记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

谷歌发布安全报告:详细介绍去年年初检测到的复杂黑客攻击

谷歌今天发布了由六份博文组成的系列安全报告,详细介绍了在 2020 年初检测到的一个复杂黑客活动,攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击(watering hole attacks)发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出:“其中一台服务专门针对 Windows 用户,而另一台则针对 Android 用户”。谷歌表示,这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入,攻击者就会部署操作系统级别的漏洞,以获得受害者设备的更多控制权。
发布时间:2021-01-15 11:21 | 阅读:6742 | 评论:0 | 标签:安全快讯 Google 网络安全 黑客 攻击 安全

谷歌修复 Chrome 新创建文件被 Windows 10 反病毒软件锁定的 Bug

Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时,反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉,为安全起见,反病毒软件通常会临时锁定系统上新生成的文件,直到对其完成了反病毒扫描、并排除了恶意活动的可能。
发布时间:2021-01-06 11:36 | 阅读:10218 | 评论:0 | 标签:安全快讯 Google 网络安全 windows 病毒

Google 文档漏洞可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现,他因此项发现获得了$ 3133.70的奖励。 Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助提升”的选项,用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载.googleusercontent.com弹出式窗口。
发布时间:2020-12-30 12:39 | 阅读:12912 | 评论:0 | 标签:安全快讯 漏洞 Google 网络安全 黑客

谷歌 Project Zero 披露了 Windows 中的严重安全漏洞

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节: https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。
发布时间:2020-12-25 11:57 | 阅读:19311 | 评论:0 | 标签:漏洞 Google Windows windows 安全

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

谷歌 Project Zero 团队近日披露了存在于高通 Adreno GPU 的“高危”安全漏洞,不过目前高通已经发布补丁完成了修复。这个漏洞和 GPU 共享映射的处理方式有关,有关于该漏洞的详细代码细节可以访问谷歌提供的列表。 根据博文描述,Adreno GPU 驱动程序为每个内核图形支持层(KGSL)描述符链接了一个私有设备结构,而描述符包含上下文切换所需的页表。此结构与 process ID (PID) 相关联,但同一流程中可以被其他 KGSL 描述符重用,可能会提高性能。
发布时间:2020-12-15 18:01 | 阅读:11199 | 评论:0 | 标签:漏洞事件 Google 漏洞 高通骁龙

Kubernetes曝出“先天性漏洞”,所有版本都中招

Kubernetes(又名K8s)是Google开源的容器集群管理系统(谷歌内部:Borg),现在由Cloud Native Computing Foundation维护,旨在帮助提升Docker容器化工作负载、服务、应用程序的部署、扩展和管理的自动化程度和便捷性。Kubernetes通过将应用程序容器组织到Pod、节点(物理机或虚拟机)和群集中来实现此目的,其中多个节点形成一个由主节点管理的群集,该主节点负责协调与群集相关的任务,例如扩展、调度或更新应用程序。
发布时间:2020-12-10 18:32 | 阅读:17103 | 评论:0 | 标签:威胁情报 google Kubernetes 漏洞

谷歌扩大 Chrome 漏洞奖励计划:最高赏金 3 万美元

Chrome 漏洞奖励计划(VRP)自 2010 年启动以来,得到了很多安全研究人员的踊跃参与,通过报告存在于 Chrome 和 Chrome OS 中的漏洞来赚取赏金。而通过这个项目,谷歌也修复了大量漏洞,从而让软件变得更加安全。现在,谷歌宣布进一步扩大奖励计划,并为 V8 JavaScript 引擎中的漏洞提供两倍的赏金。 此前,谷歌只是对那些在 V8 中具备完整功能报告的安全专家提供奖励。而现在,谷歌还会对那些耗时提出如何利用安全漏洞的研究人员提供奖励,这些悬赏的赏金已经增加了一倍。谷歌表示,提供可供利用证据的安全专家能够帮助公司修复错误和缓解漏洞,因此应给予相应的奖励。
发布时间:2020-12-10 11:44 | 阅读:16059 | 评论:0 | 标签:安全快讯 Chrome Google 漏洞事件 漏洞

