近日，有安全研究人员警告称，有越来越多的网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施，进入企业员工的收件箱。 谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源HTML框架，旨在加快网页内容在移动设备上的加载速度。 AMP 网页托管在谷歌的服务器上，内容经过简化，并预先加载了一些较重的媒体元素，以加快交付速度。 在钓鱼邮件中嵌入谷歌 AMP URL 的目的是确保电子邮件防护技术不会因为谷歌的良好声誉而将邮件标记为恶意或可疑邮件。 AMP URL 会触发重定向到恶意钓鱼网站，这个步骤还额外增加了一个干扰分析的层。 谷歌AMP重定向到钓鱼网站，图源：Cofense 反钓鱼保护公司 Cofense 的数据显示，使用 AMP 的网络钓鱼攻击数量在 7 月中旬大幅飙升，这表明威胁行为者可能正在采用这种方法进行一些行动。 利用谷歌 AMP 实现隐身的钓鱼电子邮件，图源：Cofense Cofense在报告中解释说：在目前观察到的所有谷歌AMP URL中，约77%托管在google.com域名上，23%托管在google.co.uk域名上。 虽然 “google.com/amp/s/”路径在所有情况下都很常见，但阻止这种路径也会影响所有使用 Google AMP 的合法情况。不过，如果遇到了就直接打上标记，这可能是最合适的做法，至少可以提醒收件人警惕潜在的恶意重定向。 额外的隐蔽性 Cofense 称，滥用 Google AMP 服务的网络钓鱼行为者还采用了一系列额外的技术，这些技术共同帮助他们躲避检测并提高成功率。 例如，在 Cofense 观察到的许多案例中，威胁行为者使用基于图片的 HTML 电子邮件，而不是传统的文本正文。这样做的目的是混淆文本扫描仪，使其无法在邮件内容中查找常见的网络钓鱼术语。 基于图像的网络钓鱼电子邮件，图源：Cofense 在另一个案例中，攻击者使用了一个额外的重定向步骤，通过滥用 Microsoft.com URL 将受害者带到一个 Google AMP 域，并最终将其带到真正的钓鱼网站。 攻击者利用 Cloudflare 的 CAPTCHA 服务来阻止安全机器人对网络钓鱼网页进行自动分析，从而阻止爬网程序访问这些网页。 总之，如今安全工具想要捕捉并阻止网络钓鱼行为者越来越难了，因为他们采用了多种规避检测的方法。     转自Freebuf，原文链接:https://www.freebuf.com/news/373624.html 封面来源于网络，如有侵权请联系删除

云安全公司Orca Security在谷歌云构建（Google Cloud Build）服务中发现了一个关键的设计漏洞，该漏洞会让攻击者的权限升级，使他们可以在未经授权的情况下访问谷歌构件注册表（Google Artifact Registry）代码库。 该漏洞被称为 “Bad.Build”，可使威胁者冒充谷歌云构建管理的服务账户，针对构件注册表运行 API 调用，并控制应用程序映像。 这样，他们就可以注入恶意代码，从而在客户环境中部署恶意软件，导致潜在的供应链攻击。 Orca安全研究员Roi Nisimi表示：潜在的威胁可能是多种多样的，所有使用构件注册中心作为主要或次要镜像库的组织都应该警惕。 最直接的影响是破坏依赖于这些镜像的应用程序。这也可能导致 DOS、数据窃取和向用户传播恶意软件。正如我们在 SolarWinds 以及最近的 3CX 和 MOVEit 供应链攻击中所看到的那样，这可能会产生深远的影响。 Orca Security的攻击利用了cloudbuild.builds.create来升级权限，允许攻击者使用artifactregistry权限来篡改谷歌Kubernetes引擎（GKE）的docker镜像，并以root身份在docker容器内运行代码。 在 Orca Security 报告该问题后，谷歌安全团队实施了部分修复措施，撤销了默认云构建服务账户中与构件注册表无关的 logging.privateLogEntries.list 权限。 但是，这一措施并不能直接解决Artifact Registry中的底层漏洞，权限升级和供应链攻击风险依然存在。 因此，企业必须密切关注谷歌云构建服务账户的行为。应用 “最小特权原则”（Principle of Least Privilege）和实施云检测与响应功能来识别异常从而降低风险。 美国东部时间 7 月 18 日谷歌发表了如下声明： 我们创建了漏洞奖励计划，专门用于识别和修复类似的漏洞。我们非常感谢 Orca 和更多的安全社区参与这些计划。我们感谢研究人员所做的工作，并已根据他们的报告在 6 月初发布的安全公告中进行了修复。 参考链接：https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/     转自Freebuf，原文链接:https://www.freebuf.com/news/372456.html 封面来源于网络，如有侵权请联系删除

