，随着 Chrome 68 的发布，浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之，从 Chrome 68 开始，这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。   稿源：cnBeta，封面源自网络；

就当美国人民欢庆独立日的时候，诈骗者们仍未停下他们的脚步。据 Ars Technica 报道，Google Chrome 浏览器中的一个漏洞，竟然再次被骗子们给利用，以传播给不知情的用户。早在 2 月份的时候，Malwarebytes 就警告称，诈骗者正在利用冻结浏览器、同时试图用虚假的报错信息说服用户“给微软打电话”，以忽悠受害者寻找所谓的“技术支持”。 Chromium Bug 追踪器上的一个页面显示，在最初的报告发布后不久，Google 就已经在 Chrome 65 中修复了这个问题。但现在看来，该漏洞似乎又在 Chrome 67 上重现了。 更糟糕的是，随着 bug 的再生，欺诈者们也再次熟练地耍起了同样的伎俩。下图左侧就是欺诈者通过冻结 Chrome 浏览器标签页伪造的报错信息，而右侧可见系统资源被大量消耗。 对于一位在互联网上征战多年的老鸟来说，显然不太可能被这种低级骗术给撂倒： 但与其它类似的弹出式窗口不同，本案例可反复将文件保存到硬盘上，从而快速让浏览器失去响应，以至于无法看到事情的发生。 不幸中招之后，浏览器会被冻结，且用户无法关闭任何窗口。 如果你碰巧遇到了这种情况 —— 无论是不小心访问了一个被黑客入侵的、或是一个带有恶意广告的网站 —— 请记住都不要惊慌、也不要按照所谓的“错误提示”去操作。 只要你拨打了屏幕上显示的这个号码，就会落入预先设置好的诈骗套路 —— 比如索取你的信用卡信息（正经的机构显然不会如此赤裸裸地操作）。 ● 正确的做法是，如果你是 Windows 用户，请通过 Ctrl-Alt-Del 组合键调出任务管理器，然后强制结束 Chrome 浏览器进程。 ● 如果你是 Mac 用户，请使用强制退出（Force Quit）来关闭失去响应的 Chrome 浏览器。 需要指出的是，尽管当前这一漏洞似乎仅影响 Chrome，但 Firefox、Brave、Opera 等浏览器用户也不该掉以轻心。有趣的是，IE 和 Microsoft Edge 两款浏览器竟然对此免疫。 最后，Google 和 Mozilla 都向 Ars Technica 表示，他们正在对此事展开调查。   稿源：cnBeta，封面源自网络；

谷歌因为被控“秘密追踪和整理”440万英国iPhone用户的信息而在当地高等法院遭到起诉，索赔额高达32亿英镑（约合43亿美元）。 这起集体诉讼由Which?公司前总监理查德·劳埃德（Richard Lloyd）领头，他们指控谷歌在2011年8月至2012年2月期间绕过苹果iPhone版Safari浏览器的隐私设置，通过收集的信息对用户进行分类，以供广告主使用。 在周一举行的听证会上，劳埃德的代理律师休·汤姆林森（Hugh Tomlinson）表示，谷歌收集的信息包含种族、身心健康、政治倾向、性别、社会阶层、财务、购物习惯和地理数据。这些信息随后被“汇总”，而用户则会被分成“足球爱好者”或者“时事爱好者”，以供广告主精准定位。 他表示，这些数据是通过对iPhone浏览信息的“秘密追踪和整理”收集的。这种活动被称作Safari Workaround，早在2012年就被一位博士研究员曝光。汤姆林森还表示，谷歌已经支付3950万美元在美国和解了与此有关的官司。谷歌在2012年因此遭到美国联邦贸易委员会（FTC）罚款2250万美元，并向美国37个州支付1700万美元。 劳埃德在听证会前表示：“我认为谷歌的所作所为是违法行为。他们的行为影响了英格兰和威尔士的数百万人，我们要求法官确保他们在我们的法庭上承担责任。” 劳埃德领导的组织名叫“谷歌你欠我们的”（Google You Owe Us），他们希望至少为大约440万英国iPhone用户索赔10亿英镑。法院文件则显示，该组织最多可能寻求32亿英镑索赔，也就是每人750英镑。 谷歌则认为这种集体诉讼并不合适，不应该继续推进。该公司的律师表示，没有任何迹象表明Safari Workaround获得的任何信息被第三方获取。 谷歌还认为，不可能判断具体哪些人可能受到影响，因此这一主张没有成功的可能。谷歌律师安东尼·怀特（Anthony White）表示，劳埃德的目的是“追求问责和惩罚活动”，而不是为所有受到影响的人索赔。 “用户的隐私和安全对我们至关重要。本案牵扯的事件发生在6年多以前，我们当时就已经解决了。”谷歌英国公关主管汤姆·普雷斯（Tom Price）说，“我们认为这起官司没有依据，应当被驳回。我们提交了证据支持这一观点，希望向法院说明我们的情况。”   稿源：，稿件以及封面源自网络；

