Die Autoren vom Privacy, Safety and Security Team von Google betonen die Bedeutung von KI in der Cybersicherheit. Sie arbeiteten mit Airbus zusammen, um das GenSec Capture the Flag (CTF)-Event auf der DEF CON 33 zu veranstalten. Das Hauptziel war es, das Lernen und die Erforschung der Rolle von KI in Cybersicherheits-Workflows zu erleichtern. Die Veranstaltung zog fast 500 Teilnehmer mit unterschiedlichen Fähigkeiten an. Ein erheblicher Prozentsatz der Teilnehmer hatte keine Erfahrung mit der Verwendung von KI in der Sicherheit. Eine überwältigende Mehrheit empfand die Veranstaltung als nützlich, um mehr über KI-Anwendungen zu erfahren. Sie stellten Sec-Gemini, Googles experimentelle Cybersicherheits-KI, als Werkzeug innerhalb des CTF vor. Das Feedback zu Sec-Gemini war überwältigend positiv und hilfreich für die Teilnehmer. Die Autoren würdigten die begeisterte Teilnahme und das wertvolle Community-Feedback. Sie planen, die gewonnenen Erkenntnisse zur Verbesserung von Sec-Gemini zu nutzen. Das Team engagiert sich weiterhin für die Weiterentwicklung von KI in der Cybersicherheit und die Weitergabe seiner Forschungsergebnisse.

Rowhammer ist eine Hardware-Schwachstelle in DRAM, bei der wiederholter Zugriff auf eine Speicherzeile Daten in benachbarten Zeilen beschädigen kann. Dies kann für unbefugten Zugriff, Privilegienerweiterung oder Denial-of-Service ausgenutzt werden. Obwohl Abhilfemaßnahmen wie ECC und Target Row Refresh (TRR) existieren, ist ihre Wirksamkeit gegen hochentwickelte Angreifer fraglich. Google hat die Forschung unterstützt und Testplattformen entwickelt, um DDR5-Speicher zu analysieren und neue Angriffe zu entdecken. Rowhammer nutzt die Notwendigkeit von DRAM für periodische Aktualisierungszyklen zur Datenaufrechterhaltung aus, und aggressiver Zugriff kann Bit-Flips verursachen. Angreifer können dies ausnutzen, indem sie Bit-Flips auslösen und das System zwingen, diese beschädigten Seiten zu verwenden. Frühere Forschungen haben Rowhammer-Angriffe von Software aus demonstriert, was es zu einem Problem für Multi-Tenant-Umgebungen wie die Cloud macht. Target Row Refresh (TRR) versucht dies zu mildern, indem Opferzeilen aktualisiert werden, wenn benachbarte Angreiferzeilen häufig aufgerufen werden. Angriffe wie TRRespass haben jedoch gezeigt, dass TRR umgangen werden kann. Google arbeitete an PRAC, einer neuen Abhilfemaßnahme, die Speicherzeilenaktivierungen deterministisch verfolgt. Aktuelle DDR5-Systeme verlassen sich oft auf probabilistische Maßnahmen wie ECC und erweitertes TRR, deren Wirksamkeit gegen neue Angriffe unklar war. Die Bewertung von Rowhammer erfordert das Verständnis, wie Abhilfemaßnahmen funktionieren, wie Softwarezugriffe in Befehle auf niedriger Ebene übersetzt werden und welche Rolle hostseitige Abhilfemaßnahmen spielen. Reverse-Engineering proprietärer DRAM-Mechanismen und die Analyse des DDR-Datenverkehrs erfordern spezielle Testplattformen. Google hat sich mit Antmicro zusammengetan, um Open-Source-FPGA-basierte Rowhammer-Testplattformen für RDIMMs und SO-DIMMs zu erstellen. Mit diesen Plattformen entwickelten Forscher benutzerdefinierte Angriffsmuster, die erweitertes TRR auf DDR5 umgingen, was zur ersten Rowhammer-Privilegienerweiterung auf einem Produktions-Desktop führte. Aktuelle Abhilfemaßnahmen sind unzureichend, da probabilistische Gegenmaßnahmen nicht genügend Entropie aufweisen und ECC nicht als Sicherheitsmaßnahme konzipiert ist. Speicherverschlüsselung ohne Integritätsprüfungen ist ebenfalls keine praktikable Verteidigung. Google arbeitet weiterhin an der Verbesserung der Gegenmaßnahmen und arbeitet mit Partnern zusammen, um die Analyse und das Testen zu verbessern und die Ergebnisse mit dem breiteren Ökosystem zu teilen.

Die Pixel 10-Telefone von Google werden C2PA Content Credentials integriert in die Kamera und Foto-App enthalten, um die Transparenz digitaler Medien zu verbessern. Damit ist das Pixel 10 das erste Gerät mit integrierten Content Credentials für alle Pixel Camera-Fotos. Die Pixel Camera-App erreichte die Assurance Level 2, die höchste C2PA-Sicherheitsbewertung, die auf Android aufgrund seiner Hardware-Sicherheit möglich ist. Ein Privacy-by-Design-Ansatz gewährleistet die Anonymität der Nutzer und verhindert die Verknüpfung von Bildern oder Erstellern. Das Pixel 10 unterstützt On-Device Trusted Timestamps, die die Echtheit von Bildern auch nach Ablauf des Zertifikats und offline garantieren. Diese Funktionen werden von Google Tensor G5, dem Titan M2-Sicherheitschip und der hardwaregestützten Sicherheit von Android angetrieben. Content Credentials liefern überprüfbare Informationen über die Erstellung von Medien und unterscheiden zwischen KI-generierten und unveränderten Inhalten. Googles Ansatz konzentriert sich auf den nachweisbaren Erstellungsnachweis und nicht auf eine einfache KI/Nicht-KI-Kategorisierung. Die Implementierung priorisiert Sicherheit von der Hardware bis zu den Anwendungen, Datenschutz durch anonyme Attestierung und eindeutige Schlüssel pro Bild sowie Offline-Nutzbarkeit mit einem On-Device Trusted Timestamping-System. Diese Initiative zielt darauf ab, Vertrauen in digitale Medien zu fördern und eine breitere Akzeptanz dieser Sicherheits- und Datenschutzstandards in der Branche zu fördern.

