1、Android TV 曝出bug 或导致用户私人照片泄露
近日,Twitter 网友prashanth 爆料称,他发现了Android TV 的一个bug,或导致用户私人照片被泄露。当他连接到一台Vu Android TV、并选择“切换其他账号”时,竟然能够查看到所有用过这台电视的人的名字和头像,实在是太令人震惊了!由prashanth 晒出的视频可知,你还可以通过Android TV 的幻灯片功能,来查看其他用户的私人照片。
尽管后续在与谷歌沟通的过程中,官方给出的回应是他无法访问任何人的Google Photos 。
据悉,Android TV 的这个bug,会将其它用户错误地列为Google Home 应用中的关联账户,从而引发了可能暴露私人照片的风险。
在致XDA-Developers 的一份声明中,谷歌表示该公司在“非常严肃地”保护用户的隐私,并在调查汇报的问题时禁用了此功能。
参考来源:
http://hackernews.cc/archives/24989
2、macOS 被曝内核存在高危漏洞
macOS 的内核XNU 在某些情况下允许写时复制(copy-on-write,COW)行为,COW 是一种本质上没有缺陷的资源管理技术,它有一个重要的作用是可以保护复制的内存以防后续通过源程序修改,避免源进程被利用双读。但是在macOS 这里COW 似乎出了问题。
研究人员表示,这种写时复制行为不仅适用于匿名内存,也适用于文件映射。这意味着,目标进程开始从转储存储区读取后,内存压力会导致保持转储内存的页面从页面缓存中被逐出。而被逐出的页面需要再次使用时,可以从后台文件系统重新加载。
macOS 允许普通用户挂载文件系统镜像,而如果修改用户已挂载文件系统镜像,该行为并不会被通知给虚拟管理子系统。也就是说攻击者可以在不发出通知的情况下改变磁盘文件虚拟管理子系统。
谷歌的Project Zero 团队以发现各个公司产品的安全漏洞而闻名,其成员在软件中找到安全漏洞,私下向制造商报告,并在公开披露之前给他们90 天的时间来解决问题。据neowin 网站介绍,此次关于macOS 的这个漏洞,团队发现于2018 年11 月,但是90 天内苹果公司并未作出回应,于是研究人员将其公开。目前苹果已经着手与Project Zero 联合开发相应补丁。
参考来源:
https://www.oschina.net/news/104876/high-severity-flaw-in-macos-kernel
3、谷歌信息安全业务Chronicle发布首款商用产品
从Google X中分拆出的信息安全业务、Alphabet旗下Chronicle本周发布了首款商用产品:一个名为Backstory的信息安全数据平台。利用谷歌庞大的基础设施和数据分析能力,Backstory为信息安全分析师提供了从大量警报中解析出潜在威胁的能力,帮助他们更快地找到真正的漏洞。
在竞争激烈的美国信息安全产品市场上,目前还没有太多方法将来自不同产品的数据整合到统一的系统中。
技术研究公司Enterprise Strategy Group高级分析师琼恩·奥尔特西克(Jon Oltsik)表示:“信息安全专家供不应求,他们更倾向于把时间花在实际的安全工作中,而不是管理安全数据的基础设施。这给云计算厂商带来了良机,这些厂商已经拥有能处理正在产生的大量安全信息的全球云基础设施。”
Chronicle没有公布价格细节,但该公司CEO史蒂芬·吉列特(Steven Gillett)表示,这款产品不会基于数据量这种众所周知的定价方式,因为这种方式可能会给客户带来意料之外的高额账单。Chronicle表示,授权将根据公司规模而定,而不是根据客户数据的规模。
他同时表示,Chronicle并不打算取代当前的信息安全公司。他已致电一些顶级供应商的CEO,向他们保证Chronicle正在寻找合作伙伴,而不是竞争对手。
然而,某种程度的竞争仍然不可避免。提供安全信息和事件管理服务(SIEMs)的公司最可能成为Chronicle的竞争对手。这样的供应商包括IBM、Rapid7和Splunk等。
谷歌在信息安全领域的发展已经有一段时间。2012年谷歌收购了VirusTotal。后者是美国公司广泛使用的免费服务,支持客户记录和查找威胁。这款产品随后被合并至Chronicle。吉列特表示,将继续免费提供VirusTotal,让美国和欧洲各个行业、各种规模的公司都有方便了解Backstory服务的渠道。
Chronicle还在用户界面方面有优势。这款产品的界面和使用感受都非常简单,类似谷歌搜索引擎。
参考来源:
https://tech.sina.com.cn/i/2019-03-05/doc-ihsxncvf9872373.shtml