Команды Google по анализу угроз активно отслеживают атаки с использованием косвенных подсказок (IPI), что является серьезной проблемой безопасности для систем искусственного интеллекта. Они исследовали реальные случаи эксплуатации IPI, сканируя общедоступную сеть с помощью Common Crawl, большого веб-архива. Их исследование было направлено на выявление способов использования IPI злоумышленниками. Команда разработала многоэтапный подход, включающий сопоставление шаблонов, классификацию с помощью Gemini и ручную проверку, чтобы отфильтровать ложные срабатывания. Анализ выявил попытки манипулирования ИИ, включая безобидные розыгрыши, SEO и вредоносные действия. Вредоносные попытки включали кражу и уничтожение данных, хотя они, как правило, были несложными. Результаты показывают, что сложность атак IPI низкая, но растет, при этом наблюдается рост вредоносных попыток на 32%. Google ожидает увеличения как масштаба, так и сложности атак IPI в будущем. Они инвестируют в укрепление моделей и работу красных команд, включая участие внешних исследователей через программу вознаграждения за обнаружение уязвимостей. Возможности Google по обработке данных в режиме реального времени позволяют им выявлять и нейтрализовывать угрозы. Они предоставили ресурсы для дальнейшего изучения своих исследований в области безопасности GenAI.

"Google улучшает безопасность устройств Pixel, в частности, нацеливаясь на уязвимости модема. Проект направлен на интеграцию безопасного парсера DNS на языке Rust в прошивку модема. Эта интеграция направлена на смягчение уязвимостей, связанных с безопасностью памяти, и снижение поверхности атак. Команда выбрала библиотеку Rust "hickory-proto" и активировала поддержку "no_std" для совместимости. Процесс включал адаптацию библиотеки и ее зависимостей для использования в среде без операционной системы. Код на Rust был скомпилирован в статическую библиотеку и интегрирован в существующую систему сборки. Была решена проблема с производительностью, связанная со слабыми символами во время связывания. FFI использовался для предоставления API Rust для C++ для парсинга DNS и обратных вызовов. Команда использовала "cargo-gnaw" для сборки сторонних крейтов, улучшая поддерживаемость. Это знаменует первый шаг к более широкому использованию безопасного кода в базовой полосе частот сотовой связи. Введение Rust для парсинга DNS улучшает безопасность будущих устройств Pixel. Этот проект закладывает прочный фундамент для будущих обновлений безопасности."

Chrome внедряет привязанные к устройству сеансовые учетные данные (DBSC) для борьбы с кражей сеансов, серьезной угрозой, при которой вредоносное ПО крадет файлы cookie сеанса. Эта новая функция теперь общедоступна для пользователей Windows в Chrome 146 и вскоре будет доступна для macOS. DBSC революционизирует безопасность сеансов, криптографически привязывая сеансы аутентификации к конкретному устройству, переходя от реактивного обнаружения к проактивной профилактике. Он использует аппаратные модули безопасности, такие как TPM и Secure Enclaves, для генерации неэкспортируемых пар открытого/закрытого ключей. Серверы веб-сайтов могут проверить наличие у Chrome закрытого ключа перед выдачей краткосрочных файлов cookie сеанса. Это гарантирует, что любые украденные файлы cookie, не имеющие закрытого ключа, станут бесполезными для злоумышленников. DBSC разработан с учетом конфиденциальности пользователей как основного принципа, предотвращая корреляцию между сеансами и избегая отпечатков устройств. Протокол был разработан как открытый веб-стандарт через W3C при сотрудничестве Microsoft и отраслевых партнеров. Origin Trials и взаимодействие с такими платформами, как Okta, помогли повысить его эффективность для различных веб-потребностей. Будущая разработка будет сосредоточена на обеспечении безопасности федеративной идентификации, улучшении возможностей регистрации и изучении программных ключей для более широкой поддержки устройств.

