趋势科技在本周三表示发现了一种新的 Android 挖矿恶意软件 HiddenMiner，它可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 （通常在 SLocker Android 勒索软件中看到的技术）。另外，由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器，这意味着一旦它开始执行挖矿进程，便会一直持续下去，直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性，这意味着它很可能会持续挖掘 Monero，直到设备资源耗尽。根据研究人员的说法，HiddenMiner 是在第三方应用商店发现的，大部分受害用户都位于中国和印度。 HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似，不仅如此，HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。 研究人员通过进一步钻研 HiddenMiner，发现 Monero 矿池和钱包与恶意软件连接，并获悉其中一家运营商从钱包中提取了 26 XMR（截至 2018 年 3 月26 日价值为 5,360 美元）。 图 1 一个 Monero 钱包地址状态的屏幕截图 感染链与技术分析 HiddenMiner 伪装成了合法的 Google Play 商店应用更新程序，使用了与 Google Play 商店相同的图标。HiddenMiner 随着 com.google.android.provider 弹出，并要求用户以设备管理员身份激活它。一旦获得许可，HiddenMiner 将在后台开始挖掘 Monero。 图 2 恶意应用程序的屏幕要求用户以设备管理员身份激活它 HiddenMiner 使用多种技术将自己隐藏在设备中，例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活，它将通过调用 “ setComponentEnableSetting（）”从应用程序启动器隐藏自己。需要注意的是，恶意软件会自行隐藏并自动以设备管理员权限运行，直到下一次设备引导。 DoubleHidden Android 的广告也采用了类似的技术。 图 3 安装后的空应用程序标签和透明图标（左），然后一旦授予设备管理权限就会消失（右） 除此之外，HiddenMiner 还具有反仿真功能，可绕过检测和自动分析。它会通过滥用 Github 上的 Android 模拟器检测器来检查自身是否在模拟器上运行。 图 4 代码片段显示了 HiddenMiner 如何绕过沙箱检测和 Android 模拟器 图 5 代码片段显示了 HiddenMiner 如何挖掘 Monero 在 HiddenMiner 的案例中，受害用户无法将 HiddenMiner 从设备管理员中删除，因为当用户想要停用其设备管理员权限时，恶意软件会利用技巧来锁定设备的屏幕。因为它利用了 Android 操作系统中发现的缺陷（不包括 Nougat 「Android 7.0」和更高版本的设备，因为 Google 通过减少设备管理员应用程序的权限解决了这一问题。） 的确，HiddenMiner 是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言，提高网络安全意识刻不容缓：仅从官方应用市场下载 APP 、定期更新操作系统以及授予应用程序权限时更加谨慎 等都能在一定程度上减小感染恶意软件的几率。 原文报告及解决方案： 《Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure》 消息来源：Trendmicro，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Google 今天发布了 Android Security 2017 年度回顾报告，这是该公司第四批试图向公众宣传Android各种安全层面及其缺陷的尝试。报告中最有趣的一个学习是通过机器学习检测到 60.3% 的潜在有害应用（PHA）。该检测是通过名为 Google Play Protect 的服务完成的，该服务在超过 20 亿台设备（运行 Android 4.3 及更高版本）上启用，以不断扫描 Android 应用程序的恶意活动。 Play Protect 使用各种策略来保护用户及其数据的安全，但机器学习在帮助抓住 PHA 方面特别有效。 谷歌今年早些时候分享的数据显示，2017 年因违反应用商店政策（同比增长 70%）而从 Google Play 中移除了超过 70 万个应用，该公司称其实施了机器学习模型和技术来检测应用程序内容和行为的滥用行为，如模仿，不适当的内容或恶意软件。 但该公司并未分享任何细节。现在我们了解到，每10次检测中就有6次是机器学习。Play Protect 每天都会自动审核超过 500 亿个应用 – 去年这些自动审核导致去除了近 3900 万个 PHA。Play Protect 每天至少自动检查 Android 设备上的 PHA 一次。 直到最近，Play 保护所需设备联机才能进行。当 Google 发现当设备处于脱机状态或网络连接丢失时，近 35% 的新 PHA 安装正在进行，它转而开发一项新功能来解决该问题。 2017  年 10 月，Play Protect 获得了离线扫描功能，该功能已经阻止了 1000 万次 PHA 安装。 稿源：cnBeta，封面源自网络；

面向 Pixel 和 Nexus 设备（尚处于支持状态），在最新发布的 2018 年 3 月 Android 安全补丁中共计修复了 37 处高危漏洞，涉及多媒体框架、内核、NVIDIA 和高通等多个组件。Google 表示：“ 在这些问题中最严重的是多媒体框架中的漏洞，使用精心制作的文件能够远程执行包含特权进程的任意代码。” 目前所有支持状态的 Pixel 和 Nexus 成为了首批获得 2018 年 3 月 Android 安全补丁的设备。运行最新 Android 8.1 Oreo 移动系统的 Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel C, Nexus 6P和Nexus 5X 设备通过 OTA（Over-the-Air）方式来获取本次补丁，而且用户可以通过 Google 网站下载工厂镜像。 稿源：cnBeta，封面源自网络；

