记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华Google Play又被发现多款问题应用:累计下载超2000万次
一种新的活动跟踪应用程序最近在 Android 的官方应用程序商店 Google Play 上取得了巨大成功,目前已经有超过 2000 万台设备下载。这些应用程序将自己宣传为健康、计步器和养成良好习惯的应用程序,承诺为用户在日常生活中保持活跃,达到目标提供随机奖励。不过,根据 Dr.Web 杀毒软件的一份报告中指出,奖励可能无法兑现,或者在强迫用户观看大量广告后只能部分兑现。
发布时间:2023-01-31 12:08 |
阅读:8532 | 评论:0 |
标签:Google
Google Play多款应用程序存在问题,用户累计下载超2000万次
一种新的活动跟踪应用程序最近在 Android 的官方应用程序商店 Google Play 上取得了巨大成功,目前已经有超过 2000 万台设备下载。 这些应用程序将自己宣传为健康、计步器和养成良好习惯的应用程序,承诺为用户在日常生活中保持活跃,达到目标提供随机奖励。不过,根据 Dr.Web 杀毒软件的一份报告中指出,奖励可能无法兑现,或者在强迫用户观看大量广告后只能部分兑现。
发布时间:2023-01-31 12:01 |
阅读:9127 | 评论:0 |
标签:Google
亚马逊AWS、微软和 Google 都是FTX的债权人
加密货币交易所 FTX 于2022年11月申请破产,当时报道它拖欠客户逾80 亿美元,但最近的报道称它找回了50 亿美元的资产。FTX 创始人兼 CEO Sam Bankman-Fried 已被捕并引渡到美国受审,被控洗钱等罪名,但他坚称自己是清白的。目前 FTX 的个人债权人的名字没有公开,但企业和机构债券人的名字已经公布,它们大部分是技术服务商,其中包括云服务托管商 AWS,微软和 Google,Google 旗下的数据分析平台 Looker、营销软件 HubSpot、文件共享服务商 Dropbox、微软旗下的代码托管平台 GitHub。此外还有苹果和网络托管公司 GoDaddy。
Google指控印度反垄断机构复制欧盟部分裁决
2022年10月,印度反垄断机构CCI向Google开出1.61亿美元反垄断罚单。现在,Google提起上诉,要求撤销裁决,理由之一是CCI几乎是逐字拷贝了欧盟就Google滥用安卓市场支配地位做出的裁决的部分内容。印度反垄断监管机构 CCI 去年10月对 Google 开出了1.61亿美元罚单,搜索巨人被控在印度市场滥用了在线搜索和 Android 应用商店等领域的支配地位,勒令 Google 改变对 Android 手机预装应用相关的限制。
Google Home智能音箱漏洞可监听用户会话
漏洞概述2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好,并通过互联网远程发送命令给受害者设备、访问麦克风数据量、在受害者网络中发起任意HTTP请求,甚至可能暴露WiFi密码,使攻击者访问受害者的其他设备。研究人员在Google Home mini智能音箱测试时发现,使用Google Home app添加的新账号可以通过云API远程发送命令。
发现Google Home智能音箱窃听漏洞,安全研究员获得107500美元漏洞赏金
近日,一位名叫Matt Kunze的安全研究员发布了一篇博客,透露其因披露了Google Home智能音箱中的安全问题(可能被用来安装后门并将其变成窃听设备),而从谷歌那里获得了107500美元的漏洞赏金。据Matt Kunze所述,该安全问题允许攻击者在目标设备上安装后门帐户,使攻击者能够通过互联网远程向其发送命令,访问其麦克风信号,并在受害者的局域网内发出任意HTTP请求(若发出恶意请求,不仅会暴露Wi-Fi密码,还会令攻击者能够直接访问连接到同一网络的其他设备)。在该技术文章中,安全研究员Matt Kunze分享了有关该发现和攻击场景的技术细节,以显示如何利用该漏洞。
安全专家报告 Google Home 严重漏洞获得谷歌 107500 美元赏金
IT之家 12 月 30 日消息,安全研究专家马特・昆茨(Matt Kunze)去年向谷歌报告了 Google Home 的严重漏洞,近期获得了谷歌 107500 美元(约 74.9 万元人民币)的高额赏金。IT之家了解到,在 Google Home 智能音响设备上发现了一个漏洞,攻击者可以利用该漏洞安装后门账户,用于远程控制并可激活麦克风用于监听用户对话。昆茨在本周早些时候披露了该漏洞的所有技术细节,以及如何利用该漏洞。昆茨通过 Nmap 扫描,找到了 Google Home 本地 HTTP API 的端口。于是他设置了一个代理来捕获加密的 HTTPS 流量,希望劫持用户授权令牌。
不法黑客滥用Google Ads分发恶意软件
恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆,但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种, Vidar Stealer 的定制版本, IcedID 恶意程序加载器。
黑客滥用 Google Ads 将恶意程序传播给搜索合法软件的用户
恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆,但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种, Vidar Stealer 的定制版本, IcedID 恶意程序加载器。
DuckDuckGo阻止所有网站上Google登录弹窗