仍有不少谷歌商城应用没有跟进修复 Play Core Library漏洞

在宣传 Play Store 的时候,谷歌表示它不仅仅只是一个 Android 应用商城,更是你可以信赖且安全的应用来源。不过这并不代表着就百分百安全了,近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复,不过由于应用开发者尚未完全跟进,意味着依然有不少应用和它们的用户存在风险。 顾名思义,Google Play Core Library 是谷歌移动服务最基础的组件之一。它提供了包括下载其他语言、管理特征模块的分发或者功能之类的功能,而不需要通过 Play Store 更新应用程序本身。
发布时间:2020-12-07 19:18 | 阅读:14630 | 评论:0 | 标签:漏洞 Google

Google 推出 XS-Leaks Wiki 普及有关跨站泄露的网络安全知识

跨站泄露,也被称为 “XS-Leaks”,是网络设计中的一类问题,它允许网络应用相互交互,即使它们不相关。这导致用户数据在不同的Web应用之间共享,通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多,为了解决这一问题,谷歌宣布建立了一个知识库,以便开发者和安全研究人员更好地了解这个问题,并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”,包含的文章解释了跨站点泄漏的概念,演示一些常见的攻击,以及你介绍针对它们设置的防御措施。除了每种攻击的细节,还提供概念验证代码。
发布时间:2020-12-07 11:34 | 阅读:16574 | 评论:0 | 标签:网络安全 Google 跨站 泄露 安全

谷歌研究人员演示如何远程盗取 iPhone 中的照片

据外媒报道,近日谷歌Project Zero研究人员Ian Beer演示了如何远程盗取iPhone中的照片。在视频中,Beer用iPhone拍摄了一张照片,然后打开YouTube应用。YouTube应用并不是黑客攻击的一部分–它的打开只是为了演示iPhone在被篡改时如何没有任何被篡改的迹象。 自动攻击不需要互联网连接,它确实需要iPhone连接到某种无线系统 – 在这种情况下,它连接到Wi-Fi信号。通常情况下,Wi-Fi网络是有密码保护的,所以设备和攻击者之间会有额外的安全层。
发布时间:2020-12-04 16:34 | 阅读:18380 | 评论:0 | 标签:安全快讯 网络安全 Google 苹果 phone 远程

谷歌黑客详细介绍了利用零点击“Wormable”Wi-Fi 入侵 iPhone 的方法

谷歌Project Zero白帽黑客Ian Beer周二披露了一个现已修补的严重“wormable”iOS漏洞的细节,该漏洞可能使远程攻击者能够通过Wi-Fi完全控制附近的任何设备。 Beer在一篇长篇博客中说,利用这个漏洞,可以“实时查看所有照片、阅读所有电子邮件、复制所有私人信息并实时监控(设备)上发生的一切”。 苹果在今年早些时候推出的iOS 13.3.1、macOS Catalina 10.15.3和watchOS 5.3.7的一系列安全更新中解决了该漏洞(编号为CVE-2020-3843)。
发布时间:2020-12-03 12:13 | 阅读:16168 | 评论:0 | 标签:漏洞事件 Google iPhone phone 入侵 黑客

百度搜索和地图应用被 Google Play 商店下架 回应称并非因数据收集问题

在美国网络安全公司 Palo Alto Networks 报告发布后,谷歌随机对两款来自百度的 Android 应用展开了调查。报告称百度搜索框和地图应用内含收集用户信息的代码,而谷歌也在 2020 年 10 月将之从 Play 商店下架。不过上周,百度搜索框再次出现在了广大用户的面前。 具体说来是,Palo Alto Networks 称数据收集代码存在于百度推送 SDK 中,用于在两款 App 内显示实时通知。
发布时间:2020-11-26 15:18 | 阅读:17578 | 评论:0 | 标签:安全快讯 Google 百度

因隐私安全漏洞 谷歌 Play 商店下架第三方短信应用 GO SMS Pro

尽管下载数量超过了 1 亿次,谷歌还是在安全研究人员披露了 GO SMS Pro 应用的隐私安全漏洞之后,立即下架了这款热门的第三方短信应用。报告指出,GP SMS Pro 存在一个可被攻击者利用的漏洞,以访问用户的图像、视频、音频等媒体文件。不过在正式向外界曝光之前,研究人员已照例给开发商预留了数月的修补时间。 Trustwave 安全研究人员指出,v7.91 版本似乎容易受此漏洞的影响。当在 App 中显示用户之间的会话时,非用户将获得一个显示消息内容的链接。 问题在于,Go SMS Pro 会顺序生成链接。这意味着只需在 URL 上动手脚,非用户就可以轻松将其他人的消息链接也扒拉下来。
发布时间:2020-11-24 11:46 | 阅读:13650 | 评论:0 | 标签:漏洞 Google 安全漏洞 安全