近日，谷歌开始针对Google Play上不断入侵的恶意软件采取反制措施，要求所有以机构名义注册的新开发者账户在提交应用程序之前提供一个有效的D-U-N-S号码。 这项新措施能有效提高平台的安全性和可信度，同时也能够有效遏制新账户提交恶意软件的行为。 通常情况下，Google Play上的恶意软件在提交审核时不包含危险代码或有效载荷，这些代码或有效载荷会在安装后通过更新获取。 虽然违规应用被举报后会从Play Store下架，其开发者也会被封杀。但对于他们来说，想再创建一个新帐户并以新的名称和主题提交相同的危险应用程序非常容易。 为了解决这个漏洞，从2023年8月31日开始，谷歌将要求所有创建新Play Console帐户的开发者必须提供有效的D-U-N-S号码。 D-U-N-S(数据通用编号系统)是由商业数据和商业分析公司Dun & Bradstreet分配给各企业的九位标识符，每个号码都是独一无二的。 向Dun & Bradstreet申请D-U-N-S号码的组织必须提交几份文件来完成验证信息，这个过程可能需要长达30天的时间才能完成。 D-U-N-S是全球公认的专有标准数据通用编号系统。同时，美国政府、欧盟委员会、联合国和苹果公司等均在使用该系统，其市场认可度极高，被认为是十分值得信赖的。 通过要求软件开发商提供D-U-N-S编号，谷歌还将加大恶意应用发行商在应用商店重新注册的难度，一旦被判定为恶意软件被驳回，再想要入驻该平台需重新成立一家新公司。 除上述内容外，谷歌还将更改Play Store应用条目的 “联系方式 “部分，将其更名为 “应用支持”，并增加更多有关开发者的信息。 以前这部分内容仅包含开发者的姓名、电子邮件和所在地，现在还将包括公司名称、完整的办公地址、网站URL和电话号码。 新“应用程序支持”部分的模型，图源：谷歌 这一变化将提高Goole Play服务的透明度，让用户能够更清楚地了解负责每个应用程序的公司。谷歌方面表示，他们将定期核实应用程序开发者提供的信息，以便将其纳入该部分。 如果他们发现任何不一致之处，他们将暂停该帐户在Play Store上发布应用的能力，最终在指定时间后删除现有应用。     转自Freebuf，原文链接:https://www.freebuf.com/news/372077.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，继奥地利、法国和意大利之后，瑞典数据保护监督机构警告境内公司不要使用 Google Analytics，原因是美国政府的监控可能带来安全风险。 针对 Google Analytics 发布安全警告，是在瑞典隐私保护局（IMY）对四家公司 CDON，Coop，Dagens Industri和Tele2 发起审计后做出的决定。 审计过程中，IMY 认为通过 Google Analytics 传输到美国的数据是瑞典民众的个人数据，这些数据可以与传输的其它“独特”数据关联起来。 谷歌对发送到美国进行处理的欧洲用户数据采取的所谓补充措施不足以将保护水平提高到所需的法律标准。包括谷歌使用IP地址截断（匿名化措施），在 Tele2 案件中，谷歌表示该公司没有澄清截断是在数据传输到美国之前还是之后进行的，因此未能证明“在最后八位字节被截断之前无法访问整个 IP 地址”。 IMY 当局还指出，这几家公司采取的安全技术措施不足以满足与欧盟/欧洲经济区内要求的保护水准。 瑞典勒令相关公司禁止使用 Google Analytics 最终，数据保护机构还对瑞典电信服务提供商 Tele2 处以 110 万美元的罚款，对当地在线市场 CDON 的处以 3 万美元的罚款。值得一提的是，目前瑞典当局已经勒令 CDON、Coop 和 Dagens Industri 停止使用 Google Analytics 。（据说 Tele2 是自愿停止使用该服务） 从案件细节来看，此次针对 Google Analytics 的调查是基于隐私非营利组织（noyb）提出的投诉，指控其违反了《通用数据保护条例》（GDPR）法律。案件处理的进程鉴于潜在的监控担忧，即存储在美国服务器中的数据可能会被该国情报机构访问，这种欧盟和美国的数据传输被发现是非法的。 早在之前，欧盟方便就已经表现出对美国是否侵犯其民众安全隐私的担忧，类似 Meta 被欧盟数据保护机构处以创纪录的 13 亿美元罚款，就是很好的证明。目前，欧盟和美国正在敲定一项新的数据传输安排，称为“欧盟-美国数据隐私框架”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/371152.html 封面来源于网络，如有侵权请联系删除

不仅仅是 Play 商店，Google还需要及时处理偷偷绕过其安全措施的恶意软件。 该公司刚刚从 Chrome 网上应用店中删除了 32 个恶意扩展程序，这些扩展程序的总安装次数似乎已达到 7500 万次。 据BleepingComputer 报道，在这些情况下，扩展程序通常会通过执行其预期功能来向用户隐藏其隐藏代码。 网络安全研究员 Wladimir Palant 此前写道，他在Google浏览器的 PDF 工具箱扩展中发现了混淆代码，该浏览器的 Chrome 网上商店评分为 4.2，用户超过 200 万。 Palant 写道，该代码允许“serasearchtop[.]com”网站向该扩展用户访问的所有网站注入任意 JavaScript 代码。 他解释说，该代码旨在在安装扩展后 24 小时激活，其可能的目的是注入广告。 在 PDF Toolbox 扩展中发现代码几周后，Palant 在后续文章中写道，他发现了 18 个使用类似代码的恶意浏览器扩展。 