DuckDuckGo 通过从所有应用程序和浏览器扩展程序中删除 Google 登录弹出窗口,采取进一步措施来保护其用户的隐私。 这将有助于减少与连接过程相关的潜在不便或风险。除了一个 搜索引擎 DuckDuckGo 优先考虑隐私,现在提供电子邮件、移动应用程序和浏览器扩展,专注于数据安全。 此外,正在开发仅适用于 macOS 的独立浏览器,目前正在开发中。今天,该公司表示所有浏览器扩展,包括Chrome、火狐和Microsoft Edge,现在将主动阻止Google登录提示。
发布时间:2022-12-26 13:21 |
阅读:98972 | 评论:0 |
标签:Google
Google Chrome V8类型混淆漏洞(CVE-2022-4262)通告
阅读: 0一、漏洞概述12月5日,绿盟科技CERT监测到Google官方发布了一个存在于Google Chrome V8中的类型混淆漏洞(CVE-2022-4262)。由于程序使用一种类型分配或初始化资源,如指针、对象或变量,但随后使用与原始类型不兼容的类型访问该资源,出现类型混淆错误,从而允许越界内存访问。远程攻击者通过诱导用户访问特制的Web站点,最终可实现任意代码执行或在系统上造成拒绝服务。CVSS评分8.8。目前已监测到在野利用,请相关用户尽快采取措施进行防护。Google Chrome是一款由Google公司开发的网页浏览器。
Google苹果Mozilla合作构建新浏览器基准测试
三大存在竞争关系的浏览器开发商Google、苹果和Mozilla合作构建新浏览器基准测试Speedometer 3。为了防止新工具偏向任意一家,Speedometer的治理政策要求任何重大变更都需要另外两家公司的批准,非重大变更需要另外两家公司之一的批准,三家公司的任意一位评审者可以同意对一个“微小变更”开绿灯。Speedometer 3将是主要由苹果WebKit团队开发的Speedometer 2的后续,目前处于早期开发阶段。开发者建议在项目进一步开发之前继续使用Speedometer 2.1。
安全研究人员在Google One VPN中发现22个问题
在对Google One VPN服务进行安全评估后,NCC集团列出了22个问题,其中大多数存在于Windows和iOS应用程序上。据悉,Google One的VPN目前可供20多个国家/地区的高级计划(2 TB 及更高的 Google One 会员使用。一家名为 NCC Group 的信息保障公司在夏季对 Google One 虚拟专用网络 (VPN) 进行了安全评估。在一份长达 52 页的报告中,它表示已经取得了 22 项初步发现:三项是中等严重程度的发现,十项被评为低严重程度,九项被描述为信息观察。目前,谷歌在重新测试期间修复了这个问题,现在应用程序以用户权限执行。
Google再次推迟淘汰Manifest V2扩展
Google正在强势推广受争议的Manifest V3扩展,相比Manifest V2扩展,新版本增加了很多有利于搜索巨人的限制,比如限制广告屏蔽扩展,而广告是Google的最大收入来源。为了加快普及Manifest V3,Google设定了淘汰Manifest V2扩展的时间表。但从Manifest V2迁移到Manifest V3并非一帆顺风,如Service Worker无法使用DOM功能且其寿命存在硬限制。Google表示它正致力于解决这些问题,它再次宣布推迟淘汰Manifest V2扩展,以给予开发者足够的时间更新和测试新扩展。
发布时间:2022-12-12 16:15 |
阅读:129155 | 评论:0 |
标签:Google
Google 安全小组发现朝鲜黑客利用了 IE 浏览器 10 月份爆出的零日漏洞
Google威胁分析小组(TAG)的一篇新博文显示,2022年10月,朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标,将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。
Internet Explorer浏览器早在今年6月初就正式退役了,此后被微软Edge取代。然而,正如TAG的技术分析所解释的那样,Office仍在使用IE引擎来执行启用攻击的JavaScript,这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和Windows Server 2008至2022机器上依然存在漏洞。
Google 发布 Chrome 108 浏览器紧急更新以修补零日漏洞
上周五,Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新,以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做,请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本,在Windows上至少更新到108.0.5359.94/.95。
Google的Prudhvikumar Bommana在Chrome发布的博客上说,CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉,那是因为这是今年Chrome浏览器中的第三个此类漏洞。
Google Play 上发现安装量超过 200 万的 Android 恶意软件应用
一组新的 Android 恶意软件、网络钓鱼和广告软件应用程序已经渗透到 Google Play 商店,诱使超过 200 万人安装它们。 一组新的 Android 恶意软件、网络钓鱼和广告软件应用程序已经渗透到 Google Play 商店,诱使超过 200 万人安装它们。这些应用程序是由 Dr.Web 防病毒软件发现的 ,它们假装是有用的实用程序和系统优化器,但实际上是性能问题、广告和用户体验下降的根源。TubeBox是 Dr.Web 展示的一款下载量已达到 100 万次的应用程序,在撰写本文时,该应用程序仍在 Google Play 上可用。
苹果,微软,Google终于决定要干掉密码了!