谷歌宣布针对 Chrome 扩展程序的重大隐私政策更新

扩展程序已成为现代浏览器体验中不可或缺的一环,而 Google Chrome 也是许多用户的不二之选。发展迅猛的 Chrome 网上应用店,已经能够满足大多数用户的实际需求。与此同时,谷歌希望进一步提升隐私体验。比如在最新宣布的隐私政策中,该公司就要求开发者必须披露其收集和分享的数据。 虽然日常使用中可能很难察觉,但某些扩展显然会对用户的数据隐私和安全构成威胁,尤其是那些能够读取浏览器中所加载的所有信息、有时也包括敏感细节的恶意扩展。 庆幸的是,在最新提出的隐私要求中,谷歌将强制扩展程序开发人员附带明确的数据收集信息,以便用户在安装时就有所了解。
发布时间:2020-11-23 12:34 | 阅读:23210 | 评论:0 | 标签:安全快讯 网络安全 Google

谷歌 Android Messages 测试版将推出 RCS 端到端加密功能 以保护用户隐私

经过两年漫长时间,现在全球每一个Android用户,都可以使用取代短信的下一代短信标准。谷歌通过其Android Messages应用直接向任何安装它并将其作为默认短信应用的人提供RCS聊天服务,而无需移动运营商参与。同样重要的是,谷歌宣布终于开始启用一项关键的隐私功能:端到端加密,这意味着运营商和谷歌都无法读取这些信息的内容。 尽管加密功能只是开始向注册Android Messages公测版的用户推出,但为RCS开启加密功能是一件非常重要的事情。这是一个巨大的隐私胜利,因为这意味着在全球绝大多数人使用的智能手机平台上,短信的事实上的替代者默认情况下将是私密的。
发布时间:2020-11-20 12:25 | 阅读:29309 | 评论:0 | 标签:国际动态 Google 网络安全 加密 Android android

谷歌发布 Chrome 86.0.4240.198 修复两个零日漏洞

ZDNet 报道称,谷歌在过去三周时间内,修复了影响 Chrome 浏览器的五个凌日漏洞。在今日发布的 Chrome 86.0.4240.198 版本中,就包括了最新的两个。据悉,此前的三个零日漏洞,是谷歌内部安全研究人员发现的。而这次紧急修复的两个,则来自于不愿透露姓名的消息人士。 截止发稿时,谷歌尚未披露两个零日漏洞攻击的详情。但在 Chrome 86.0.4240.198 的变更日志中,该公司还是提到了两个通用漏洞披露编号。 首先是 CVE-2020-16013,其描述涉及 Chrome 组件中处理 JavaScript 代码的 V8 引擎的不当实现。
发布时间:2020-11-12 18:52 | 阅读:21666 | 评论:0 | 标签:漏洞 Google

Chrome 86.0.4240.183 稳定版发布:修复两个高危漏洞

在过去几周时间里,谷歌都在积极修复存在于 Chrome 浏览器中的多个安全漏洞。最新发现的一个漏洞存在于桌面端 Chrome 的 V8 JavaScript 引擎中,能够发起远程执行代码(RCE)攻击。而存在于 Android 端 Chrome 中的一个漏洞能从沙盒中逃脱。 谷歌威胁分析小组(TAG)和 Project Zero 团队的专家上周发现了零日漏洞 CVE-2020-16009。本周一,谷歌面向 Windows、macOS 和 Linux 发布了 Chrome 86.0.4240.183 更新,修复了上述漏洞。
发布时间:2020-11-04 12:28 | 阅读:18920 | 评论:0 | 标签:漏洞 Google

谷歌 Project Zero 团队披露了 GitHub Actions 中存在的严重安全漏洞

过去几年,谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下,受影响的机构将有 90 天的时间来筹备修复,然后相关漏洞详情才会被公开披露。最新消息是,谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。 据悉,问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions,主要负责与“动作执行器”(Action Runner)之间的通信工作。
发布时间:2020-11-04 12:28 | 阅读:17105 | 评论:0 | 标签:热点 网络安全 Google 漏洞 安全