Косвенная инъекция запросов (IPI) представляет собой серьезную и развивающуюся угрозу безопасности для приложений ИИ, в частности, таких как Workspace с Gemini. Злоумышленники могут внедрять вредоносные инструкции в данные, используемые LLM, влияя на ее поведение без прямого ввода данных пользователем. Google решает проблему IPI с помощью многогранной и непрерывной стратегии защиты. Это включает в себя активное обнаружение и категоризацию новых векторов атак с использованием внутренних и внешних программ. Учения по красному тестированию с участием людей и автоматизированные учения имитируют атаки и проверяют на наличие уязвимостей. Программа вознаграждения за уязвимости Google AI (VRP) позволяет сотрудничать с внешними исследователями безопасности. Каналы разведки с открытым исходным кодом помогают отслеживать публично раскрытые атаки на ИИ. Недавно обнаруженные уязвимости подвергаются тщательному анализу и добавляются в каталог уязвимостей. Генерация синтетических данных расширяет сценарии атак для всестороннего тестирования. Google использует детерминированные средства защиты для быстрого реагирования и средства защиты на основе машинного обучения посредством переобучения модели. Средства защиты на основе LLM улучшаются за счет разработки запросов. Усиление модели повышает устойчивость модели Gemini. Эффективность защиты измеряется путем имитации атак и сравнительного тестирования. Google стремится обеспечить безопасный и надежный опыт работы с ИИ, сочетая исследования в области безопасности, автоматизированные конвейеры и передовые модели ML/LLM. Эта итеративная структура гарантирует, что они будут опережать развивающиеся угрозы в сфере IPI.

Программа вознаграждений за уязвимости Google отметила свое 15-летие в 2025 году. Программа выплатила более 17 миллионов долларов более чем 700 исследователям по всему миру, что является значительным увеличением по сравнению с предыдущим годом. Это подчеркивает ценность внешних исследований безопасности для обеспечения безопасности Google. Была запущена специализированная программа вознаграждений за уязвимости в области ИИ, предлагающая более четкие рамки и детали вознаграждений за уязвимости, связанные с ИИ. Программа вознаграждений за уязвимости Chrome также была расширена, включив вознаграждения за проблемы с функциями ИИ. Была введена программа вознаграждений за исправления для OSV-SCALIBR, инструмента обнаружения уязвимостей с открытым исходным кодом. Google провел свою конференцию по кибербезопасности ESCAL8 в Мехико, включающую семинары и практикумы. В течение года было проведено несколько мероприятий bugSWAT в режиме реального времени, включая специальные сессии по ИИ, облачным технологиям и Лас-Вегасу. Эти мероприятия в совокупности привели к многочисленным отчетам и значительным выплатам вознаграждений. Заглядывая в 2026 год, Google по-прежнему привержен развитию сотрудничества с сообществом и опережению возникающих угроз. Компания выразила благодарность своему сообществу охотников за ошибками и призвала новых исследователей присоединиться к миссии по обеспечению безопасности Google.

Современная цифровая безопасность сталкивается с угрозами со стороны развивающихся квантовых вычислений, которые потенциально могут взломать текущие методы шифрования. Чтобы решить эту проблему, крайне важен многолетний переход на постквантовую криптографию (PQC), который возглавляет Национальный институт стандартов и технологий (NIST). Google готовится к этому с 2016 года, и Android 17 возглавляет первоначальную реализацию. Android 17 начнет всестороннее архитектурное обновление для включения окончательных стандартов NIST PQC во всей операционной системе. Это обновление будет включать реализацию алгоритма цифровой подписи на основе модульной решетки (ML-DSA) в Android Verified Boot и Remote Attestation. Android Keystore будет обновлен для поддержки ML-DSA, что позволит разработчикам использовать квантово-безопасные подписи в безопасном оборудовании. Android расширяет свою защиту PQC до подписей приложений через гибридную подпись в Google Play. Google Play будет способствовать генерации квантово-безопасных ключей подписи ML-DSA для приложений, способствуя плавному переходу для разработчиков. Дорожная карта Android включает в себя будущую интеграцию постквантовой инкапсуляции ключей для повышения безопасности. Это гарантирует, что экосистема Android останется устойчивой и защищенной от будущих квантовых угроз.