据媒体报道，欧盟委员会针对 Facebook，Google 和其他科技公司发布了针对在线消除恐怖主义和其他非法内容的广泛指引。该委员会概述了适用于所有形式的非法内容建议，其中包括恐怖主义媒体，儿童性虐待，假冒产品，侵犯版权以及煽动仇恨和暴力的材料。这些建议还规定了更清晰的程序，更有效的工具以及更强有力的保障措施，包括人工监督和核查，因此可以恢复被错误标记的内容。 作为新指导方针的一部分，该委员会要求公司在被通知的一小时内删除恐怖主义内容。欧盟委员会指出这些内容在网上出现的头几个小时内最为有害，这些内容严重威胁到公民的安全，安全和基本权利。该委员会决定在提出立法之前，将这些操作性措施作为软性法律提出。 “ 华尔街日报 ” 指出，这些建议不具约束力，但仍可作为法庭上的法律参考。该委员会表示，他们的目的是为了更快地消除不适当的内容，加强公司，信赖旗帜和执法机构之间的合作。据 “ 华尔街日报 ” 报道，科技公司对这些指导方针可能会侵犯言论自由表示担忧。高管们表示，高科技公司已经已经满足欧盟在该地区现有所有要求。 稿源：凤凰网科技、PingWest ，封面源自网络；

早在 1 月份，Google Project Zero 研究员 Tavis Ormandy 就透露了 BitTorrent 应用程序传输中的一个漏洞，并解释其他客户端也可能存在类似的问题。在本周的一份新报告中，Ormandy 在 uTorrent 中发现了类似的安全漏洞，这是目前最受欢迎的 BitTorrent 客户端之一。 这个问题在 11 月份向 BitTorrent 报告，但就像安全研究人员预测的那样，母公司未能在 90 天窗口中发布补丁，因此本周安全人员将漏洞细节公布在互联网上。 该漏洞存在于 Web 界面中，允许用户远程控制 BitTorrent 客户端，如果被利用，它可能使攻击者能够控制易受攻击的计算机。然而，软件的开发者表示，它已经准备好了一个补丁程序，该补丁程序是最新 beta 版本的一部分，根据 TorrentFreak 的一份报告，它预计将在本周尽快推向稳定渠道。 但事实证明，与 Ormandy 共享的修补程序只覆盖原始漏洞，而不能完全解决漏洞。看起来像 BitTorrent 只是给 uTorrent Web 添加了第二个令牌。这并没有解决 DNS 重新绑定问题。目前，BitTorrent 尚未提供更新的声明，以分享计划发布新补丁程序的方式和时间。 稿源：cnBeta，封面源自网络；

在 IT 行业，“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下，当受害者访问到某个受影响的网站的时候，其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援，那么动手能力不佳的用户可能就要干瞪眼了。此前，这类攻击通常面向于微软 Windows 操作系统自带的旧款 IE 浏览器。但是现在，研究人员发现 Google Chrome 也会中招了。  据悉，新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件，让浏览器在数秒内就资源耗竭失去响应。 Malwarebytes 分析师 Jerome Segura 表示，该漏洞利用了 Blob 和 msSaveblob 接口（允许将文件保存到计算机本地的功能）。 当用户不小心踩到地雷（陷阱页面）的时候，就会触发大量的下载，让 CPU 和内存占用率瞬间飙升： ● Segura 将这些网页称作 “ 恶意广告 ”，且其能够通过标准的广告拦截器来应对。 ● 此外，如果下载已被触发，用户也可以调出 Windows 任务管理器，然后手动终结浏览器进程。 Segura 指出，虽然 Chrome 有着严格的批量突发下载限制（文件下载间隔时会征求用户许可），但这种攻击的速度实在是太快了，浏览器根本来不及弹窗询问。 我们在 Windows 7 / 10 系统上进行了测试，在弹出对话框之前，浏览器就已经被卡死了。 如上方动图最后一帧所示，当浏览器弹出是否取消下载的提示时，下载就已经完成了。 甚至在你想要 ‘ 抢先 ’ 关闭标签页的时候，浏览器就已经失去响应了。 在此期间，我们没有看到任何提示 ‘ 接受或拒绝 ’ 下载尝试的对话框。 虽然 Windows Defender 即将推出的更新可以移除恐吓型的应用，但目前不清楚该软件是否有能力拦截这类下载攻击。当然，我们也希望 Google Chrome 能尽快推出一个漏洞修复补丁。 稿源：cnBeta，封面源自网络；

Project Fi 是谷歌在2015年推出虚拟运营商服务项目，但是目前，它貌似遇到了麻烦。来自 Reddit 传出的消息，这周末谷歌的 Project Fi 在世界上许多国家和地区无法联网，这些地方包括加拿大、德国、中国香港、印度和日本。 一些用户说当重启手机或者切换飞行模式的时候，Project Fi 可以暂时能用，但是不超过2分钟又无法上网了。谷歌的团队已经意识到这个问题的出现，但是故障已经持续一天没有解决了。如此规模的数据终端发生的机会很小，但是对正在旅行的用户影响非常大。 谷歌 Project Fi 能够在蜂窝网络和 WiFi 热点之间切换，从而控制数据使用，并降低话费。 它会选择最强信号，在 Sprint、T-Mobile 两大网络以及逾 100 万个免费开放的 WiFi 热点间切换。服务的包月费为 20 美元，外加每 10 美元/1GB 的数据使用费。 稿源：cnBeta、快科技，封面源自网络

