据外媒 8 日报道，黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后，Google 表示将强化 OAuth 协议以防止此类事件再度发生。 OAuth 协议允许第三方应用程序在未触及用户帐号信息（如用户名与密码）时，申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。 调查显示，Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件，其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面，然而这并非真实的 Google Docs 页面，而是由企图获取用户权限的黑客伪造所伪造的。此外，伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求，若成功获得用户许可，程序将自动向受害者联系人发送相同钓鱼邮件。 事实上，干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道，此次 Google 在收到首份钓鱼邮件报告后立即进行了处理，但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前，也只有不到 0.1％ 的 Gmail 用户受到此次攻击事件的影响。 原作者：Gabriela Vatu， 译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

密西根大学安全研究人员发现 Google 商店数百款应用程序存在安全漏洞，黑客可利用移动设备创建虫洞漏洞窃取安全凭证、隐私数据等、甚至可在众多 Android 设备上传送恶意代码。专家强调，不安全的移动应用程序使数百万智能手机开放端口面临安全风险。 报道称，这一漏洞将会影响开放端口的所有应用程序，并且由于开发团队不安全的编码习惯而无法正确管理这些应用程序。对此研究人员设计了一款名为 OPAnalyzer 的工具，通过扫描市面上超过 100,000 个 Android 应用程序发现有 410 个存在安全威胁，最终确认了 57 个应用程序的漏洞。 调查显示，这些应用程序已被下载 10 万 – 5000 万次，潜在影响较为严重，而其中至少有一款移动应用程序属于手机预装软件。安全专家发布的研究论文中表示这些漏洞或被利用于远程窃取私人信息、安全凭证或执行敏感操作（如安装和执行恶意代码等）。 原作者：Pierluigi Paganini， 译者：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，一群来自华盛顿大学网络安全实验室（ NSL ）的计算机专家发现，恶意攻击者可以欺骗 Google 的 CloudVision API ，这将导致 API 对用户提交的图片进行错误地分类。 近些年来，基于 AI 的图片分类系统变得越来越热门了，而这项研究针对的就是这种图片分类系统。现在，很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片，例如那些具有暴力性质或色情性质的图片，而基于 AI 的图片分类系统可以阻止用户提交并发布违禁图片。 虽然这种分类系统使用了高度复杂的机器学习算法，但是研究人员表示，他们发现了一种非常简单的方法来欺骗 Google 的 Cloud Vision 服务。 Google 的 Cloud Vision API 存在漏洞 他们所设计出的攻击技术其实非常简单，只需要在一张图片中添加少量噪点即可成功欺骗 Google 的 Cloud Vision API。其中的噪点等级可以在 10% 到 30% 范围内浮动，同时也可以保证图片的清晰度，而且这足以欺骗Google的图片分类 AI 了。 向图片中添加噪点其实也非常的简单，整个过程并不需要多么高端的技术，一切只需要一个图片编辑软件即可实现。 研究人员认为，网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外，Google 自己的图片搜索系统也使用了这个 API，这也就意味着，当用户使用Google进行图片搜索时，很可能会搜索到意料之外的图片。 解决这个问题的方法很简单 研究人员表示，修复这个问题其实跟攻击过程一样的简单，所以Google的工程师们完全没必要紧张。 为了防止这种攻击，Google 只需要在运行其图片分类算法之前，对图片中的噪点进行过滤就可以了。研究人员通过测试发现，在噪点过滤器的帮助下，Google 的 Cloud Vision API 完全可以对图片进行适当的分类。 后话 研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述，感兴趣的用户可以阅读这篇论文【传送门】。已经值得注意的是，这群研究人员在此之前也使用过类似的方法来欺骗 Google 的 Cloud Video Intelligence API【参考资料】。注：他们在一个视频中每两秒就插入一张相同的图片，最后 Google 的视频分类 AI 会根据这张不断重复出现的图片来对视频进行分类，而分类的依据并不是视频本身的内容。 文章转载自：FreeBuf.com，FB 小编 Alpha_h4ck 编译