Google Chrome внедряет новую программу для защиты HTTPS-сертификатов от квантовых компьютеров с использованием сертификатов дерева Меркла (MTC). MTC заменяют традиционные цепочки сертификатов облегченными доказательствами, повышая производительность и эффективность использования полосы пропускания. Развертывание Chrome включает три этапа, начиная с исследований осуществимости с Cloudflare, которые в настоящее время проводятся. Второй этап, запланированный на первый квартал 2027 года, включает в себя загрузку общедоступных MTC с существующими операторами журналов прозрачности сертификатов (CT). Третий этап, запланированный на третий квартал 2027 года, представит хранилище корневых сертификатов Chrome, устойчивое к квантовым вычислениям (CQRS) для MTC, наряду с существующей программой корневых сертификатов Chrome. CQRS будет обслуживать конкретно постквантовую веб-среду. Этот поэтапный подход обеспечивает плавный переход и поддерживает безопасность для всех пользователей на протяжении всего процесса. Chrome также будет поддерживать традиционные сертификаты X.509 с квантово-устойчивыми алгоритмами для частных PKI. Одновременно Chrome фокусируется на улучшении существующих практик с помощью рабочих процессов только ACME и улучшенной коммуникации статуса отзыва. Команда активно участвует в отраслевых стандартах и способствует прозрачности с помощью таких подходов, как мониторинг DCV. Chrome отдает приоритет безопасности, простоте и устойчивости в своем подходе к квантово-устойчивому вебу. Программа направлена на создание более безопасной и надежной веб-экосистемы для будущего.

Google активно использует ИИ для защиты пользователей Android от телефонного мошенничества, ежемесячно блокируя миллиарды вредоносных звонков и сообщений. В статье подчеркивается, как функция обнаружения мошенничества, основанная на ИИ, спасла Мэджик Б. от убедительной банковской аферы. Комплексность оборонительных систем Android на базе ИИ заслуживает внимания, согласно оценке Counterpoint Research. Google расширяет функции обнаружения мошенничества, в том числе для устройств серии Samsung Galaxy S26 в США. Обнаружение мошенничества для звонков предупреждает пользователей во время звонков, используя анализ речевых паттернов, с соблюдением мер конфиденциальности. Google также расширяет обнаружение мошенничества для Google Messages более чем в 20 странах. Они улучшают обнаружение мошенничества в Messages с помощью локальной модели Gemini на некоторых флагманских устройствах Android. Это включает в себя возможность выявлять сложные схемы мошенничества, такие как предложения о работе и романтические аферы. Эти передовые средства защиты на основе ИИ предназначены для адаптации к развивающейся тактике мошенников. Конечная цель Google - обеспечить спокойствие и защитить данные пользователей.

Экосистема Android, основанная на доверии, стремится защитить пользователей от вредоносных приложений, инвестируя в искусственный интеллект и средства защиты в реальном времени. Google Play успешно предотвратил публикацию более 1,75 миллиона приложений, нарушающих политику, в 2025 году. Они активно повышают безопасность пользователей с помощью таких функций, как родительский контроль, прозрачность данных и значки приложений. Тщательные проверки, включая обнаружение приложений с помощью искусственного интеллекта, помогают обеспечить безопасность приложений и предотвратить нарушения конфиденциальности. Меры по борьбе со спамом заблокировали миллионы поддельных оценок и обзоров. Они расширяют защиту для детей и семей, обеспечивая безопасную цифровую среду. Google Play Protect ежедневно сканирует миллиарды приложений и заблокировал миллионы вредоносных приложений за пределами Play Store. Улучшенная защита от мошенничества доступна на 185 рынках, блокируя установку рискованных приложений. Платформа сотрудничает с разработчиками, предоставляя такие инструменты, как Play Policy Insights и Play Integrity API, для обеспечения безопасной разработки приложений. Проверка разработчиков и постоянные улучшения в Android направлены на повышение безопасности и создание более безопасной экосистемы приложений.