Der geschützte KVM (pKVM) Hypervisor von Android hat die SESIP Level 5 Zertifizierung erhalten, ein bedeutender Meilenstein für die Sicherheit quelloffener Software. Diese Zertifizierung macht pKVM zum ersten Softwaresicherheitssystem für Unterhaltungselektronik, das diese hohe Vertrauensstufe erreicht. Die Errungenschaft unterstreicht die Fähigkeit von pKVM, fortschrittliche Android-Funktionen sicher zu unterstützen, einschließlich der Verarbeitung von KI auf dem Gerät mit sensiblen persönlichen Daten. Die strenge Bewertung wurde von Dekra, einem Labor für Cybersicherheitszertifizierung, gemäß dem TrustCB SESIP-Schema durchgeführt. Das Erreichen von SESIP Level 5 bedeutet, dass pKVM die höchsten Standards für Schwachstellenanalyse und Penetrationstests nach ISO 15408 bestanden hat. Dies signalisiert Widerstandsfähigkeit gegenüber hochentwickelten und gut ausgestatteten Angreifern. Das zertifizierte pKVM dient als grundlegendes Element für die sich entwickelnde Sicherheitsstrategie von Android. Es adressiert Inkonsistenzen bei den Zertifizierungen von Trusted Execution Environments (TEE) in der Branche, indem es eine einheitliche, quelloffene und überprüfbare Sicherheitsbasis bietet. Android-Gerätehersteller werden bald verpflichtet sein, für kritische Gerätefunktionen eine Isolationstechnologie zu verwenden, die denselben Sicherheitsstandard erfüllt. Diese gemeinsame Anstrengung, an der die Linux- und KVM-Communities sowie Googles Ingenieurteams beteiligt sind, verspricht eine neue Ära der mobilen Technologie mit hoher Vertrauenswürdigkeit.

Das Google Open Source Security Team hat OSS Rebuild angekündigt, ein Projekt, das darauf abzielt, das Vertrauen in Open-Source-Paketökosysteme durch die Reproduktion von Upstream-Artefakten zu stärken. Das Projekt bietet Automatisierung zur Ableitung deklarativer Build-Definitionen, SLSA-Herkunft für Tausende von Paketen sowie Tools zur Beobachtbarkeit und Verifizierung von Builds. OSS Rebuild hilft Sicherheitsteams, Kompromittierungen zu vermeiden, ohne die Upstream-Maintainer zu belasten. Open-Source-Software ist zur Grundlage unserer digitalen Welt geworden, aber ihre Allgegenwart macht sie zu einem attraktiven Ziel für Angriffe auf die Lieferkette. Jüngste hochkarätige Angriffe haben das Vertrauen in offene Ökosysteme erschüttert und zu Zögern bei Mitwirkenden und Nutzern geführt. OSS Rebuild befähigt die Sicherheitsgemeinschaft, ihre Lieferketten tiefgreifend zu verstehen und zu kontrollieren, indem es den Paketkonsum transparent macht. Das Projekt nutzt einen deklarativen Build-Prozess, Build-Instrumentierung und Netzwerküberwachungsfunktionen, um feingranulare, dauerhafte und vertrauenswürdige Sicherheitsmetadaten zu produzieren. OSS Rebuild kann mehrere Klassen von Kompromittierungen der Lieferkette erkennen, darunter nicht eingereichten Quellcode, Kompromittierung der Build-Umgebung und heimliche Backdoors. Das Projekt bietet Funktionen für Unternehmen, Sicherheitsexperten, Publisher und Maintainer von Open-Source-Paketen, um Metadaten zu verbessern, SBOMs zu erweitern und die Reaktion auf Schwachstellen zu beschleunigen. OSS Rebuild lädt Entwickler, Unternehmen und Sicherheitsforscher ein, sich zu beteiligen und zur Verbesserung der Unterstützung für kritische Ökosysteme und Pakete beizutragen.

"Android hat den Erweiterten Schutz eingeführt, eine geräteseitige Sicherheitseinstellung, die Nutzern, die sie benötigen, wie Journalisten und Persönlichkeiten des öffentlichen Lebens, eine erhöhte Sicherheit bietet. Der Erweiterte Schutz integriert sich in Chrome auf Android, um einen besseren Schutz vor hochentwickelten Bedrohungen zu bieten. Die Integration umfasst drei Hauptfunktionen: die Aktivierung von "Immer sichere Verbindungen verwenden", vollständige Website-Isolation und die Reduzierung der Angriffsfläche durch Deaktivierung von JavaScript-Optimierungen. "Immer sichere Verbindungen verwenden" erzwingt HTTPS-Verbindungen und bittet um ausdrückliche Erlaubnis, bevor eine Verbindung zu unsicheren Websites hergestellt wird. Diese Funktion ist für alle Chrome-Nutzer verfügbar und kann außerhalb des Erweiterten Schutzes gesteuert werden. Die vollständige Website-Isolation isoliert jede Website in ihrem eigenen Rendering-Betriebssystemprozess, wodurch bösartige Websites daran gehindert werden, auf Daten oder Code von anderen Websites zuzugreifen. Diese Funktion ist auf Android-Geräten mit 4 GB+ RAM im Erweiterten Schutzmodus verfügbar. Die Deaktivierung von JavaScript-Optimierungen reduziert die Angriffsfläche von Chrome, kann jedoch bei einigen Websites zu Leistungsproblemen führen. Diese Funktion kann von Nutzern und Unternehmen außerhalb des Erweiterten Schutzmodus gesteuert werden. Chrome zielt darauf ab, eine sichere Standardkonfiguration für alle Nutzer bereitzustellen und gleichzeitig Nutzern mit unterschiedlichen Risikoprofilen zu ermöglichen, ihre Sicherheitseinstellungen an ihre Bedürfnisse anzupassen."

Der Aufstieg generativer KI führt zu indirekten Prompt-Injections, bei denen sich bösartige Anweisungen in externen Datenquellen wie E-Mails verstecken. Diese Angriffe können KI-Systeme manipulieren, Daten exfiltrieren und unerlaubte Aktionen ausführen, was robuste Sicherheitsmaßnahmen erfordert. Google setzt für Gemini eine mehrschichtige Verteidigung ein, die Modelle absichert und maschinelles Lernen zur Erkennung bösartiger Anweisungen nutzt. Prompt-Injection-Inhaltsklassifikatoren filtern schädliche Daten, während die Verstärkung des Sicherheitsdenkens die KI dazu bringt, gegnerische Befehle zu ignorieren. Markdown-Sanierung und die Reduktion verdächtiger URLs verhindern die Datenexfiltration über Bilder und unsichere Links. Ein Benutzerbestätigungsrahmenwerk erfordert eine explizite Zustimmung für riskante Aktionen und fügt der Sicherheit ein menschliches Element hinzu. Sicherheitswarnungen für Endbenutzer informieren die Benutzer über gestoppte Angriffe und bieten Lernressourcen. Google arbeitet mit Forschern zusammen und teilt Bedrohungsinformationen, um die KI-Sicherheit zu stärken. Das Unternehmen nutzt Red Teaming, BugSWAT-Events und Frameworks wie SAIF, um Verteidigungsmaßnahmen zu testen und zu verbessern. Zukünftige Gemini-Modelle werden eine verbesserte Widerstandsfähigkeit und zusätzliche Abwehrmechanismen gegen Prompt-Injections aufweisen. Googles Ansatz wird in verschiedenen Ressourcen detailliert beschrieben, für diejenigen, die KI-Sicherheitsbedrohungen und -minderungsstrategien verstehen möchten.

