Pixel 7系列就快到了，Google的发布会定于10月6日举行。然而人们不必再等上一周就能了解到Google这两款新手机的一切。一项新发现表明，Pixel 7和Pixel 7 Pro可能支持更安全的面部解锁功能--尽管缺乏像iPhone那样的专用硬件。 不过Google可能已经找到了一种方法，只用一个前置自拍摄像头就能提高面部解锁功能的安全性。Google的脸部解锁历史4月份的报道暗示，尽管Google放弃了类似于Face ID的技术，但它正在为其Pixel手机提供面部识别支持。几年前，Google推出了其版本的3D人脸识别技术。

Google 最近以 54 亿美元收购的安全公司 Mandiant 报告发现证据显示黑客与俄罗斯协同攻击。安全研究人员观察到，支持俄罗斯的黑客组织（表面上由爱国的公民黑客组成）与俄罗斯军事情报机构(GRU)的网络入侵活动之间存在明显的协作。Mandiant 称，在四起网络攻击事件中观察到了与 GRU 有关的黑客活动，在这些活动中，恶意 Wiper 软件被安装到了一个受害者的网络上。Mandiant 称，有三个支持俄罗斯的黑客组织参与其中，它们被称为 XakNet Team、Infoccentr 和 CyberArmyofRussia_Reborn。

9月14日，韩国个人信息保护委员会召开会议，对谷歌和Meta未经用户同意收集个人信息、用于个性化推荐广告的违法行为进行审议，并对谷歌处以692亿韩元（约合人民币3.46亿元）、对Meta 308亿韩元（约合人民币1.54亿元）的罚款。委员会要求，平台若要收集、利用第三方行为信息，必须提前通知用户并取得同意，让用户容易、明确地了解情况，并自由行使其决定权。 据悉，这是韩国首次就个性化推荐广告平台收集个人信息行为进行罚款，也是对企业违反韩国《个人信息保护法》开出的最大罚单。 根据韩国《个人信息保护法》第39条第15款，对此类违法行为，可以处以违法行为所得销售额百分之一以下金额的罚款。

昨天我们了解到，Google Chrome浏览器可能会有一个类似于微软Edge的侧边栏搜索功能。这将允许用户突出显示网页中的文本，在网上寻找更多相关信息，而无需打开新标签。搜索结果出现在当前网页右侧的窗格中，并展示所有相关的链接、图片、定义和视频。现在，似乎Chrome浏览器也在获得另一个Edge功能，这次是安全方面的增强。 一些微软Edge用户可能没有意识到这一点，但该浏览器实际上提供了一个"用设备密码登录"的设置。当你在表格中自动填写密码时，这增加了一个安全层，因为它提示你在自动填写密码之前输入你的设备凭证。

Google 和 Meta 涉嫌在韩国未经用户同意收集个人信息并将此用于在线投放个性化广告，分别被罚 692 亿韩元和 308 亿韩元。韩个人信息保护委员会 14 日开会做出了上述决定。委员会还勒令两家公司若要收集和利用旗下用户利用其它公司平台的行为信息，必须提前通知用户，让用户容易、明确地了解情况并自由行使决定权。这是韩国就在线广告平台收集和利用用户信息的行为首次做出的处罚决定，罚款金额为违反《关于保护个人信息的法律》规定的案件之最。

各类组织都依赖可信、可靠的在线存储服务（例如DropBox和GoogleDrive）来进行日常运营。然而，我们的最新研究表明，攻击者正在想方设法利用这种信任，使他们的攻击极难被发现和预防。我们追踪的一种名为Cloaked Ursa(也被称为APT29、Nobelium或Cozy Bear)的高级持续威胁(APT)发起的最新活动展示了其复杂性和快速集成流行云存储服务以避免被发现的能力。利用可信、合法的云服务对黑客组织来说已属加长便饭。延伸这一趋势，我们发现他们最近的两个活动第一次利用了谷歌Drive云存储服务。