他们的用户总数为 5500 万，其中包括 Autoskip for YouTube（900 万活跃用户）、Soundboost（690 万）和 Crystal Ad block（680 万）。 在确认这些扩展包含恶意代码后，Avast 向 Google 报告了这些扩展。 这家网络安全巨头发现了其他类似的扩展，使总数达到 32 个，安装次数达到 7500 万。 虽然这个数字高得惊人，但安装数量可能被人为夸大了。 该理论基于 Chrome 网上应用店上可疑的低评论数量以及遇到恶意活动的人数与安装数量不一致的事实。 Avast 确认扩展程序的最终有效负载似乎是向人们发送不需要的广告的垃圾邮件的广告软件，以及显示赞助商链接、付费搜索结果和潜在恶意链接的搜索结果劫持者。 Google表示，报告的扩展程序现已从 Chrome 商店中删除。 任何仍然安装了扩展程序的人都应该停用或卸载它们。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7241167930732347904/ 封面来源于网络，如有侵权请联系删除

Google正在继续其在Play Store的数据安全工作，要求开发者为用户提供删除其账户数据的方法。目前，Play Store的数据安全部分只是让开发者声明：”你可以要求删除数据”。今后，允许创建账户的应用程序（在应用程序内），”也必须允许用户要求删除其账户”。 这种删除选项必须在应用程序内部和外部（如网络）”易于发现”。后面的要求意味着”用户可以要求删除账户和数据，而不必重新安装一个应用程序”。 开发者将不得不向Google提供这些链接，由Play Store直接在应用列表中呈现该URL。   规则原文如下： Google规定，Play开发者必须”删除与该应用账户相关的用户数据”。 暂时停用账户、禁用或”冻结”应用账户并不符合删除账户的条件。如果出于安全、防止欺诈或遵守法规等合法原因需要保留某些数据，开发者必须明确告知用户的数据保留做法（例如在隐私政策内）。 影响到全球所有的应用程序，考虑到开发人员必须投入的工作，Google正在慢慢推出这一政策要求： 作为第一步，我们要求开发者在12月7日前在你的应用程序的数据安全表格中提交对新的数据删除问题的答案。明年年初，Google Play用户将开始在应用商店列表中看到反映的变化，包括数据安全部分刷新的数据删除徽章和新的数据删除区域。 政策中还包括让开发者申请延期（通过Play Console），直到2024年5月31日。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218663387306131972/ 封面来源于网络，如有侵权请联系删除

上周五，Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新，以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做，请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本，在Windows上至少更新到108.0.5359.94/.95。 Google的Prudhvikumar Bommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。 正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。 “对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。” 这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。 当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的”关于Chrome”。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7172756651026907659/ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌为Chrome网络浏览器推出了紧急安全更新，以解决一个新的零日漏洞，该漏洞在野外被积极利用，追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日，谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节，以允许用户更新其Chrome安装。无论如何，黑客可以利用该漏洞来实现任意代码执行。 谷歌通过发布适用于Mac和Linux的108.0.5359.94以及适用于Windows的108.0.5359.94/.95修复了零日漏洞，该公司计划在未来几天/几周内推出。 CVE-2022-4262 是谷歌今年解决的第九个积极利用的Chrome零日漏洞，以下是这家科技巨头修复的其他零日漏洞列表： CVE-2022-4135（11月25日）– GPU中的堆缓冲区溢出漏洞。 CVE-2022-3723（10月28日）– V8 Javascript引擎中的类型混淆漏洞。 