Google Chrome hat die Entfernung des standardmäßigen Vertrauens in Chunghwa Telecom und Netlock angekündigt, aufgrund von Mustern besorgniserregenden Verhaltens, die im Laufe des letzten Jahres beobachtet wurden. Die Chrome Root Program Policy verlangt, dass Zertifizierungsstellen-Zertifikate für Chrome-Endnutzer einen Wert bieten, der das Risiko ihrer fortgesetzten Aufnahme übersteigt. Das Vertrauen von Chrome in die Zuverlässigkeit von Chunghwa Telecom und Netlock als CA-Betreiber hat nachgelassen, was zu einem Verlust von Integrität und Vertrauen führt. Infolgedessen wird Chrome ab dem 1. August 2025 in den Versionen 139 und höher keine neuen TLS-Zertifikate mehr vertrauen, die von diesen CAs ausgestellt werden. Diese Änderung betrifft Zertifikate, die nach dem 31. Juli 2025 ausgestellt werden, hat aber keine Auswirkungen auf bestehende Zertifikate, die vor diesem Datum ausgestellt wurden. Website-Betreiber können mit dem Chrome Certificate Viewer feststellen, ob sie betroffen sind, und es wird empfohlen, so schnell wie möglich zu einem neuen, öffentlich vertrauenswürdigen CA-Betreiber zu wechseln. Um Störungen zu minimieren, hat Chrome ein Befehlszeilen-Flag eingeführt, mit dem Administratoren und Power-User die Auswirkungen der Änderung simulieren können, bevor sie wirksam wird. Unternehmen können Chrome Root Store-Beschränkungen außer Kraft setzen, indem sie das entsprechende Root-CA-Zertifikat als lokal vertrauenswürdige Root-CA auf der Plattform installieren, auf der Chrome ausgeführt wird. Die Änderung wird in den Versionen von Chrome 139 und höher unter Windows, macOS, ChromeOS, Android und Linux wirksam, betrifft aber aufgrund der Apple-Richtlinien nicht Chrome für iOS. Insgesamt ist das Ziel dieser Änderung, Chrome-Nutzer zu schützen und die Integrität des Chrome Root Stores zu bewahren, indem sichergestellt wird, dass nur vertrauenswürdige und zuverlässige CA-Betreiber aufgenommen werden.

"Google Quantum AI arbeitet daran, Quantencomputer zu bauen, die bisher unlösbare Probleme lösen können, aber dies bedeutet auch, dass groß angelegte Quantencomputer die aktuellen öffentlichen Schlüssel-Algorithmen brechen könnten. Um diesem Problem zu begegnen, hat Google mit dem US-amerikanischen National Institute of Standards and Technology (NIST) zusammengearbeitet, um post-quantum-Kryptographie (PQC) zu entwickeln und umzustellen, die resistente gegen Angriffe durch Quantencomputer ist. Eine kürzlich durchgeführte Studie hat gezeigt, dass ein Quantencomputer mit 1 Million noisy Qubits die 2048-Bit-RSA-Verschlüsselung brechen kann innerhalb von einer Woche, was eine 20-fache Verringerung gegenüber vorherigen Schätzungen darstellt. Dies unterstreicht die Wichtigkeit, zu PQC-Standards gemäß den empfohlenen Zeitplänen von NIST zu migrieren. Die Verringerung der physischen Qubit-Anzahl kommt von besseren Algorithmen und besserer Fehlerkorrektur. Die Sicherheitsimplikationen von Quantencomputern sind erheblich, insbesondere für die Verschlüsselung während der Übertragung und digitale Signaturen. Google hat begonnen, den Datenverkehr mit PQC-Algorithmen zu verschlüsseln und hat PQC-Signaturschemata in Cloud KMS hinzugefügt. Der interne Bericht von NIST empfiehlt, veraltete Systeme nach 2030 zu deprecieren und sie nach 2035 zu verbieten. Die Arbeit von Google unterstreicht die Wichtigkeit, diesem empfohlenen Zeitplan zu folgen. Der Übergang zu PQC ist komplex, aber notwendig, um "store now, decrypt later"-Angriffe zu verhindern."

Tech-Support-Betrug ist eine zunehmende Form der Cyberkriminalität, bei der Betrüger Benutzer glauben machen, ihr Computer habe ein schwerwiegendes Problem, um dann Geld zu erpressen oder unerlaubten Zugriff zu erhalten. Diese Betrugsmaschen verwenden oft alarmierende Pop-up-Warnungen, die den gesamten Bildschirm einnehmen und die Tastatur- und Maussteuerung deaktivieren, um ein Gefühl der Krise zu erzeugen. Chrome arbeitet schon immer mit Google Safe Browsing zusammen, und ab Chrome 137 bietet es einen zusätzlichen Schutz durch das Gemini Nano Large Language Model (LLM), um potenziell gefährliche Websites zu erkennen. Das LLM generiert Signale, die von Safe Browsing verwendet werden, um sicherere Urteile über Betrugsmaschen zu fällen. Der gerätebasierte Ansatz ermöglicht es Chrome, Angriffe zu erkennen und zu blockieren, die noch nicht gecrawlt wurden, und Bedrohungen so zu sehen, wie die Benutzer sie sehen. Wenn ein Benutzer zu einer potenziell gefährlichen Seite navigiert, wertet Chrome die Seite mit dem LLM aus und sendet die Informationen an Safe Browsing zur endgültigen Beurteilung. Wenn die Seite wahrscheinlich eine Betrugsmasche ist, wird eine Warnungsseite angezeigt. Diese Funktion schont Leistung und Privatsphäre, und Chrome plant, sie zur Erkennung anderer Betrugstypen zu verwenden und sie noch in diesem Jahr auf Chrome für Android auszurollen.

Das Sec-Gemini-Team hat die Veröffentlichung von Sec-Gemini v1 angekündigt, einem experimentellen AI-Modell, das die Grenzen der künstlichen Intelligenz im Bereich der Cybersicherheit weiter vorantreiben soll. Das Modell zielt darauf ab, Verteidigern zu helfen, sich gegen Cyber-Bedrohungen zu schützen, indem es AI-gestützte Cybersicherheits-Workflows nutzt. Derzeit stehen Verteidiger vor der überwältigenden Aufgabe, sich gegen alle Cyber-Bedrohungen zu schützen, während Angreifer nur ein einziges Schwachstellen finden und ausnutzen müssen. AI-gestützte Cybersicherheits-Workflows haben das Potenzial, das Gleichgewicht wieder zugunsten der Verteidiger zu verschieben, indem sie die Arbeit von Cybersicherheits-Profis vervielfachen. Sec-Gemini v1 kombiniert fortschrittliche Fähigkeiten mit nahezu Echtzeit-Cybersicherheits-Know-how und -Tooling, um eine überlegene Leistung bei wichtigen Cybersicherheits-Workflows zu erzielen. Das Modell übertrifft andere Modelle bei wichtigen Cybersicherheits-Benchmarks, einschließlich der Analyse der Ursache von Zwischenfällen, der Bedrohungsanalyse und des Verständnisses der Auswirkungen von Schwachstellen. Sec-Gemini v1 wird freiwillig ausgewählten Organisationen, Institutionen, Fachleuten und Nichtregierungsorganisationen für Forschungszwecke zur Verfügung gestellt, um die Zusammenarbeit innerhalb der Cybersicherheits-Community zu fördern. Das Modell wurde mit Google Threat Intelligence, OSV und anderen wichtigen Datenquellen integriert, um umfassende Antworten auf wichtige Cybersicherheits-Fragen zu liefern. Sec-Gemini v1 hat seine Fähigkeiten unter Beweis gestellt, indem es andere Modelle bei den Benchmarks CTI-MCQ und CTI-Root Cause Mapping übertraf, mit Verbesserungen von mindestens 11% und 10,5% jeweils. Das Sec-Gemini-Team lädt interessierte Parteien ein, sich an der Weiterentwicklung der AI-Cybersicherheits-Grenze zu beteiligen, indem sie einen Antrag auf frühen Zugriff auf Sec-Gemini v1 über ein bereitgestelltes Formular stellen.

