井底圈小蛙
关注科技圈

谷歌将为对用户的位置跟踪支付3.91亿美元,支付研究人员7万美元奖励其发现的安卓锁屏绕过漏洞

谷歌支付3.91亿美元用于跟踪用户

密歇根总检察长办公室周一表示,Alphabet旗下的谷歌将支付3.915亿美元,以解决40个州对该搜索和广告巨头非法跟踪用户位置的指控。

由俄勒冈州和内布拉斯加州牵头的调查和和解表明,近几个月来各州检察长积极针对该公司的用户跟踪行为,给这家科技巨头带来了越来越多的法律麻烦。

爱荷华州总检察长办公室表示,除了付款之外,谷歌还必须对消费者更透明地说明位置跟踪发生的时间,并在特殊网页上向用户提供有关位置跟踪数据的详细信息。

“当消费者决定不在他们的设备上共享位置数据时,他们应该能够相信公司将不再跟踪他们的一举一动,”爱荷华州总检察长汤姆米勒在一份声明中说。“这项和解清楚地表明,公司在跟踪客户以及遵守州和联邦隐私法方面必须保持透明。”

亚利桑那州对谷歌提起了类似诉讼,并在2022年10月以8500万美元的价格达成和解。

德克萨斯州、印第安纳州、华盛顿州和哥伦比亚特区在1月份起诉了谷歌,因为他们称欺骗性的位置追踪做法侵犯了用户的隐私。

谷歌发言人Jose Castaneda表示:“根据我们近年来所做的改进,我们已经解决了这项基于我们多年前更改的过时产品政策的调查。”

谷歌今年上半年的广告收入为1110亿美元,超过任何其他在线广告销售商。消费者的位置是帮助广告商消除数字混乱、使广告更具相关性并吸引消费者注意力的关键。

谷歌向漏洞研究人员支付7万美元

一位研究人员在发现一种无需密码即可解锁Android手机的方法后,从谷歌获得了70000美元的报酬,而他是偶然做到的。

匈牙利的研究人员David Schütz报告了这个高危漏洞,被编号为CVE-2022-20465,它被描述为由于代码中的逻辑错误导致的锁屏绕过,可能导致本地权限升级,不需要额外的执行权限。

虽然该漏洞利用确实需要攻击者拥有Android设备,但它是一种绕过由PIN、形状、密码、指纹或面部保护的屏幕锁定的有效方法。Schütz在旅行了24小时后发现了这个漏洞,他的Pixel6在发送一系列短信时死机了。

连接充电器并重启设备后,PPixel要求输入SIM卡的PIN码,这与锁屏密码是分开的;它旨在阻止某人窃取您的SIM卡并使用它。Schütz不记得他的密码,导致SIM在他输入三个错误号码后被锁定。

重置锁定的SIM卡的唯一方法是使用个人解锁码或PUK。这些代码通常印在SIM卡的包装上,或者可以通过致电运营商的客户支持获得。Schütz使用了前者,使他能够重置密码。但是,Pixel没有要求输入锁屏密码,而只是要求进行指纹扫描;出于安全考虑,安卓设备在重启后会要求输入密码/PIN。

Schütz对这种异常现象进行了实验。最终,他发现在不重启设备的情况下重现这些操作可以实现完全锁屏绕过——甚至不需要指纹。

Schütz说这个过程在他的Pixel6和Pixel5上有效。谷歌在11月5日的最新Android更新中修复了它,但犯罪分子可能已经利用它至少六个月。所有运行安卓10到安卓13的设备,如果没有更新到2022年11月的补丁,仍然有漏洞。

谷歌可以向报告锁屏绕过漏洞的人支付最高10万美元。Schütz收到了较少的7万美元,因为有人已经报告了他发现的那个,但谷歌无法复现它。

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《谷歌将为对用户的位置跟踪支付3.91亿美元,支付研究人员7万美元奖励其发现的安卓锁屏绕过漏洞》
文章链接:https://www.qxwa.com/google-to-pay-391-million-for-location-tracking-of-users-and-will-pay-researchers-70000-for-their-discovery-of-an-android-lock-screen-bypass-vulnerability.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们