以下文章来源于码农翻身 ,作者码农翻身刘欣 码农翻身 . 有趣且深度的硬核科技文章! 来自:码农翻身(微信号:coderising)1说起密码,你会想起什么?密码太多,记不住?图省事所有网站用同一个密码,一个泄露了,手忙脚乱地去改密码?网站被脱库,数据库信息泄露,密码丢失?这一切都的根本原因就是:服务器保存了我们的密码(不管是明文的还是Hash过的)。我们需要把自己记忆的密码发给服务器做验证,这就给了攻击者可乘之机。
谷歌修复了今年第九个积极利用的 Chrome 零日漏洞
Hackernews 编译,转载请注明出处:
谷歌为Chrome网络浏览器推出了紧急安全更新,以解决一个新的零日漏洞,该漏洞在野外被积极利用,追踪为CVE-2022-4262。
CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。
2022年11月29日,谷歌威胁分析小组的Clement Lecigne报告了该漏洞。
谷歌没有分享有关该漏洞的技术细节,以允许用户更新其Chrome安装。无论如何,黑客可以利用该漏洞来实现任意代码执行。
Google UAF漏洞利用缓解技术MiraclePtr
2022年9月13日,Google安全团队在其安全博客中发布了一篇关于MiraclePtr的文章,介绍了Google Chrome安全团队在缓解UAF漏洞利用上的进展。由于MiraclePtr并不是单指某一种智能指针技术,而是包含了Google安全团队在缓解UAF利用上的多次实验和尝试,本文也仅针对其最新启用的BackupRef方案做介绍,如有疏漏错误,敬请斧正,共同交流探讨。
消灭0Day?Google Project Zero呼吁Android加快修复漏洞
Google Project Zero安全团队想要消灭0day,它采用的一种方法是公开督促企业加快修复漏洞,其中包括Google 自己。在最新的官方博客中,它批评了Android和Pixel团队。今年6月,Project Zero研究员Maddie Stone报告了一个位于ARM GPU驱动中正被利用的提权漏洞,另一位研究员Jann Horn接下来三周在驱动中发现了多个相关漏洞,这些漏洞允许攻击者获得系统的完整访问权限,绕过Android的权限模型。他们向ARM报告了漏洞,ARM在7月和8月修复了漏洞并公布相关源代码,然而Android至今没有给用户打上补丁。
Google Project Zero 呼吁 Android 加快修复漏洞
Google Project Zero 安全团队想要消灭 0day,它采用的一种方法是公开督促企业加快修复漏洞,其中包括 Google 自己。在最新的官方博客中,它批评了 Android 和 Pixel 团队。今年 6 月,Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞,另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞,这些漏洞允许攻击者获得系统的完整访问权限,绕过 Android 的权限模型。
Google Chrome紧急更新,修复年内第8个0day漏洞
日前,Google紧急更新修复了一个正被利用的Chrome桌面浏览器0day,这是今年 Chrome 的第8个0day。据悉,该高危漏洞编号为CVE-2022-4135,为GPU中的一个堆溢出漏洞,由Google Threat Analysis Group的Clement Lecigne在11月22日发现。在大部分用户完成更新前Google没有披露漏洞细节,它建议桌面用户立即更新到新版本107.0.5304.122。
谷歌发现 34 个 Cobalt Strike 黑客工具包的破解版本
Hackernews 编译,转载请注明出处:
谷歌云(Google Cloud)上周披露,它在野外发现了34个不同的Cobalt Strike工具黑客版本,其中最早的版本于2012年11月发布。
根据谷歌云威胁情报(GCTI)团队的调查结果,这些版本从1.44到4.7,总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。
Cobalt Strike由Fortra(née HelpSystems)开发,是一种受欢迎的对抗框架,红色团队使用它来模拟攻击场景并测试其网络防御能力。