Das Google Open Source Security Team, in Partnerschaft mit NVIDIA und HiddenLayer, hat die erste stabile Version einer Modell-Signatur-Bibliothek als Teil der Open Source Security Foundation veröffentlicht. Diese Bibliothek ermöglicht es Benutzern, zu überprüfen, ob das von einer Anwendung verwendete Modell dasselbe ist, das von den Entwicklern erstellt wurde, indem digitale Signaturen wie die von Sigstore verwendet werden. Die rasante Evolution großer Sprachmodelle (LLMs) hat neue Sicherheitsbedrohungen wie Modell- und Datenvergiftung, Prompt-Injektion und Prompt-Umgehung geöffnet. Der ML-Lieferprozess ist anfällig für Manipulationen, da Modelle eine uninspektionable Sammlung von Gewichten sind, die von Angreifern geändert werden können. Um Vertrauen in Modelle zu erlangen, müssen Benutzer ihre Integrität und Herkunft überprüfen, was durch kryptographische Signierung erreicht werden kann. Der ML-Lieferprozess umfasst drei Stufen: Training, Feinabstimmung und Einbettung in eine Anwendung, jede von verschiedenen Teams oder Unternehmen gehandhabt, was Manipulationsmöglichkeiten schafft. Modell-Signierung kann Manipulationen verhindern, indem die Integrität des Modells in jeder Stufe überprüft wird. Die veröffentlichte Modell-Signatur-Bibliothek ist ein Python-Paket, das Sigstore und traditionelle Signiermethoden unterstützt und die Skalierbarkeit von ML-Modellen handhaben kann. Das Ziel ist es, die Modell-Signierung auf Datensätze und andere ML-bezogene Artefakte auszuweiten und tamper-sichere Metadaten-Records zu erstellen, die automatisierte Reaktionen auf Vorfälle ermöglichen. Das Projekt zielt darauf ab, ein Vertrauensökosystem für ML zu schaffen und lädt die Open-Source-Community ein, sich anzuschließen und die Zukunft des Projekts mitzugestalten.

"Das Chrome-Root-Programm, das 2022 lanciert wurde, zielt darauf ab, sichere Netzwerkverbindungen in Chrome durch die Förderung von Technologien zu verbessern, die die TLS-Sicherheit stärken. Die Vision des Programms, "Vorwärts, gemeinsam", konzentriert sich auf Themen wie moderne Infrastruktur, Einfachheit, Automatisierung und die Verringerung von Fehlausstellungen, die alle mit den Kernprinzipien von Chrome übereinstimmen. Zwei Initiativen von "Vorwärts, gemeinsam", die Mehrperspektivische Ausstellungskorrelation (MPIC) und das Linting, sind jetzt erforderliche Praktiken in den Baseline-Anforderungen des CA/Browser-Forums geworden. MPIC verbessert die Überprüfung der Domain-Kontrolle, indem Anforderungen von mehreren geografischen Standorten überprüft werden, um Routing-Angriffe zu minimieren. Linting automatisiert die Analyse von X.509-Zertifikaten, um Fehler zu vermeiden und die Einhaltung von Industriestandards sicherzustellen. Beide, MPIC und Linting, werden ab dem 15. März 2025 für Zertifizierungsstellen erforderlich sein, die öffentlich vertrauenswürdige Zertifikate ausstellen. Das Chrome-Root-Programm hat kürzlich seine Richtlinie aktualisiert, um sie mit den Zielen von "Vorwärts, gemeinsam" in Einklang zu bringen. Schwächere Methoden der Domain-Kontrolle werden ab dem 15. Juli 2025 verboten. Das Programm betont die kontinuierliche Zusammenarbeit mit Web-Sicherheitsfachleuten, um das Web-PKI-Ökosystem zu verbessern. Zukünftige Pläne umfassen die Erkundung eines neu konzipierten Web-PKI mit stärkeren Sicherheitsgarantien für die Ära der post-quanten Kryptographie."

Google hat die Verfügbarkeit seiner Titan Security Keys auf über zehn neue Länder ausgeweitet, wodurch sich die Gesamtzahl auf 22 erhöht. Zu diesen Ländern gehören Irland, Portugal, die Niederlande, Dänemark, Norwegen, Schweden, Finnland, Australien, Neuseeland, Singapur und Puerto Rico. Titan Security Keys sind physische Geräte, die die Kontensicherheit verbessern, indem sie als starkes zweites Passwort dienen. Diese Schlüssel schützen vor Phishing und Online-Angriffen, indem sie Passkeys auf einem dedizierten Gerät speichern. Sie sind benutzerfreundlich und kompatibel mit verschiedenen Geräten und Diensten über den FIDO2-Standard. Benutzer stecken den Schlüssel einfach in einen USB-Anschluss oder tippen ihn per NFC zur Identitätsprüfung an. Der Vorgang beinhaltet das Drücken eines Knopfes am Schlüssel, wenn dies während der Anmeldung aufgefordert wird. Titan Security Keys sind im Google Store erhältlich. Diese Erweiterung spiegelt Googles Engagement für eine breitere Produktverfügbarkeit für erhöhte Online-Sicherheit wider. Durch die verbesserte Verfügbarkeit dieser Schlüssel möchte Google mehr Menschen dabei unterstützen, sich vor Online-Bedrohungen zu schützen.

Das Google Open Source Security Team hat OSV-Scanner V2.0.0 veröffentlicht, einen umfassenden Schwachstellenscanner und ein Tool zur Behebung von Schwachstellen mit breiter Unterstützung für Formate und Ökosysteme. Diese Version baut auf dem Fundament von OSV-SCALIBR auf und erweitert OSV-Scanner um bedeutende neue Funktionen. Die Integration von OSV-SCALIBR-Funktionen in OSV-Scanner ermöglicht eine verbesserte Abhängigkeitserkennung aus Projekten und Containern. OSV-Scanner V2 bietet Unterstützung für umfassendes, schichtbasiertes Scannen von Debian-, Ubuntu- und Alpine-Container-Images. Das Tool kann Container-Images analysieren, um Schichtenverlauf, Basis-Images und OS/Distributionsinformationen bereitzustellen. Ein neues interaktives lokales HTML-Ausgabeformat bietet mehr Interaktivität und Informationen im Vergleich zu reinen Terminalausgaben. Es wurde eine geführte Behebung für Maven pom.xml hinzugefügt, die ein optimiertes Schwachstellenmanagement ermöglicht. Das Team plant, die Konvergenz von OSV-Scanner und OSV-SCALIBR fortzusetzen, die Ökosystemunterstützung zu erweitern und Funktionen wie vollständige Dateisystem-Rechenschaftspflicht für Container und Erreichbarkeitsanalyse hinzuzufügen. Benutzer können OSV-Scanner V2 ausprobieren und zur laufenden Entwicklung beitragen, indem sie das OSV-Scanner- oder OSV-SCALIBR-Repository auschecken. Das Team freut sich über Feedback und Beiträge, um die Plattform zu verbessern und das Schwachstellenmanagement für alle einfacher zu gestalten.