Команда безопасности Android стремится предоставлять многоуровневую защиту для защиты пользователей от кражи телефонов и финансового мошенничества. Кража телефона может сделать пользователей уязвимыми для кражи личных данных и финансовых средств, поэтому крайне важно иметь надежные меры безопасности. Команда объявила о наборе обновлений функций защиты от кражи, которые основаны на существующих мерах защиты и призваны обеспечить пользователям большее спокойствие. Эти обновления включают более надежные меры аутентификации, такие как расширенная защита от более широкого спектра угроз, доступная для устройств Android под управлением Android 16+. Функция блокировки при неудачной аутентификации теперь имеет выделенный переключатель включения/выключения в настройках, что дает пользователям больше контроля над безопасностью их устройства. Функция проверки личности была расширена для охвата большего количества приложений и инструментов, использующих Android Biometric Prompt, включая сторонние банковские приложения и менеджер паролей Google. Команда также затруднила для воров угадывание блокировок экрана, увеличив время блокировки после неудачных попыток. Также внедряются улучшенные инструменты восстановления, включая новый необязательный вопрос безопасности для удаленной блокировки, чтобы пользователям было проще восстановить свои потерянные или украденные устройства. В Бразилии две ключевые функции защиты от кражи, Theft Detection Lock и Remote Lock, теперь включены по умолчанию для новых устройств Android, обеспечивая дополнительный уровень безопасности с первого дня. Команда безопасности Android стремится продолжать внедрять инновации и развивать свои средства защиты, чтобы опережать воров и обеспечивать пользователям большее спокойствие.

Программа Chrome Root и Форум CA/Browser внедрили новые требования безопасности для эмитентов HTTPS-сертификатов, чтобы сделать интернет более безопасным. Эти инициативы направлены на отказ от устаревших методов проверки контроля домена, которые полагаются на более слабые сигналы верификации, такие как физическая почта, телефонные звонки или электронные письма. Отказ от этих методов будет осуществляться поэтапно, с полной реализацией безопасности к марту 2028 года, что позволит операторам веб-сайтов плавно перейти. Проверка контроля домена — это критически важный процесс безопасности, который гарантирует, что сертификаты выдаются только законному оператору домена, предотвращая получение сертификата неавторизованными лицами. Процесс включает в себя проверку Центром сертификации (CA) того, что запрашивающий контролирует домен, часто посредством механизмов «вызов-ответ». Исторически другие методы подтверждали контроль косвенными способами, которые оказались уязвимыми для атак. Недавно принятые бюллетени Рабочей группы по серверным сертификатам Форума CA/Browser вводят поэтапное прекращение использования более слабых методов проверки контроля домена, заменяя их надежными, автоматизированными альтернативами. Прекращаемые методы включают те, которые полагаются на электронную почту, телефон и обратный поиск, которые будут заменены стандартизированными, современными и поддающимися аудиту методами. Эти изменения затруднят для злоумышленников обман CA с целью выдачи сертификата для домена, который они не контролируют, снижая риск злоупотребления устаревшими или косвенными сигналами. Конечная цель этих инициатив — создать более безопасный опыт просмотра для всех, устранив слабые звенья в том, как устанавливается доверие в интернете.