17 款感染恶意软件的 Google Play 商店应用被强制删除

本周谷歌从官方Play Store删除了17款Android应用程序。据来自Zscaler的安全研究人员Viral Gandhi称,这17个应用程序全部感染了Joker(又名Bread)恶意软件。他说:“这个间谍软件旨在窃取短信、联系人名单和设备信息,同时,也在悄悄地为受害者注册高级无线应用协议(WAP)服务”。
发布时间:2020-11-03 13:16 | 阅读:17590 | 评论:0 | 标签:热点 网络攻击 Google 恶意软件

谷歌从 Play Store 中删除了 21 个恶意 Android 应用

谷歌已从Play Store中删除了几款Android应用程序,原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现,称21个恶意应用(从此处列出)从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用,并带有HiddenAds恶意软件,该恶意软件是一个臭名昭著的木马,以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初,Avast发现了类似的HiddenAds广告活动,其中涉及47个游戏应用程序,下载量超过1500万次,用于显示设备范围内的入侵广告。
发布时间:2020-10-28 12:59 | 阅读:23325 | 评论:0 | 标签:恶意软件 Android Google android

谷歌聘请的律师事务所 Fragomen 确认一起数据泄露事件

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务,以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案,以确保他们拥有合法的工作许可,并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息,包括护照、身份证和驾照等政府文件,以及其他个人身份数据,这使得它们成为黑客和身份窃贼的目标。
发布时间:2020-10-27 11:13 | 阅读:171307 | 评论:0 | 标签:数据泄露 Google 信息泄露 泄露

Chrome 86.0.4240.111 已修复 CVE-2020-15999 零日漏洞

谷歌在今天早些时候推出了 Chrome 浏览器的 86.0.4240.111 版本,以修复正在被积极利用的 CVE-2020-15999 零日漏洞。据悉,该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug,随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。 团队负责人 Ben Hawkes 表示,其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。
发布时间:2020-10-21 18:52 | 阅读:19429 | 评论:0 | 标签:漏洞 Google CVE

谷歌正筹建一支 Android 安全团队 致力于查找敏感应用中的漏洞

随着操作系统代码复杂度的提升,Bug 与漏洞也变得越来越难以避免。与此同时,随着 Android 与 iOS 平台在移动时代的重要性日渐提升,行业也需要越来越多有这方面经验的安全研究人员。最新消息是,搜索巨头谷歌正在组建一支 Android 安全团队,并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事,但谷歌显然还是希望通过成立一支新的团队,来进一步加速发现和修复 Bug 的过程。 具体说来是,这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是,该公司也在一则招聘启事中进行了披露。
发布时间:2020-10-09 11:15 | 阅读:20369 | 评论:0 | 标签:漏洞 Android Google android 安全

Google 为 Pixel 设备提供的 10 月更新修复了刷新手势的 Bug 以及其它严重漏洞

与每个月的情况一样,谷歌已经开始为本月支持的Pixel设备推出月度安全补丁。这家搜索巨头还发布了Android安全公告,以记录作为2020年10月补丁的一部分所解决和修复的所有错误和漏洞。补丁列表中包括操作系统中各个组件中的一些高严重性漏洞,公告中提供了详细的内容。 除了这些适用于不同Android版本的修复之外,该公司还详细介绍了针对支持的Pixel设备发布的功能补丁。这些更新通过带来Pixel手机特有的性能改进、bug修复等,提高了设备的可用性。 本月的更新为所有支持的机型带来了屏幕自动旋转的改进,为最新的中端机、Pixel 4a等带来了触控灵敏度和自动亮度的提升。
发布时间:2020-10-09 11:15 | 阅读:19151 | 评论:0 | 标签:漏洞 Google