Im Jahr 2024 vergab Googles Vulnerability Reward Program (VRP) fast 12 Millionen US-Dollar an über 600 Sicherheitsforscher weltweit. Das Programm wurde in mehreren Punkten verändert, darunter eine Überarbeitung der Belohnungsstruktur, die Einführung einer neuen Zahlungsoption und die Durchführung von Bug-Hunting-Events. Das Mobile VRP bietet jetzt bis zu 300.000 US-Dollar für kritische Schwachstellen in Top-Apps, während das Cloud VRP eine Top-Auszeichnung von bis zu 151.515 US-Dollar vorsieht. Beim Abuse VRP stieg die Auszahlung im Vergleich zum Vorjahr um 40 %, wobei über 250 gültige Fehler gemeldet wurden. Google veranstaltete außerdem zwei Ausgaben von bugSWAT, einem Schulungs- und Hacking-Event, und vier init.g-Workshops zur Förderung der nächsten Generation von Sicherheitsingenieuren. Das Android- und Google-Geräte-Sicherheitsbelohnungsprogramm vergab über 3,3 Millionen US-Dollar an Prämien an Forscher, die kritische Schwachstellen aufgedeckt hatten. Das Chrome VRP aktualisierte seine Belohnungsbeträge und -struktur und erhielt 337 Meldungen über eindeutige, gültige Sicherheitsfehler im Jahr 2024. Das Cloud VRP wurde im Oktober gestartet und hat über 400 Berichte sortiert, wobei über 200 eindeutige Sicherheitslücken für Google Cloud-Produkte und -Dienste gemeldet wurden. Googles Bug-Bounty-Programm für generative KI erhielt über 150 Fehlerberichte, die zu wichtigen Verbesserungen und über 55.000 US-Dollar an Belohnungen führten. Im Jahr 2025 feiert Google das 15-jährige Bestehen seines Vulnerability Reward Programms und konzentriert sich dabei auf die Erweiterung des Umfangs und die weitere Stärkung der Sicherheit seiner Produkte und Dienstleistungen.

Google hat sich bemüht, Benutzer vor Betrügereien und Fraud mit fortschrittlichen Technologien und Sicherheitsexpertise zu schützen. Im Jahr 2024 haben Betrüger mit Hilfe von AI-gestützten Werkzeugen und raffinierten Taktiken über 1 Billion Dollar von mobilen Verbrauchern weltweit gestohlen. Um diesem entgegenzutreten, startet Google zwei neue AI-gestützte Funktionen zur Erkennung von Betrügereien bei Anrufen und Textnachrichten. Diese Funktionen zielen auf konversationelle Betrügereien ab, die zunächst harmlos erscheinen, aber in gefährliche Situationen eskalieren können. Die Funktionen nutzen leistungsfähige Google-KI, um verdächtige Muster zu erkennen und Echtzeit-Warnungen während der Konversationen zu liefern, wobei die Benutzerdatenschutz priorisiert wird. Die Funktion zur Erkennung von Betrügereien in Nachrichten wird in Google Messages eingeführt, die auf Geräten KI nutzt, um betrügerische Aktivitäten zu erkennen und Benutzern Warnungen zu liefern. Diese Funktion wird zunächst in englischer Sprache in den USA, UK und Kanada gestartet und wird bald in mehr Ländern verfügbar sein. Die Funktion zur Erkennung von Betrügereien bei Anrufen wird auch für mehr Benutzer verfügbar gemacht, indem AI-Modelle in Echtzeit Konversationen analysieren und Benutzern vor möglichen Betrügereien warnen. Beide Funktionen sind so konzipiert, dass sie den Benutzerdatenschutz schützen, indem alle Verarbeitung auf dem Gerät durchgeführt wird und keine Konversations-Audio oder -Transkripte an Google oder Dritte gesendet werden. Google ist sich verpflichtet, Android-Benutzer zu schützen, und seine Investitionen in intelligente Schutzmaßnahmen haben einen realen Einfluss auf Milliarden von Benutzern.

Sicherheitslücken in der Speichersicherheit stellen eine erhebliche Bedrohung dar und erfordern einen Wechsel hin zu sicherheitsorientierten Entwurfspraktiken. Traditionelle Sicherheitsmaßnahmen sind unzureichend, was zu einem Aufruf führt, diese Sicherheitslücken durch Standardisierung zu eliminieren. Dieser Aufruf steht im Einklang mit einem kürzlich erschienenen Artikel der ACM, der die Standardisierung der Speichersicherheit befürwortet und ihren gesellschaftlichen Einfluss betont. Fortschritte in der Entwicklung von speichersicheren Sprachen und Hardware bieten vielversprechende Lösungen. Eine weitverbreitete Einführung erfordert Standardisierung, um Verantwortung zu schaffen und einen Markt zu schaffen, der die Speichersicherheit fördert. Ein vorgeschlagener Rahmen würde Kriterien für die Bewertung von Speichersicherheitsgarantien festlegen, um Kunden zu stärken und Beschaffungsentscheidungen zu informieren. Dieser Rahmen sollte technologieneutral sein, gestufte Sicherheitsstufen anbieten und eine objektive Bewertung ermöglichen. Google unterstützt aktiv die Standardisierung und integriert die Speichersicherheit in seine Produkte, indem es speichersichere Sprachen priorisiert und bestehenden Code verbessert. Diese gemeinsame Anstrengung zielt darauf ab, Entwickler, Unternehmen, Regierungen und Verbraucher in einer sicherheitsorientierten Zukunft zu stärken.