Google 与俄罗斯监管机构达成了 780 万美元的反垄断和解协议，搜索巨人同意放松对 Android 内置搜索引擎的限制，同意与俄罗斯本土搜索引擎分享移动搜索市场的蛋糕。 Android 系统由两部分构成，开源的 AOSP 和闭源的 Google 服务，为了加强控制 Google 将越来越多的系统功能转移到 Google 服务中。俄罗斯反垄断机构在 2015 年裁决 Google 违反了法律。 这一裁决是俄罗斯本土搜索引擎 Yandex 投诉的结果。根据和解协议，Google 将允许 Android 用户改变默认搜索引擎。Google 还放宽了对 Android 默认应用的控制。 稿源：Solidot奇客；封面源自网络

去年 10 月份，Google 开始在美国和英国的 Google 新闻中突出显示经过事实检查的文章。现在这些文章将作为 Google 全球搜索的一部分获得特别的显示。以下是展开事实检查的例子，许多人声称希拉里·克林顿向俄罗斯出售铀材料，包括唐纳德·特朗普总统也是这么认为，不过，从今天开始，用户在 Google 当中搜索“ 希拉里·克林顿是否向俄罗斯出售铀 ”，Google 搜索结果页面会首先显示来自流行的事实检查网站的文章和判定。 比如 Google 这方面的算法认为 Snopes.com 网站是权威的事实检查网站，它就会首先显示 Snopes.com 网站对此事情的判断结果，而 Snopes.com 网站声称“ 希拉里·克林顿向俄罗斯出售铀 ”是假消息。如果用户不信任 Snopes.com， Google 也可以让用户换一批权威的事实检查网站。 Google 表示，任何在互联网上发布文章的网站都可以成为 Google 搜索结果的事实检查网站，只需在文章当中加入相关代码即可。但是是否成为 Google 认可的权威的事实检查网站，还需要 Google 专门的自动化算法来决定，Google 没有透露算法认可权威事实检查网站的依据或者条件。 稿源：cnBeta；封面源自网络

据外媒报道，根据 Google 的 2016 年网站安全状况报告显示， 2016 年被入侵的网站数量较 2015 年增长了 32％。Google 在博客文章中表示：“与 2015 年相比，我们发现在 2016 年被入侵的网站数量增加了大约 32％。我们预计这种趋势不会放缓。随着黑客的积极性变得越来越高及越来越多的网站没有及时更新，黑客将继续通过攻击更多的网站来获利。” 一方面，谷歌表示，申请重新审核他们网站的 84％ 网站管理员是成功清理被黑网站。另一方面，一个梯形数字表示 61％ 的被入侵网站的管理员甚至从未收到 Google 发出的他们网站被入侵的通知，因为他们的网站没有在 Google 的 Search Console 中注册并验证。Google 也借此机会提醒每位网站管理员注册 Search Console。 Google 正在进一步尝试通过为已经受到黑客攻击的网站创建清理指南来帮助网站站长。这样，网站管理员不仅可以减少工作量，而且还可以确保其网站在较短的时间内恢复正常运行。 Google 表示：“我们注意到，网站在被黑客入侵时经常受到类似的影响。通过调查相似之处，我们能够为特定的已知类型的黑客入侵行为创建清除指南。” 稿源：cnBeta；封面源自网络

互联网是一个了不起的工具，能帮助用户获取大量信息。但当这些信息涉及用户个人隐私及一些令人尴尬的内容时，它可能会对用户造成巨大的负担。十年前就已在欧洲扎根的“被遗忘权”概念旨在通过移除搜索结果中一些特定内容来保护用户隐私，最大限度得减少互联网上大量信息对个人未来造成的负面影响。现在，美国纽约州也提出了一项“被遗忘权”提案。 据悉，美国纽约州议员希望“被遗忘权”法案被添加到纽约州民权和民事实践法案的修正案中。这项提案一旦通过，Google 等搜索引擎在搜索用户请求 30 天内需要删除某些涉及个人隐私的信息。 这些信息需要是“不准确、不相关、 不充分或夸大的”。 Google 选择不对这项提案进行评论，但在过去曾经反对那些被要求修改搜索结果的想法。 稿源：cnBeta；封面源自网络  