Google宣布，其提议的价值54亿美元的收购网络安全公司Mandiant的交易现在已经完成。这家互联网巨头早在3月份就首次透露了收购上市公司Mandiant的计划，在Mandiant从其前任所有者FireEye剥离后不到一年的时间里，作为与私募股权公司Symphony Technology Group的12亿美元交易的一部分。 今后，Mandiant将在Google Cloud的支持下运营，但Mandiant的品牌将继续存在。

Google宣布，其提议的价值54亿美元的收购网络安全公司Mandiant的交易现在已经完成。这家互联网巨头早在3月份就首次透露了收购上市公司Mandiant的计划，在Mandiant从其前任所有者FireEye剥离后不到一年的时间里，作为与私募股权公司Symphony Technology Group的12亿美元交易的一部分。今后，Mandiant将在Google Cloud的支持下运营，但Mandiant的品牌将继续存在。

Google宣布，其提议的价值54亿美元的收购网络安全公司Mandiant的交易现在已经完成。这家互联网巨头早在3月份就首次透露了收购上市公司Mandiant的计划，在Mandiant从其前任所有者FireEye剥离后不到一年的时间里，作为与私募股权公司Symphony Technology Group的12亿美元交易的一部分。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 今后，Mandiant将在Google Cloud的支持下运营，但Mandiant的品牌将继续存在。

CI/CD管道中存在安全漏洞，攻击者可以利用这些漏洞来破坏开发过程并在部署时推出恶意代码。 近日，研究人员在Apache和Google的两个非常流行的开源项目的GitHub环境中发现了一对安全漏洞，可用于秘密修改项目源代码、窃取机密并在组织内部横向移动。 据Legit Security的研究人员称，这些问题是持续集成/持续交付（CI/CD）缺陷，可能威胁到全球更多的开源项目，目前主要影响Google Firebase项目和Apache运行的流行集成框架项目。 研究人员将这种漏洞模式称为“GitHub环境注入”。

如果你习惯使用 Chrome 浏览器上网，那么小编推荐你尽快检查下更新。在 Google 推出的更新中修复了追踪编号为 CVE-2022-3075 的高危零日漏洞，目前已经有证据表明有黑客利用该漏洞执行攻击。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 在部分匿名用户于 8 月 30 日报告该问题之后，Google 立即着手修复该问题。安装本次更新之后，Chrome 版本号升至为 105.0.5195.102，这也是 2022 年 Google 修复的第 6 个 Chrome 零日漏洞。

 0x01   漏洞简述2022年09月05日，360CERT监测发现Google官方发布了Google Chrome的风险通告，漏洞编号为CVE-2022-3075，漏洞等级：高危，漏洞评分：7.4。该漏洞已出现在野利用。由于Microsoft Edge（基于 Chromium）使用了 Chromium 开源软件 (OSS)，因此也受到影响，具体参见下方影响版本。Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。

最新消息显示，SharkBot 恶意软件的新升级版本已“回归”Google Play商店，这一次该恶意软件的目标是通过安装数万次的应用程序登录Android用户的银行业务。该恶意软件存在于两个 Android 应用程序中，这些应用程序在提交给 Google 的自动审查时没有任何恶意代码。但SharkBot实际会在用户安装并启动dropper应用程序后发生的更新中添加，此外还增加了从银行帐户登录中窃取 cookie 的功能。安全研究人员称，暗藏恶意软件的两款应用程序分别是“Mister Phone Cleaner”和“Kylhavy Mobile Security”，下载总数为60000次。

Hackernews 编译，转载请注明出处： 9月2日，谷歌发布了紧急补丁，以修复Chrome浏览器中的一个安全漏洞，据称该漏洞正在被广泛利用。 该漏洞被跟踪为CVE-2022-3075，涉及Mojo中数据验证不足的情况，Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。 这家互联网巨头表示：“谷歌知道有报道称CVE-2022-3075在野外存在漏洞，但没有深入研究有关攻击性质的更多细节，以防止其他黑客利用该漏洞。