Android und Google Play bilden ein umfassendes Ökosystem mit Milliarden von Nutzern und Millionen von Apps, und die Sicherheit dieses Ökosystems hat höchste Priorität. Um böswillige Akteure zu bekämpfen, investiert Google in künstliche Intelligenz-basierte Bedrohungserkennung, strengere Datenschutzrichtlinien und Entwickler-Tools. Im Jahr 2024 verhinderte Google die Veröffentlichung von 2,36 Millionen Apps, die gegen die Richtlinien verstießen, und sperrte 158.000 schlechten Entwickler-Konten. Fortgeschrittene künstliche Intelligenz hilft bei der Erkennung von Malware, der Erkennung schlechter Apps und der Vereinfachung von Überprüfungsprozessen für konforme Entwickler. Google arbeitet mit Entwicklern zusammen, um unnötigen Zugriff auf sensible Daten zu reduzieren und Transparenz über die Datenverarbeitung zu fördern. Die Play Integrity API hilft Entwicklern, Missbrauch wie Betrug, Bots und Datendiebstahl zu verhindern. Google Play Protect bietet mehrschichtige Schutzmechanismen gegen schlechte Apps, einschließlich sorgfältiger Überprüfung, Nutzerbewertungen und integrierter Sicherheitsschutz. Google Play Protect scannt täglich über 200 Milliarden Apps und identifizierte 2024 13 Millionen neue schädliche Apps. Neue Verbesserungen an Google Play Protect umfassen Erinnerungsbenachrichtigungen, Schutz vor sozialen Ingenieurangriffen und automatische Widerruf von App-Berechtigungen für potenziell schädliche Apps. Google arbeitet auch mit Regierungen, Entwicklern und Branchenkollegen zusammen, um die Sicherheitsstandards für Apps zu verbessern und das gesamte Ökosystem zu schützen.

"Moderne KI-Systeme sind anfällig für "indirekte Prompt-Injektions"-Angriffe, bei denen böswillige Anweisungen in externen Daten die KI-Verhaltensweise manipulieren können. Um diese Risiken zu minimieren, entwickelt Agentic AI Verteidigungs- und Messwerkzeuge. Ihr Bewertungsrahmen verwendet hypothetische Szenarien, um die Anfälligkeit von KI zu testen, mit dem Schwerpunkt auf unautorisierte Datenoffenlegung. Drei Angriffstechniken werden im Rahmen verwendet: Actor Critic, Beam Search und Tree of Attacks mit Beschneidung. Diese Angriffe zielen darauf ab, erfolgreiche Prompt-Injektionen zu generieren, die KI-Systeme trotz unterschiedlicher Konversationshistorien ausnutzen. Der Rahmen misst die Erfolgsraten der Angriffe, um Sicherheitsverbesserungen zu verfolgen. Eine Kombination von Bewertungsrahmen, automatisiertem Red-Teaming, Überwachung, heuristischen Verteidigungen und standardmäßigen Sicherheitspraktiken gilt als die effektivste Verteidigungsstrategie."

Android-Geräte sind für das tägliche Leben unverzichtbar, aber ein gestohlenes Gerät kann sensible Daten preisgeben und Benutzer anfällig für Identitätsdiebstahl und Datenschutzverletzungen machen. Um dies zu beheben, hat Android kürzlich ein umfassendes Paket an Funktionen namens Android-Diebstahlschutz eingeführt. Dieses Paket soll Benutzer und ihre Daten in jedem Stadium - vor, während und nach dem Diebstahl eines Geräts - schützen. Als Teil dieses Engagements erweitert und verbessert Android diese Funktionen, um Benutzern weltweit einen robusteren Schutz zu bieten. Eine dieser Funktionen ist die Identitätsprüfung, die jetzt auf Pixel- und Samsung-One-UI-7-Geräten verfügbar ist. Die Identitätsprüfung erfordert eine explizite biometrische Authentifizierung, um auf sensible Ressourcen zuzugreifen, wenn Benutzer sich außerhalb von vertrauenswürdigen Standorten befinden. Diese Funktion bietet einen besseren Schutz für kritische Kontoeinstellungen und Geräteeinstellungen und macht es für unbefugte Angreifer schwieriger, Konten zu übernehmen. Die Identitätsprüfung wird auf Pixel-Geräten mit Android 15 ausgerollt und wird bald auf One-UI-7-fähigen Galaxy-Geräten verfügbar sein. Darüber hinaus ist der Diebstahlschutz-Sperre, der AI-gesteuerte Algorithmen verwendet, um potenzielle Diebstahlsversuche zu erkennen, jetzt weltweit auf Android-10+-Smartphones vollständig ausgerollt. Android ist bestrebt, Benutzern ein Gefühl von Sicherheit zu bieten, indem es ihre persönlichen Informationen sicher und geschützt hält.

Google hat OSV-SCALIBR veröffentlicht, eine erweiterbare Bibliothek für die Analyse von Software-Zusammensetzungen und Dateisystem-Scans. Diese Bibliothek kombiniert Googles interne Expertise im Bereich der Schwachstellen-Verwaltung und bietet bedeutende neue Fähigkeiten wie SCA für installierte Pakete, eigenständige Binaries und Quellcode. Sie unterstützt auch das Scannen von OS-Paketen auf Linux, Windows und Mac sowie das Scannen von Artefakten und Lockfiles in wichtigen Sprachökosystemen. OSV-SCALIBR kann SBOMs in SPDX- und CycloneDX-Formaten generieren und ist für das On-Host-Scannen von ressourcenbeschränkten Umgebungen optimiert. Die Bibliothek ist jetzt der primäre SCA-Engine, der innerhalb von Google für Live-Hosts, Code-Repos und Container verwendet wird. Sie wurde umfassend getestet und in vielen verschiedenen Produkten und internen Tools eingesetzt, um SBOMs zu generieren, Schwachstellen zu finden und Benutzerdaten zu schützen. OSV-SCALIBR wird hauptsächlich als Open-Source-Go-Bibliothek angeboten, und ihre Fähigkeiten sind in Plugins für Software-Extraktion und Schwachstellen-Erkennung modularisiert. Entwickler können OSV-SCALIBR als Bibliothek verwenden, um SBOMs aus Build-Artefakten und Code-Repos auf Live-Hosts zu generieren, ein Git-Repo auf SBOMs zu scannen und ein Remote-Container auf SBOMs zu scannen. Die Bibliothek kann auch verwendet werden, um Schwachstellen auf einem Dateisystem oder einem Remote-Container zu finden. Google arbeitet daran, OSV-SCALIBR tiefer in OSV-Scanner zu integrieren, was in den nächsten Monaten mehr von OSV-SCALIBRs Fähigkeiten verfügbar machen wird. OSV-Scanner wird zum primären Frontend für die OSV-SCALIBR-Bibliothek für Benutzer, die eine CLI-Schnittstelle benötigen. Bestehende Benutzer von OSV-Scanner können das Tool weiterhin verwenden, während die Rückwärtskompatibilität für alle bestehenden Anwendungsfälle aufrechterhalten wird. Google arbeitet auch an zusätzlichen neuen Fähigkeiten, einschließlich der Unterstützung für mehr OS- und Sprachökosysteme, Layer-Attribution und Reachability-Analyse.