Команда Android Red Team Google в партнерстве с Arm провела анализ безопасности графического процессора Mali, компонента, используемого в миллиардах устройств Android по всему миру. Целью этого сотрудничества было выявление и исправление уязвимостей в программном обеспечении и прошивке графического процессора. Графический процессор Mali стал критической целью для злоумышленников из-за его сложности и привилегированного доступа к системе, при этом большинство эксплойтов на основе драйверов ядра Android с 2021 года нацелены на графический процессор. Для повышения безопасности команда сосредоточилась на уменьшении поверхности атаки драйвера путем ограничения доступа к определенным GPU IOCTL. Команда использовала SELinux для защиты графического процессора, блокируя доступ к устаревшим и отладочным IOCTL в рабочей среде, в то время как доступ к инструментальным IOCTL разрешался только для инструментов отладки. Подход был развернут поэтапно, начиная с политики "добровольного участия" и переходя к политике "отказа", чтобы минимизировать влияние на разработчиков. Команда также предоставила пошаговые инструкции по реализации надежной политики SELinux для фильтрации GPU ioctl. Основной принцип заключается в создании гибкого макроса на уровне платформы, который позволяет каждому устройству определять свои собственные конкретные списки команд GPU ioctl, подлежащих ограничению. Команда безопасности Android стремится к сотрудничеству с партнерами по экосистеме для более широкого внедрения этого подхода, чтобы помочь защитить графический процессор. За счет уменьшения поверхности атаки этот подход обеспечивает надежную защиту от существующих и будущих уязвимостей, и команда работает над повышением уровня безопасности графического процессора, чтобы обеспечить высокую устойчивость драйвера и прошивки графического процессора Mali к потенциальным угрозам. Партнерство с Arm и использование SELinux сыграли решающую роль в достижении этой цели, и команда намерена продолжать эти усилия по повышению безопасности устройств Android.

Chrome внедряет новые меры безопасности для своих возможностей браузинга с использованием ИИ-агентов. Основная угроза — это косвенная инъекция подсказок, когда вредоносные сайты могут обманом заставить агентов совершать опасные действия. Для борьбы с этим Chrome применяет многоуровневую стратегию защиты. Ключевым нововведением является "Критик согласованности с пользователем" (User Alignment Critic) — отдельная модель ИИ, которая проверяет действия агента на соответствие задаче, предотвращая непреднамеренные последствия. Chrome также расширяет свои принципы изоляции источников с помощью "Наборов источников агентов" (Agent Origin Sets). Это ограничивает взаимодействие агентов только с релевантными веб-сайтами и данными для их текущей задачи. Эти наборы источников разделены на категории "только для чтения" и "для чтения и записи", ограничивая доступ к данным. Кроме того, Chrome обеспечивает прозрачность и контроль для пользователя с помощью подробного журнала действий и подтверждений пользователя для чувствительных действий. Детерминированные проверки и классификаторы на основе моделей выявляют и предотвращают попытки инъекции подсказок. Постоянный аудит и тестирование на проникновение используются для проверки этих защитных мер против развивающихся угроз. Chrome также сотрудничает с сообществом исследователей безопасности, предлагая вознаграждения за выявление уязвимостей. Цель — обеспечить безопасную основу для работы ИИ-агентов в Chrome.

Android использует опыт Google в области искусственного интеллекта и безопасности для эффективной борьбы с мобильным мошенничеством в звонках, текстах и приложениях для обмена сообщениями. Недавние опросы показывают, что пользователи Android реже получают мошеннические текстовые сообщения по сравнению с пользователями iOS. Мошенники постоянно развиваются, используя методы социальной инженерии, чтобы обманом заставить людей делиться экраном и предоставлять конфиденциальные данные. Для борьбы с финансовым мошенничеством Android запустила пилотную программу в Великобритании, включив в нее защиту во время звонков для финансовых приложений. Эта функция обнаруживает совместное использование экрана во время звонков с неизвестных номеров, предоставляя предупреждения и возможность завершить вызов. Предупреждение включает в себя 30-секундную паузу, чтобы прервать манипуляции мошенника. Пилотный проект в Великобритании помог тысячам людей избежать финансовых потерь. В развитие этого были запущены пилотные проекты в Бразилии и Индии, а теперь и в США, с ключевыми партнерами в области финансовых технологий и банковского дела. Пилотный проект в США начнет развертываться в декабре 2025 года с такими приложениями, как Cash App, и банками, такими как JPMorganChase. Android стремится к сотрудничеству в экосистеме для защиты пользователей от мошенничества. Они планируют извлечь уроки из этих пилотных проектов и расширить эти меры безопасности.