无论你运行的是Windows、macOS还是Linux发行版，如果你是Chrome用户，现在有一个极其重要的更新需要安装。Google已经为所有三个平台发布了Chrome 105.0.5195.102，以解决这个被追踪为CVE-2022-3075的漏洞。这个安全漏洞与Mojo运行库中的数据验证有关，已知已在外部被利用，因此建议用户积极寻求更新。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 该零日漏洞的补丁是Google今年迄今为止为Chrome浏览器发布的第六个补丁。由于相当明显的原因，该公司没有公布有关该问题的大量信息，该问题已被列为高度严重级别。

近日，据外媒，Debian 发布称由于隐私原因，将 Chromium 浏览器的默认搜索引擎从 Google 改为 DuckDuckGo。DuckDuckGo 是一个专注于隐私保护的搜索引擎，承诺不会跟踪使用者，而 Chromium 则是由 Google 主导开发的网页浏览器。 这个提议早在 2020 年 4 月 6 日就被提出，只不过近日才得以通过。更改的原因如公告中所述： 出于隐私原因，将默认搜索引擎更改为 DuckDuckGo。在设置 -> 搜索引擎下设置不同的搜索引擎（关闭：#956012）。

尽管 Google Translate 从未推出过桌面端版本，但是用户搜索就可能会在结果页面看到一些免费软件网站提供下载。伪装成 Google Translate 和其他 Google 服务的应用程序往往在很大程度上存在恶意，其中最广泛的是用于加密挖矿。 本周，IT 安全组织 Checkpoint Research (CRP) 发布了一份报告，称其发现了隐藏在看起来合法的应用程序（包括Google翻译）背后的加密挖掘恶意软件活动。这些程序在执行其广告功能的同时下载恶意软件以获得用户的信任。

本周，IT 安全组织 Checkpoint Research (CRP) 发布了一份报告，称其发现了隐藏在看起来合法的应用程序（包括Google翻译）背后的加密挖掘恶意软件活动。这些程序在执行其广告功能的同时下载恶意软件以获得用户的信任。研究人员在 Softpedia 和 Uptodown 等流行的软件下载网站上发现了来自土耳其开发商 Nitrokod 的恶意软件，这表明它是安全的。欺诈程序包括桌面版本的Google翻译、Yandex 翻译、微软翻译、YouTube Music、mp3 下载器和自动关闭应用程序。下载任何这些程序的用户应尽快卸载它们，并改用官方的基于 Web 或移动版本的版本。

Google早在2010年就推出了漏洞奖励计划（VRP）。顾名思义，它鼓励研究人员和网络安全专家检测安全问题和漏洞，然后私下向供应商报告。报告后，这些漏洞将被公司修复，发现问题的人将获得金钱奖励。在过去几年中，Google一直致力于统一该平台，并将其扩展到更多平台。今天，该公司宣布了又一次扩张，这次是在开放源代码软件（OSS）领域。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 Google强调，它是开放源码软件最大的贡献者和维护者之一，旗下有Golang、Angular和Fuchsia等项目，因此它理解保护这一领域的必要性。

Google 更新了 Google Play 政策，禁止 VPN 应用干扰或屏蔽广告。最新的政策于 11 月 1 日生效，禁止 VPNService 在未提供醒目披露声明和未征得用户同意的情况下收集个人数据和敏感用户数据；出于变现目的重定向或操控来自某个设备上其他应用的用户流量（例如，重定向广告流量，使之流经与用户所在国家/地区不同的国家/地区）；操控会影响应用变现的广告。提供隐私保护的 VPN 服务商对新政策表达了担忧。DuckDuckGo 不认为它会受到影响但会持续评估。

Google 近日宣布开源 Paranoid，该项目主要用于识别各种加密产品中的漏洞。该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品，以识别由编程错误或使用弱专有随机数生成器引起的问题。Paranoid 项目可以检测任意加密产品、以及那些由未知实现的系统（Google 将其称之为 “黑匣子”，其特性是源代码无法被检查）生成的产品。