Google高级保护计划向第三方Android应用商店说不

近日,据外媒报道Google正在扩大其高级保护计划(APP)的防护范围(功能),该安全性服务可帮助保护“高危人群”(例如政治人物、记者、活动家、商业领袖等)的Google帐户免遭针对性攻击。APP项目通过限制对数据的访问、阻止欺诈性帐户访问、支持物理安全密钥的使用以及最新添加的恶意软件防护功能,为这些帐户提供更高级别的保护。谷歌宣布那些已经注册了“高级保护计划”的用户将自动启用Google Play保护,并且将无法关闭。Google指出,该功能目前每天用于扫描和验证1000亿个应用。该系统使用机器学习来自动扫描用户的设备和应用程序,以检查有害行为和潜在的安全问题。
发布时间:2020-03-20 16:08 | 阅读:57377 | 评论:0 | 标签:行业动态 首页动态 google 第三方Android应用商店 高级保护计划 Android

挖洞经验 | 利用Acunetix发现Google的一个$5000美金XSS漏洞

你可能是一个比较懒惰的黑客,直接不想去挖掘Google的漏洞,而我和朋友linkks只是稍微勤快和幸运一点,再配合上漏扫利器Acunetix Vulnerability Scanner,就发现了Google的一个XSS漏洞,收获了$5000。 第一步 Acunetix Vulnerability Scanner跳出的一条安全警告 我们平时的一项业余研究就是,使用Acunetix在内的各种安全扫描工具去扫描测试不同的Google服务,在我们的测试目录里有好多目标需要一一进行扫描。
发布时间:2020-03-12 15:19 | 阅读:67455 | 评论:0 | 标签:WEB安全 漏洞 Acunetix google xss

如何摆脱Google的影响,实现一个完全无Google因素的网络环境

前言本文我得先从我最近参与的一个安全检测项目开始谈起,本次的客户是一家企业,不得不说,本次我们的客户的安全防护做得非常好。他们的安全运营中心(SOC)配备了很多先进的内部异常检测工具以及顽强的事件响应团队。这里我要说一句,他们是Google的客户,并利用G Suite来处理他们基于云的业务应用程序。2019年4月,Google为 G Suite带来了一系列更新,本轮更新重点增强了公司数据的保护,既包括控制用户的访问权限,还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。
发布时间:2019-04-19 12:25 | 阅读:98707 | 评论:0 | 标签:Web安全 Google

Microsoft Store中发现一款伪装成Google相册的恶意软件

今天在微软商店中发现了一个名为“Google相册”的恶意应用程序,它把自己的来源伪装成了谷歌公司。这个应用程序假装自己是Google相册的一部分,但实际上是一个广告点击器,它可以在Windows 10中重复打开隐藏的广告。这个免费的“Google相册”声称是由Google LLC创建的,其中包含“一款与您一样聪明的照片应用”的说明。您可以在下面看到它在微软商城页面的图像。由于这是一个广告点击器,所以用户们对它的评论不是很好。其中一篇评论称它是“假应用”,另一篇评论的标题是“这是假的,不要安装”。下面我们将挖掘并解释广告点击器的工作原理,以及它显示的广告类型。
发布时间:2018-10-16 12:20 | 阅读:121236 | 评论:0 | 标签:Web安全 Google 微软 恶意软件

11.25万美元!360 Alpha 团队刷新谷歌漏洞奖金记录

Google的Pixel一直号称是最难攻破的Android手机,然而,在2016年11月的黑客比赛PwnFest中,以360研究员龚广为首的360 Alpha团队完成了这个几乎不可能的任务。而在2017年的Mobile Pwn2Own上,没有一支团队能攻破Google Pixel,是白帽子们束手无策了吗?原来,360 Alpha早就发现了一个小行星级的漏洞,由于波及范围太广,他们在8月份就把漏洞提交给了Google。
发布时间:2018-01-24 07:35 | 阅读:274693 | 评论:0 | 标签:牛闻牛评 360 google Pixel 安全漏洞 移动安全联盟 漏洞

Google PDFium TIFF Image Flate解码器代码执行漏洞分析(CVE-2017-5133)

CVE编号: CVE-2017-5133 概要 由Chrome浏览器使用的包含60.0.3112.101的Pdfium的TIFF图像解码器功能中的堆漏洞存在一个读取/写入漏洞。特制的PDF文件可以在堆上触发逐个读写,导致内存损坏,可能的信息泄漏和潜在的代码执行。受害者需要在浏览器中打开恶意PDF,以触发此漏洞。
发布时间:2017-10-29 02:05 | 阅读:139916 | 评论:0 | 标签:漏洞 google PDFium TIFF Image Flate

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云