Google упрощает кроссплатформенный обмен файлами, интегрируя Quick Share с AirDrop, начиная с семейства Pixel 10. Это позволяет пользователям Android и iOS беспрепятственно обмениваться файлами, такими как фотографии и видео. Google уделяет приоритетное внимание безопасности, создавая эту функцию с надежными мерами защиты, протестированными независимыми экспертами. Они использовали подход "безопасность по умолчанию", включая моделирование угроз и внутренние проверки на протяжении всей разработки. Канал связи использует безопасный для памяти язык программирования Rust, который считается отраслевым эталоном безопасности. Rust устраняет уязвимости безопасности памяти, защищая от потенциальных атак, приводящих к повреждению данных. Quick Share использует режим AirDrop "Все на 10 минут", который работает напрямую, гарантируя, что данные не будут маршрутизироваться через серверы. Эта первоначальная реализация безопасна, и планируется потенциальная интеграция режима "Только контакты" в будущих совместных работах с Apple. Независимые оценки безопасности подтвердили надежность функции и отсутствие утечек информации. Эксперты, такие как Дэн Бонех, высоко оценивают безопасный подход Google, особенно использование Rust. Google стремится продолжать улучшать и расширять эту функцию для безопасной и бесшовной кроссплатформенной связи.

Стратегия безопасности памяти Android приносит значительные, кумулятивные выгоды за счет сосредоточения на предотвращении уязвимостей в новом коде. Впервые уязвимости безопасности памяти составляют менее 20% от общего числа уязвимостей по данным за 2025 год. Этот подход не только устраняет проблемы, но и ускоряет скорость разработки. Внедрение Rust привело к 1000-кратному снижению плотности уязвимостей безопасности памяти по сравнению с C и C++. Кроме того, изменения в Rust демонстрируют в 4 раза более низкий процент откатов и тратят на 25% меньше времени на проверку кода, что делает его более быстрым и безопасным путем разработки. Android расширяет применение Rust во всем своем программном стеке, включая ядро Linux, прошивку и собственные приложения. Хотя Rust и имеет соображения по безопасности памяти, особенно в блоках `unsafe`, общая плотность уязвимостей остается значительно ниже, чем в C/C++. Недавняя почти произошедшая уязвимость в `unsafe` Rust была смягчена благодаря усиленному аллокатору Scudo, что подчеркивает важность многоуровневой защиты. Постоянное совершенствование понимания и управления кодом `unsafe` Rust, наряду с надежными аллокаторами и отчетами о сбоях, дополнительно повышает безопасность. В конечном итоге, этот сдвиг демонстрирует, что улучшение безопасности не обязательно достигается ценой скорости разработки или стабильности продукта.

Мобильные мошенничества представляют растущую угрозу, и с помощью передовых инструментов ИИ они приводят к значительным глобальным финансовым потерям. Android активно борется с этими угрозами с помощью многослойных, основанных на ИИ защит, которые блокируют миллиарды вредоносных звонков и сообщений ежемесячно. Google также проводит проверки безопасности сервисов RCS, предотвращая использование миллионов подозрительных номеров для мошенничеств. Опрос показал, что пользователи Android получают меньше мошеннических сообщений и чувствуют себя более уверенно в безопасности своего устройства по сравнению с пользователями iOS. Пользователи Pixel в частности сообщили о значительно меньшем количестве мошеннических сообщений и более высокой уверенности в защите своего устройства. Независимые исследования безопасности подчеркивают превосходство Android в области ИИ-защищенных гарантий в различных областях защиты от сложных мошенничеств. Группа безопасности Leviathan обнаружила, что устройства Android, в частности Pixel, предлагают самый высокий уровень защиты от мошенничества и афер по умолчанию. Эти защиты Android включают автоматическую фильтрацию спама в Google Messages и предупреждения в режиме реального времени о разговорных мошенничествах. Телефон от Google также автоматически блокирует известные спам-звонки и использует Call Screen для выявления мошенников. Эти ИИ-защищенные гарантии являются неотъемлемой частью Android, предоставляя пользователям надежную, развивающуюся защиту от эволюционирующих цифровых угроз.