谷歌将于 2023 年在安卓 13 中引入隐私沙箱
谷歌宣布将从明 年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。Privacy Sandbox 旨在创建技术来保护人们的在线隐私,限制秘密跟踪。
隐私沙盒的目标是:
建立新技术来保障用户信息的私密性;
使发布者和开发者能够在不依赖侵入性跟踪的情况下保持在线内容免费;
与业界合作建立新的互联网隐私标准;
公司最初将在一小部分设备上安装启动沙箱,并随着时间的推移而增加。
从明年初开始,我们计划向 Android 13 移动设备推出最初的隐私沙盒测试版,以便开发人员通过测试结果采取下一步方案。
因发现简单的 Android 锁屏绕过漏洞,谷歌向研究人员支付 7 万美元赏金
如果你正在寻找一种可以很快赚到很多钱的方法,你可以尝试寻找操作系统和关键应用软件中的安全漏洞,并申请漏洞赏金。一位研究人员在发现了一种无需密码就能解锁Android手机的方法后,从Google那里获得了7万美元的报酬,而且他是无意中做到的。
匈牙利的研究人员David Schütz报告了这个高危漏洞,被追踪为CVE-2022-20465,它被描述为由于代码中的逻辑错误导致的锁屏绕过,可能导致本地权限升级,不需要额外的执行权限。
触发该漏洞需要攻击者拥有一台Android设备,但它的危害程度相当大,可以一次规避包含由PIN、形状、密码、指纹或脸部保护的屏幕锁在内的所有保护方法。
Google Cloud Platform中的权限提升 - 第 2 部分(非 IAM)
第一部分已在火线Zone发布,请参考https://zone.huoxian.cn/d/1289-google-cloud-platform-1-iam 这一部分重点介绍非 IAM 服务提权方法。例如,这些权限都不属于“IAM”系列,就像第 1 部分中的大多数方法一样,例如iam.serviceAccounts.update。 非 IAM 方法orgpolicy.policy.set此方法不一定会授予您更多 IAM 权限,但它可能会禁用一些阻止某些操作的障碍。
发布时间:2022-11-15 18:08 |
阅读:218142 | 评论:0 |
标签:Google
Google Play商店现恶意应用程序,可分发Xenomorph银行木马
近日,有安全专家在Google Play 商店中发现了两个新型恶意应用程序,被用于分发Xenomorph银行木马。Xenomorph银行木马于2022年2月被首次发现,当时该恶意软件被用于攻击 56 家欧洲银行,以及从其客户的设备中窃取敏感信息。安全研究人员分析称,Xenomorph与Alien银行木马有相似之处,但功能与 Alien银行木马截然不同。不过,研究人员推测这两种恶意软件可能是由同一人开发,或者至少是由熟悉 Alien 银行木马代码库的人开发的。该安全公司还强调,在过去3个月中,累计在Google Play 商店中发现50多个恶意应用程序,下载量超50万次。
谷歌服软!3.915 亿美金求和解
Bleeping Computer 网站披露,美国密歇根州总检察长办公室周一对外宣布,谷歌将支付 3.915 亿美元,就 40 个州指控其非法追踪用户位置达成和解。
从和解协议内容来看,美国总检察长调查美联社 2018 年的一篇文章时,发现谷歌至少从 2014 年起就开始追踪安卓用户位置。
值得一提的是,和解协议显示,谷歌甚至存在误导用户的情况,当用户本以为禁用设备设置中的 “位置历史 “就能禁用位置追踪时,另一个账户设置会默认打开名为 “网络和应用程序活动”,使得谷歌能够收集、存储和使用用户个人定位数据。
Phishing with Google Calendar
DisclaimerThe following information is for educational purposes only. This post is intended for Red Teams, Penetration Testers, and Blue Teams looking to secure their orginizations. DO NOT use any of
发布时间:2022-11-14 15:13 |
阅读:427277 | 评论:0 |
标签:Google
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