DevOps-Teams können jetzt ihre Bild- und Container-Sicherheit verbessern, indem sie eine von Google entwickelte Schwachstellen-Scan-Funktion nutzen, die eine erweiterte Abdeckung von Open-Source-Komponenten durch integrierte Sicherheitswerkzeuge der Google Cloud Platform bietet, einschließlich der Artifact-Analyse. Die Artifact-Analyse hat kürzlich ihre Scanning-Abdeckung auf acht zusätzliche Sprachpakete, vier Betriebssysteme und zwei umfassend genutzte Basisbilder erweitert. Diese erweiterte Abdeckung wurde durch die Integration der Artifact-Analyse mit der Open-Source-Vulnerabilitäts-Plattform (OSV) und -Datenbank erreicht, die branchenführende Einblicke in Open-Source-Schwachstellen bietet. Mit diesen Aktualisierungen können Kunden jetzt die überwiegende Mehrheit der Bilder, die sie an das Artifact-Registry senden, erfolgreich scannen und bekannte Schwachstellen erkennen und melden. Die Artifact-Analyse zieht Schwachstelleninformationen direkt aus der OSV-Datenbank, die die einzige offene, verteilte Schwachstellen-Datenbank ist, die Informationen direkt von Open-Source-Praktikern erhält. Die OSV-Datenbank bietet eine konsistente, hochwertige Datenbank von Schwachstellen aus autoritativen Quellen, um genaue Informationen bereitzustellen, um Software-Abhängigkeiten zuverlässig mit bekannten Schwachstellen abzugleichen. Die OSV-Datenbank hat ihre Gesamt-abdeckung in den letzten drei Jahren auf 28 Sprach- und OS-Ökosysteme erweitert, einschließlich Branchenführer wie GitHub und Ubuntu. Als Ergebnis der OSV-Erweiterung warnen Scanner wie die Artifact-Analyse jetzt Benutzer vor höherwertigen Schwachstellen-Informationen über ein breiteres Spektrum von Ökosystemen hin. Bestehende Kunden der Artifact-Registry-Scanning werden sofort von dieser erweiterten Abdeckung profitieren, und Schwachstellen-Findungen werden weiterhin im Artifact-Registry-Benutzeroberfläche, Container-Analyse-API und über Pub/Sub verfügbar sein. Im Jahr 2025 werden die Funktionen der Artifact-Analyse in das Google Cloud Security Command Center integriert, um Kunden ein umfassenderes Schwachstellen-Management-Programm zu ermöglichen.

Google hat die Veröffentlichung von Vanir, einem neuen Open-Source-Sicherheits-Patch-Validierungstool, angekündigt. Es ist für Android-Plattform-Entwickler konzipiert und hilft ihnen, fehlende Sicherheits-Patches in ihrem eigenen Plattform-Code schnell zu identifizieren. Vanir verwendet statische Analyse auf Quellcode-Basis, um Ziel-Quellcode mit bekannten schädlichen Code-Mustern zu vergleichen. Es bietet eine skalierbare und nachhaltige Lösung für die Adoption und Validierung von Sicherheits-Patches. Das Tool unterstützt C/C++- und Java-Ziele und deckt 95% der Android-Kernel- und Userspace-CVEs mit öffentlichen Sicherheits-Patches ab. Vanir ist vollständig Open-Source unter der BSD-3-Lizenz, was eine einfache Integration in kontinuierliche Build- oder Testketten und Anpassung an andere Ökosysteme ermöglicht. Seit seiner frühen Entwicklung wurde Vanir in Googles Build-System integriert, wobei es gegenüber über 1.300 Schwachstellen getestet wurde und internen Teams über 500 Stunden an Patch-Fix-Zeit einsparte. Vanir ist nun für die öffentliche Nutzung verfügbar und kann auf github.com/google/vanir abgerufen werden.

Das Google Open Source Security-Team hat bedeutende Fortschritte bei der automatisierten Erkennung von Schwachstellen mithilfe von künstlicher Intelligenz-basiertem Fuzzing erzielt. Im letzten Jahr und acht Monaten haben sie daran gearbeitet, große Sprachmodelle (LLMs) zu nutzen, um die Abdeckung von Fuzzing zu verbessern und mehr Schwachstellen automatisch zu finden. Sie haben sich auf zwei Hauptverbesserungen konzentriert: die Generierung von relevanterem Kontext in Prompts für LLMs und die Erweiterung dieser, um den Arbeitsablauf eines Entwicklers zu simulieren. Dies hat zur Entdeckung von 26 neuen Schwachstellen in Open-Source-Projekten auf OSS-Fuzz geführt, einschließlich einer kritischen Schwachstelle in OpenSSL (CVE-2024-9143). Das Team hat auch daran gearbeitet, den manuellen Prozess der Entwicklung eines Fuzz-Ziels zu automatisieren, einschließlich des Entwurfs eines initialen Fuzz-Ziels, der Behebung von Kompilierungsproblemen, des Ausführens des Fuzz-Ziels, um zu sehen, wie es funktioniert, und der Triage von Abstürzen. Sie haben auch mit Forschern zusammengearbeitet, um den Workflow vollständig zu automatisieren, indem sie das LLM einen vorgeschlagenen Patch für die Schwachstelle generieren lassen.

Sicherheitslücken durch räumliche Speichersicherheit, die auftreten, wenn Code auf Speicherbereiche außerhalb seiner vorgesehenen Grenzen zugreift, stellen ein großes Sicherheitsrisiko dar und wurden von Angreifern genutzt, um Systeme und sensible Daten zu kompromittieren. Laut Google's Project Zero machen diese Sicherheitslücken 40% der in-the-wild-Sicherheitslücken durch Speichersicherheitsprobleme in den letzten zehn Jahren aus. Um diesem Problem zu begegnen, verfolgt Google einen umfassenden Ansatz für die Speichersicherheit, einschließlich der Verwendung von sprachlich sicheren Sprachen in neuen Code und der Implementierung von sicherheitsorientierten Prinzipien in bestehenden C++-Codebasen. Eine wichtige Strategie besteht darin, Überprüfungen der Grenzen für gemeinsame Datenstrukturen durchzuführen, beginnend mit der Sicherung der C++-Standardbibliothek (libc++). Die gehärtete libc++ führt Sicherheitsprüfungen durch, um Schwachstellen wie Zugriffe außerhalb der Grenzen in der Produktion zu erkennen. Google hat die gehärtete libc++ als Standard auf seinen serverseitigen Produktionsystemen eingeführt, was die räumliche Speichersicherheit über seine Dienste hinweg verbessert hat. Der Leistungseinfluss dieser Änderungen war überraschend gering, mit einem durchschnittlichen Einfluss von 0,30% auf die Dienste. Die Aktivierung der gehärteten libc++ hat bereits Exploits verhindert, Abstürze reduziert und die Korrektheit des Codes verbessert, mit über 1.000 entdeckten Fehlern und einer 30%igen Reduzierung von Segmentierungsfehlern. Google ist fest entschlossen, die Überprüfung der Grenzen auf andere Bibliotheken auszuweiten und seinen Code auf sichere Puffer umzustellen, die alle Zugriffe überprüfen müssen. Das Unternehmen fordert andere Organisationen, die C++ verwenden, auf, den gehärteten Modus ihrer Standardbibliothek universell als Standard zu aktivieren.