Chrome включит функцию «Всегда использовать безопасные соединения» по умолчанию для всех пользователей в октябре 2026 года, начиная с Chrome 154. Это изменение направлено на повышение безопасности пользователей путем приоритета HTTPS-соединений и предупреждения пользователей перед доступом к сайтам без безопасных протоколов. Это решение следует за десятилетием увеличения внедрения HTTPS, которое теперь достигло плато на уровне 95-99% для публичных сайтов. Хотя это представляет собой значительное улучшение безопасности, оставшиеся HTTP-навигации, хотя и небольшой процент, все еще представляют риски. Атакующие могут использовать небезопасные HTTP-соединения, чтобы перенаправить пользователей на вредоносные сайты, что приводит к заражению вредоносным ПО или утечке данных. Функция «Всегда использовать безопасные соединения», впервые представленная как опциональная в 2022 году, теперь станет настройкой по умолчанию. Этот режим сначала попытается установить HTTPS-соединение и отобразить предупреждение, которое можно пропустить, если HTTPS недоступен. Чтобы минимизировать раздражение пользователей, Chrome будет избегать повторных предупреждений о том же небезопасном сайте. Основным оставшимся использованием HTTP являются частные, локальные сети сайтов, где получение сертификатов HTTPS более сложно. Однако новое разрешение доступа к локальной сети в Chrome предназначено для облегчения миграции этих сайтов на HTTPS. До полного развертывания Chrome 147 в апреле 2026 года включит эту функцию для пользователей с расширенными функциями безопасного просмотра. Разработчикам сайтов и специалистам ИТ рекомендуется протестировать и перенести свои сайты на HTTPS сейчас. Будущая работа будет сосредоточена на дальнейшем снижении барьеров для внедрения HTTPS, особенно для локальных сетей сайтов.

Авторы из команды Google по конфиденциальности, безопасности и защите подчеркивают важность ИИ в кибербезопасности. Они сотрудничали с Airbus для создания мероприятия GenSec Capture the Flag (CTF) на DEF CON 33. Основная цель заключалась в содействии обучению и изучению роли ИИ в рабочих процессах кибербезопасности. Мероприятие привлекло около 500 участников с различными уровнями подготовки. Значительный процент участников впервые использовали ИИ в сфере безопасности. Подавляющее большинство сочло мероприятие полезным для изучения приложений ИИ. Они представили Sec-Gemini, экспериментальный ИИ Google для кибербезопасности, в качестве инструмента в рамках CTF. Отзывы о Sec-Gemini были в подавляющем большинстве положительными и полезными для участников. Авторы отметили активное участие и ценную обратную связь от сообщества. Они планируют использовать извлеченные уроки для улучшения Sec-Gemini. Команда по-прежнему привержена продвижению ИИ в кибербезопасности и обмену своими исследованиями.