Google 一直擅长分享其丰富的信息，包括将其全部捐赠给开源社区。这一次轮到了 E2EMail，一个实验性质的端到端加密系统。E2EMail 由 Google 开发，内置 JavaScript 内部开发的 JavaScript 加密库。它提供了一种通过 Chrome 扩展程序将 OpenPGP 集成到 Gmail 中的方法。消息的明文单独保留在客户端上。 E2EMail 在谷歌当前一个中央密钥服务器上进行测试，根据最近的密钥透明度公告显示，OpenPGP 方式的核心密钥坚实，可扩展，因此这种解决方案，取代了传统上与 PGP 一起使用的有问题的网络信任模型。 E2EMail 代码目前已经上传到 GitHub，每个人都可以访问查看代码。端到端加密被视为所有隐私问题的解决方案，可以避免政府监控，中间人攻击等。即使公司也可以通过尽可能最好地保护他们的通信来保护他们免受工业间谍侵害。 在过去几年中，尤其是在爱德华·斯诺登提供有关美国国家安全局的监听密码之后，越来越多的服务实施了端到端的加密服务，包括像 WhatsApp 和 Signal 这样相当知名的消息应用程序。 电子邮件服务，应用程序和社交网络都已开始关闭其数据流，以帮助用户和保护他们免受监视和网络威胁。话虽如此，端到端加密还没有到达互联网的所有角落。 稿源：cnBeta；封面源自网络

Google 发出警告，国家支持的黑客正试图窃取知名记者的账号密码。收到警告的记者包括了纽约杂志的 Jonathan Chait ，大西洋月刊多年来一直报道俄罗斯新闻的 Julia Ioffe ，Vox的创始人Ezra Klein，CNN 资深媒体记者 Brian Stelter，纽约时报记者 David Sanger，时报专栏作家/诺贝尔经济学家得主 Paul Krugman，雅虎华盛顿的 Garance Franke-Ruta 等等，收到警告的最晚时间是几天前，最早是几个月前。 POLITICO 报道称，黑客被怀疑来自俄罗斯。他们怀疑俄罗斯想要通过入侵电子邮件获取到能让记者尴尬的秘密。记者们担心在美国大选之后他们成为了下一批针对目标。 稿源：solidot奇客；封面源自网络

据外媒报道，日前，看起来谷歌不得不遵守由法官 Thomas Rueter 下达的客户邮件搜查令。据悉，该搜查令针对的是谷歌储存在海外服务器的数据。根据法官最新作出的判决，谷歌将需要提交其储存在美国之外的客户邮件数据，以便 FBI 展开一起欺诈案的调查工作。Rueter 法官指出，虽然这种要求谷歌提供海外服务器数据的行为可能涉及到隐私问题，但真正的隐私侵犯只出现在在美国境内公开的时候。 谷歌方面表示将对这一判决结果展开上诉，特别是微软先前得到的是一个完全相反的结果。去年 7 月，纽约美国第二巡回上诉法院作出判决，政府机构不能强制要求微软上交其储存在都柏林服务器的数据。几周前，该判决结果再度得到院方肯定。 据了解，谷歌已经有在向政府提交其储存在美国境内数据中心的数据，当然前提是要有来自法院的搜查令。这家公司在美国总共拥有 9 家数据中心，海外则有 6 家，分别在中国台湾、新加坡、爱尔兰、荷兰、芬兰、比利时。 稿源：cnBeta；封面：源自网络