Google führt zwei neue Echtzeitschutzfunktionen ein, um die Sicherheit der Nutzer zu erhöhen und gleichzeitig die Privatsphäre zu schützen. Die Scam-Erkennung in Phone by Google verwendet KI, um Betrügereien zu identifizieren und zu stoppen, bevor sie Schaden anrichten können, und ist zunächst auf Pixel-Geräten verfügbar. Die Funktion ist standardmäßig deaktiviert und kann für zukünftige Anrufe aktiviert werden, um die Privatsphäre und Kontrolle über die Daten des Nutzers zu gewährleisten. Google Play Protect bietet auch eine Live-Bedrohungserkennung mit Echtzeit-Alerts, um Nutzer vor Malware und unsicheren Apps zu schützen, mit einem Fokus auf Stalker-Software und möglicherweise zukünftig auch auf andere schädliche Apps. Diese Funktionen sind so konzipiert, dass sie die Nutzer schützen, ohne Daten zu sammeln, und sind derzeit auf Pixel 6+-Geräten verfügbar, mit Plänen, sie bald auf andere Android-Geräte auszuweiten.

Google Messages hat über eine Milliarde täglicher Nutzer und priorisiert Sicherheit mit leistungsfähigen Gerätefiltern und fortschrittlicher Sicherheit, die Nutzer vor 2 Milliarden verdächtigen Nachrichten pro Monat schützt. Die App bietet end-to-end-verschlüsselte RCS-Konversationen für private Kommunikation mit anderen Google Messages RCS-Nutzern. Im Rahmen des Cybersecurity Awareness Month führt Google fünf neue Schutzfunktionen ein, um die Nutzersicherheit zu verbessern. Diese Schutzfunktionen umfassen eine verbesserte Erkennung von Paketlieferungsbetrug und Arbeitsplatzbetrug, intelligente Warnungen vor möglicherweise gefährlichen Links, Steuerungsmöglichkeiten, um Nachrichten von unbekannten internationalen Absendern zu deaktivieren, Warnungen vor sensiblen Inhalten für Bilder, die möglicherweise Nacktheit enthalten, und eine Kontaktverifizierungsfunktion, um die Identität der Empfänger von Nachrichten zu bestätigen. Die verbesserte Schutzfunktion gegen Betrug verwendet Machine-Learning-Modelle auf dem Gerät, um Betrug zu klassifizieren, und wird für Google Messages Beta-Nutzer verfügbar sein, die Spam-Schutz aktiviert haben. Die intelligenten Warnungen vor möglicherweise gefährlichen Links werden später in diesem Jahr global erweitert. Die Funktionsweise der sensiblen Inhalte Warnungen ist optional und blendet Bilder vor dem Anzeigen aus, die möglicherweise Nacktheit enthalten, und gibt den Nutzern die Kontrolle darüber, solche Bilder zu sehen und zu senden. Diese Funktionsweise wird in den kommenden Monaten für Android 9+-Geräte verfügbar sein. Die Kontaktverifizierungsfunktion wird im nächsten Jahr für Android 9+-Geräte verfügbar sein und ermöglicht es Nutzern, die öffentlichen Schlüssel ihrer Kontakte zu verifizieren und die Identität der Empfänger von Nachrichten zu bestätigen.

Google konzentriert sich darauf, die Speichersicherheit in seinem Softwareentwicklungsprozess zu verbessern, um Schwachstellen zu reduzieren und die Sicherheit zu erhöhen. Das Unternehmen räumt ein, dass 70 % der schwerwiegenden Schwachstellen in nicht speichersicheren Codebasen auf Speichersicherheitsfehler zurückzuführen sind, die von bösartigen Akteuren ausgenutzt werden, um Schaden anzurichten. Googles Strategie umfasst die Migration zu speichersicheren Sprachen wie Java, Kotlin, Go und Python sowie die Erweiterung der Verwendung von Rust in Android und anderen Umgebungen. Das Unternehmen investiert auch in Fehlererkennungstools, innovative Forschung und hardwarebasierte Ansätze, um die Speichersicherheit zu verbessern. Dazu gehört die Unterstützung und Validierung der Memory Tagging Extension (MTE) und die Erforschung der Capability Hardware Enhanced RISC Instructions (CHERI)-Architektur. Googles Engagement für die Speichersicherheit ist Teil seines Sicherheitsansatzes "Secure by Design", der darauf abzielt, Sicherheitsaspekte in den gesamten Softwareentwicklungslebenszyklus zu integrieren. Das Unternehmen ist überzeugt, dass die Erreichung der Speichersicherheit im großen Maßstab positive Auswirkungen auf das breitere digitale Ökosystem haben wird.

Janine Roberta Ferreira erlebte ein erschreckendes Erlebnis, als ihr Handy an einer Ampel in São Paulo gestohlen wurde. Dieses Ereignis unterstrich die Notwendigkeit einer umfassenden Lösung für Handydiebstahl, der weltweit ein zunehmendes Problem darstellt. Android hat eine Reihe von Funktionen entwickelt, um Benutzer und ihre Daten vor, während und nach dem Diebstahl eines Geräts zu schützen. Zu diesen Funktionen gehören Diebstahlerkennungssperre, Offline-Gerätesperre und Fernsperre, die nun auf den meisten Android-10+-Geräten über ein Google-Play-Dienste-Update verfügbar sind. Android 15 führt neue Sicherheitsfunktionen ein, um den Diebstahl abzuschrecken, wie z.B. die Anforderung einer PIN-, Passwort- oder biometrischen Authentifizierung für sensible Einstellungen, eine verbesserte Werkseinstellungsschutz und eine kommende Funktion namens Identitätsprüfung. Diese Funktionen zielen darauf ab, Android-Geräte für Diebe weniger attraktiv zu machen und Benutzern einen realen Schutz zu bieten.

Der Code der Benutzeroberfläche von Chrome ist komplex und enthält manchmal Fehler, die Sicherheitslücken sein können, wenn sie zu Speicherfehlern führen, die ein Angreifer ausnutzen kann. Das Chrome-Team möchte diese Fehler automatisch finden und erkannte, dass der Zugriffsbäume von Chrome-Bedienelementen, der für Hilfstechnologie sichtbar ist, für dieses Ziel genutzt werden kann. Sie verwenden eine Technik namens Fuzzing, bei der die Bedienelemente halb zufällig interagiert werden, um zu sehen, ob sie abstürzen lassen. Das Team musste mehrere Herausforderungen überwinden, darunter die Nutzung von coverage-geführtem Fuzzing, um Kombinationen von Bedienelementen auszuwählen, die in neuen Codebereichen von Chrome eindringen, und das Ausführen von Fuzz-Fällen innerhalb einer echten Version von Chrome mithilfe des InProcessFuzzer-Frameworks. Sie mussten auch Bedenken hinsichtlich des Lärms und der Komplexität der Chrome-Umgebung ansprechen und sicherstellen, dass die Testfälle stabil und handhabbar sind. Das Team entwickelte einen eigenen Mutator, um die Effektivität des Fuzzers zu verbessern, und führt den Fuzzer nun auf ihrem ClusterFuzz-Infrastruktur aus. Obwohl es noch zu früh ist, um zu sagen, ob der Ansatz erfolgreich ist, hat der Fuzzer bereits ein paar potenzielle Fehler im Zugriffskode selbst gefunden.