在 Google 旗下的 Project Zero 安全团队发现 Spectre 和 Meltdown 安全漏洞后，积极和科技圈内的其他厂商取得联系，迅速推进漏洞的全面修复。今天更新的 Chromium Wiki 页面上，Google 详细罗列了所有 Chrome OS 设备，以及它们是否已经修复了 Meltdown 漏洞。 页面上罗列了超过 140 款设备，表明了这些设备的内部代号、内核版本、架构，以及设备停止接收官方自动更新的截止日期。在页面上部分设备已经标记为停止支持，意味着 Google 不再为这些设备继续提供更新。 在 “ CVE-2017-5754 mitigations (KPTI) on M63 ？” 列上，标记了这款 Chromebook 是否会受到 Meltdown 漏洞影响，如果标记为 “ Yes ” 或者 “ not needed ”，那么自然也不需要担忧。 针对 Spectre 漏洞，Google 提供的保护则稍显复杂。Chrome OS 提供了称为 site isolation 功能，可以高效地降低该漏洞造成的伤害。如果想要激活这项功能，用户可以在 Chrome 地址栏上输入“ #enable-site-per-process ”，回车之后将这项功能标记为“ Enabled ”。 以上为列表部分截图 完整清单列表可访问：https://www.chromium.org/a/chromium.org/dev/chrome-os-devices-and-kernel-versions 稿源：cnBeta，封面源自网络；

去年的时候，Google 旗下 Project Zero 团队发现了一个由 CPU “ 预测执行 ” 导致的严重安全漏洞，而它也是一项被大多数现代处理器使用的性能优化方案。根据研究人员 Jann Horn 的演示，恶意攻击者可借此读取不该被它访问到的系统内存。某个未经授权的一方，可能在系统内存中读取到一些敏感信息，比如密码、加密密钥、或者在应用程序中打开的其它机密信息。 测试还表明，在一台虚拟机上发起的攻击，甚至能够访问到主机的物理内存。基于此，还可以获取在同一主机上、不同虚拟机的内存读取访问。 该漏洞影响许多 CPU，包括来自英特尔、AMD、ARM 的芯片，以及搭配运行的设备和操作系统。在获悉这种新型攻击的第一时间，谷歌安全和产品开发团队就积极动员了起来，以保护自家系统和用户数据。 万幸的是，谷歌现已更新了系统和受影响的产品，可以防止这类新型攻击。此外他们还与业内的软硬件制造商合作，帮助保护更广泛的客户，这些努力包括协作分析和开发新奇的缓解措施。 受到该漏洞影响的 Google 产品、以及它们当前的状态，可移步至这个页面查看： https://support.google.com/faqs/answer/7622138 鉴于这种攻击类型相当新颖，Google 只列出了当前已知的攻击方式和缓解措施。在某些情况下，用户和客户需要采取额外的步骤，才能确保他们已经用上了受保护的版本。 下面是当前已给出的产品清单：（未列出的 Google 产品需要用户自行采取额外的保护措施） ● Android（请更新至最新的安全补丁）； ● Google Apps / G Suite（含 Gmail、日历、网盘等）； ● Google Chrome（需采取部分额外措施）； ● Google Chrome OS（含 Chromebook）； ● Google Cloud Platform（需采取部分额外措施）； ● Google Home / Chromecast（无需采取额外措施）； ● Google Wifi / OnHub（无需采取额外措施）。 需要指出的是，这个列表和产品的状态可能随着新的进展而改变，必要的情况下，Google 安全团队会对这篇博客的内容进行修改和更新： https://security.googom/2018/01/todays-cpu-vulnerability-what-you-need.htmlleblog.c 稿源：cnBeta， 封面源自网络；

据外媒报道，Google 对针对新闻文章及新闻网站的政策作出了一次大改变，希望能在持续的 “ 假新闻 ” 之战中获得更大的胜算。获悉，该个搜索网站将不再显示来自那些错报或隐藏其原籍国的发布者的结果。这意味着那些试图冒充美国新闻网站的发行者将不会再出现在 Google 的搜索结果中。 很显然，Google 此举跟 2016 年美国大选存在关联。这家公司以及 Facebook 都因未在当时采取措施阻止错误信息传播而受到严厉批评。 Google 发言人在接受媒体采访时表示，政策的改变是为了反映不断变化的网络以及人们在网络上寻找信息的方式。Google 希望确保用户能够了解并看到其阅读新闻的来源。 不过新政策将不会影响到那些公开其原籍国的网站而只针对那些试图隐藏或隐瞒真实身份的网站。 稿源：cnBeta ，封面源自网络；