据外媒 bleepingcomputer 5月17日报道，谷歌正计划停止在地址栏中标记 HTTPS 页面为“安全”站点，换句话说，在没有发现异常的情况下，所有 HTTPS 的站点都会默认为安全，此举将于今年9月份发布的Chrome 69生效。 Chrome安全产品经理Emily Schechter表示，该公司现在可以通过HTTPS实现这一举措，因为Chrome的大部分流量都是通过HTTPS实现的，因此无需再将用户的注意力吸引到“安全”指标。 相反，Chrome将专注于突出显示用户访问不安全的HTTP网站时的情况。这就是为什么Google将把所有的HTTP网站都标记为“不安全”，这项举措从Chrome 68开始，将于7月发布。 此外，Google计划在Chrome 70中改进“不安全”指标，并增加一项动画，只要用户在 HTTP 网站上的表单中输入数据，就会将“不安全”文本变为红色。 这些更新是Google“HTTPS 100％”计划的一部分，最终目的是让加载到 Chrome 中页面都通过 HTTPS 协议。 “我们希望这些变化能够继续为安全使用网页铺平道路，”Schechter说。 “HTTPS比以往更便宜，更容易，并且可以解锁强大的功能 – 所以不要等待迁移到HTTPS！”   稿源：雷锋网，编译：郭佳，封面源自网络；

北京时间5月15日凌晨消息，今年三月份时有消息称，谷歌正和美国军方合作，即利用机器学习技术分析无人机采集的视频数据。有部分谷歌员工自那时起就一直抗议公司的该决定。很多员工都曾在一次请愿活动中对该合作关系表达了不满，而有一部分员工则开始放弃此次抗议。 谷歌员工认为此次与美国军方合作的机器学习项目有违该公司长期以来坚持的信条，即“不作恶”。该项目名称为Project Maven，旨在利用机器学习技术识别无人机采集到的视频中的物体，该任务对于机器学习技术来说很简单，且只需很少的人员用于评估识别结果。 据彭博社报道，今年四月份谷歌公司内部发起了一次向该公司首席执行官桑达尔·皮查伊（Sundar Pichai）的请愿活动，要求他取消与军方的合作项目并承诺不开发“军事软件”，该请愿活动当天就获得了超过3000名员工的签名。 而与此同时，据Gizmodo报道称，已经有十多名员工退出了此次抗议活动。他们的理由是此次使用的机器学习技术TensorFlow是开源的，而且军方可能已经用上了。另外，即使谷歌放弃这次合作，军方也会和其他科技公司进行合作。 谷歌承认公司内部对于该合作关系的担心确实存在，并正在制定“开发和使用机器学习技术时需遵守的条款和安全政策”。然而，到目前为止该条款还没制定出来。 另外，随着政府和军方为实现云服务和人工智能技术，在科技公司上花的钱越来越多，皮查伊需要权衡人才留存和政府关系间的利弊。谷歌云服务在最近几年中被越来越多的企业采用，也打入了部分政府部门市场。   稿源：，稿件以及封面源自网络；

本周四Google发布了Chrome 66稳定版维护更新，最新版本号为v66.0.3359.170，目前已经面向Linux、Mac和Windows三大平台开放，重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞，包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。 目前Google并未对外披露具体有多少用户受到这些漏洞影响，官方日志中写道：“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。” 除了上文提及的安全漏洞之外，Chrome 66.0.3359.170同时还包含了其他大量修复，因此推荐Chrome用户尽快完成升级，避免被黑客有机可乘。 Stable 稳定版 32位 最新版本：66.0.3359.170，文件大小：46.457MB，查询时间：2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1：D41B3356256A232D6891CC86C1C616557BD4AE59， SHA256：35BAF449DC70849EEB6B0DF3F933429422527A5844B7F1F3DFAFD5B1EABF2CD1 Stable 稳定版 64位 最新版本：66.0.3359.170，文件大小：46.879MB，查询时间：2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1：D49EE37219DF6972C8B98A2233D3C5DA617F17E1 SHA256：8E0F91236CDC5E8A4EEB529551806890E96D745DA451556BEC8DEE6803D268DE   稿源：cnBeta，封面源自网络；