CVE-2022-3075（9月2日）– Mojo运行库集合中的数据验证不足。 CVE-2022-2856（8月17日）– Intents中不可信输入的验证不足。 CVE-2022-2294（7月4日）– Web实时通信 （WebRTC） 组件中的堆缓冲区溢出。 CVE-2022-1364（4月14日）– V8 JavaScript引擎中存在的类型混淆漏洞。 CVE-2022-1096（3月25日）– V8 JavaScript引擎中的类型混淆漏洞。 CVE-2022-0609（2月14日）– 在动画组件中释放问题后使用。 建议Chrome用户尽快更新其安装，以消除试图利用零日漏洞的攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据BleepingComputer 11月30日消息，谷歌的威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的漏洞从事间谍活动，目前漏洞已经得到修复。 谷歌TAG表示，这家总部位于巴塞罗那的软件公司虽然官方宣称是一家安全解决方案提供商，但其实也从事商业监控活动。 该公司使用Heliconia 框架，利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞，提供了将有效载荷部署到目标设备所需的所有工具。该利用框架由多个组件组成，每个组件都针对目标设备软件中的特定安全漏洞： Heliconia Noise：一个 Web 框架，用于部署 Chrome 渲染器错误利用，以及 Chrome 沙箱逃逸以在目标设备上安装代理 Heliconia Soft：一个部署包含 Windows Defender 漏洞的 PDF  Web 框架，被跟踪为 CVE-2021-42298 Heliconia 文件：一组针对 Linux 和 Windows 的 Firefox 漏洞利用，其中一个被跟踪为 CVE-2022-26485 对于 Heliconia Noise 和 Heliconia Soft，这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。 TAG分析了一个包含虚拟代理的框架样本，得到的结果是在运行和退出的情况下未执行任何恶意代码，认为该框架的客户提供了他们自己的代理，或者是谷歌没有权限访问整个框架。 尽管没有证据表明目标安全漏洞被积极利用，并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞，但TAG 表示这些漏洞很可能在野外被用作零日漏洞。 对间谍软件供应商的跟踪 TAG 属于谷歌旗下的安全专家团队，专注于保护谷歌用户免受国家支持的网络攻击，但团队也跟踪了数十家从事间谍或监视服务的公司。 2022年6 月，TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下，在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间，目标用户被提示安装伪装成合法移动运营商应用的监控软件。 最近，TAG 揭露了另一场监视活动，受国家支持的攻击者利用五个零日漏洞，在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。 TAG表示，间谍软件行业的发展使用户处于危险之中，并降低了互联网的安全性，虽然根据国家或国际法律，监控技术可能是合法的，但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351256.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌云（Google Cloud）上周披露，它在野外发现了34个不同的Cobalt Strike工具黑客版本，其中最早的版本于2012年11月发布。 根据谷歌云威胁情报（GCTI）团队的调查结果，这些版本从1.44到4.7，总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。 Cobalt Strike由Fortra（née HelpSystems）开发，是一种受欢迎的对抗框架，红色团队使用它来模拟攻击场景并测试其网络防御能力。 它包括一个作为指挥和控制（C2）中心的团队服务器，以远程控制受感染的设备，以及一个旨在提供下一阶段有效负载的stager，称为Beacon，这是一个功能齐全的植入物，可向C2服务器报告。 由于该软件具有广泛的功能，越来越多地黑客将其未经授权的版本武器化，以推进他们的后开发活动。 谷歌Chronicle子公司的逆向工程师Greg Sinclair表示：“虽然Cobalt Strike的意图是模拟真实的网络威胁，但黑客已经掌握了它的能力，并将其作为受害者网络中横向移动的强大工具，作为第二阶段攻击有效载荷的一部分。” 为了解决这种滥用，GCTI发布了一套开源的YARA规则，以标记恶意黑客组织使用的软件的不同变体。 Sinclair说：“我们的想法是删除坏版本，同时保留合法版本，我们的目的是将这个工具移回合法红色团队的领域，让攻击者难以滥用它。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文