新的研究称，在五大科技公司中，Google追踪的用户隐私数据比其他公司都多，而苹果追踪的数据最少。此前，苹果公司专门推出了《应用程序跟踪透明度》指引，以保护用户的隐私不受其他公司的影响。然而，一份新的报告称，苹果也在避免自己做任何超过运行其服务所需的追踪，据StockApps.com报道，苹果”是最有隐私意识的公司”。 研究人员评价：”苹果只存储维护用户账户所需的信息，这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。

8月23日消息，谷歌威胁分析小组（TAG）发现，名为Charming Kitten的伊朗政府支持团体，在其恶意软件库中增加了一个新工具，可以从Gmail、雅虎和微软Outlook账户中检索用户数据。 谷歌将该工具称为HYPERSCRAPE，该工具在2021年12月首次被发现。据说伊朗用这个开发中的软件入侵了二十余个帐户，已知最早的样本可以追溯到2020年。 Charming Kitten是一个高度活跃的高级持续性威胁（APT），据信与伊朗的伊斯兰革命卫队（IRGC）有关，曾参与过与政府利益一致的间谍活动。

在过去我们经常看到 Google 旗下的“Project Zero”团队曝光各种 Windows 系统漏洞，不过在几个月前微软披露了存在于 ChromeOS 系统中的一个漏洞。根据 Chromium 错误日志，微软的 365 Defender Research 团队发现了 Security: ChromeOS cras D-Bus SetPlayerIdentity，会导致内存严重损坏。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 在日志中写道：“在定位到本地内存损坏问题后，我们发现该漏洞可以通过操纵音频元数据远程触发。

据91Mobiles报道，数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示，科技公司收集了用户的大量敏感数据，似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为，但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。 在寻找哪家科技巨头从其用户那里收集最多的数据时，StockApps发现，这些公司从用户那里收集了多达39种数据，并在需要时使用这些数据，而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter：许多人每天都会频繁使用的网站/应用程序。

Hackernews 编译，转载请注明出处： 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击，该攻击达到每秒4600万次请求（RPS）。 攻击发生在6月1日9:45，它以每秒10000多次请求（rps）开始，目标是客户的HTTP/S负载均衡器。八分钟后，攻击速度增至每秒100000次请求，两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出，每秒请求量至少比之前的记录高出76%，该记录在6月被Cloudflare阻止，达到2600万RPS。 谷歌表示：“这是迄今为止报告的最大的第7层DDoS攻击，比之前报告的记录至少大76%。

 0x01   漏洞简述2022年08月18日，360CERT监测发现Google Chrome发布了Google Chrome 远程代码执行的风险通告，漏洞编号为CVE-2022-2856，漏洞等级：高危，漏洞评分：8.8。该漏洞已存在在野利用对此，360CERT建议广大用户及时将Chrome升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

本周早些时候，Google 发布公告表示会在近期推送 Chrome 104 稳定版的安全维护更新。安装之后 Mac 平台版本升至 104.0.5112.101，而 Windows 版本则升至 104.0.5112.102/101。根据更新日志，本次维护更新并未引入任何新的功能，而是修复了不少于 11 处安全漏洞，其中一个漏洞已经有证据表明被黑客利用。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 这个有证据表明被黑客利用的漏洞追踪编号为 CVE-2020-2856，Google 在确保大部分用户安装升级之后才会公开相关的细节。

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样，在更新大多数用户之前，这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。

近日，奇安信CERT监测到Google Chrome官方发布安全通告，其中包括Google Chrome 代码执行漏洞(CVE-2022-2856)，由于Intents对不可信输入数据的验证不足，Google Chrome 存在远程代码执行漏洞。攻击者可通过诱导用户打开特制页面来利用此漏洞，配合其他漏洞可在目标系统上执行任意代码。目前，官方已监测到在野利用，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。