Rowhammer — это уязвимость оборудования в DRAM, при которой повторный доступ к одной строке памяти может повредить данные в соседних строках. Это может быть использовано для несанкционированного доступа, повышения привилегий или отказа в обслуживании. Хотя существуют меры по смягчению последствий, такие как ECC и Target Row Refresh (TRR), их эффективность против опытных злоумышленников сомнительна. Google поддержала исследования и разработала тестовые платформы для анализа памяти DDR5 и обнаружения новых атак. Rowhammer использует потребность DRAM в периодических циклах обновления для поддержания данных, а агрессивный доступ может вызвать переворачивание битов. Злоумышленники могут использовать это, вызывая переворачивание битов и заставляя систему использовать эти поврежденные страницы. Предыдущие исследования продемонстрировали атаки Rowhammer из программного обеспечения, что делает их проблемой для многопользовательских сред, таких как облако. Target Row Refresh (TRR) пытается смягчить это, обновляя строки-жертвы, когда соседние строки-агрессоры часто используются. Однако атаки, такие как TRRespass, показали, что TRR можно обойти. Google сотрудничала над PRAC, новой мерой по смягчению последствий, которая детерминированно отслеживает активацию строк памяти. Современные системы DDR5 часто полагаются на вероятностные меры, такие как ECC и улучшенный TRR, эффективность которых против новых атак была неясна. Оценка Rowhammer требует понимания того, как работают меры по смягчению последствий, как доступ к программному обеспечению преобразуется в команды низкого уровня, и роли мер по смягчению последствий на стороне хоста. Обратная разработка проприетарных механизмов DRAM и анализ трафика DDR требуют специализированных тестовых платформ. Google сотрудничала с Antmicro для создания открытых тестовых платформ Rowhammer на базе FPGA для RDIMM и SO-DIMM. Используя эти платформы, исследователи разработали пользовательские шаблоны атак, которые обходили улучшенный TRR на DDR5, что привело к первому повышению привилегий Rowhammer на рабочем столе в производстве. Текущие меры по смягчению последствий недостаточны из-за вероятностных контрмер, которым не хватает достаточной энтропии, и ECC, не предназначенного в качестве меры безопасности. Шифрование памяти без проверок целостности также не является жизнеспособной защитой. Google продолжает работать над улучшением контрмер и сотрудничает с партнерами для улучшения анализа и тестирования, делясь результатами с более широкой экосистемой.

Смартфоны Google Pixel 10 будут оснащены функцией Content Credentials C2PA, интегрированной в камеру и приложение для фотографий, для повышения прозрачности цифровых медиа. Это делает Pixel 10 первым устройством со встроенными Content Credentials для всех фотографий, сделанных камерой Pixel. Приложение Pixel Camera получило Уровень обеспечения 2, наивысший рейтинг безопасности C2PA, возможный на Android благодаря аппаратному обеспечению безопасности. Подход, ориентированный на конфиденциальность по дизайну, обеспечивает анонимность пользователей и предотвращает связывание изображений или создателей. Pixel 10 поддерживает доверенные временные метки на устройстве, гарантируя подлинность изображений даже после истечения срока действия сертификата и в автономном режиме. Эти функции работают на базе Google Tensor G5, чипа безопасности Titan M2 и аппаратной безопасности Android. Content Credentials предоставляют проверяемую информацию о создании медиа, различая контент, сгенерированный ИИ, и неизмененный контент. Подход Google фокусируется на проверяемом доказательстве создания, а не на простой категоризации "ИИ/не ИИ". Реализация уделяет первостепенное внимание безопасности от аппаратного обеспечения до приложений, конфиденциальности через анонимное подтверждение и уникальные ключи для каждого изображения, а также автономной работе с системой доверенного временного штампования на устройстве. Эта инициатива направлена на укрепление доверия к цифровым медиа и поощрение более широкого внедрения этих стандартов безопасности и конфиденциальности в отрасли.

Защищенный гипервизор KVM (pKVM) для Android получил сертификацию SESIP Уровня 5, что является значительной вехой для безопасности с открытым исходным кодом. Эта сертификация делает pKVM первой системой программной безопасности для потребительской электроники, достигшей столь высокого уровня гарантии. Это достижение демонстрирует способность pKVM безопасно поддерживать расширенные функции Android, включая обработку искусственного интеллекта на устройстве с конфиденциальными личными данными. Строгая оценка была проведена Dekra, лабораторией сертификации кибербезопасности, в соответствии со схемой TrustCB SESIP. Получение SESIP Уровня 5 означает, что pKVM прошел самые высокие стандарты анализа уязвимостей и тестирования на проникновение согласно ISO 15408. Это свидетельствует о устойчивости к сложным и хорошо обеспеченным ресурсами злоумышленникам. Сертифицированный pKVM служит основой для развивающейся стратегии безопасности Android. Он устраняет несоответствия в сертификации доверенных сред выполнения (TEE) в отрасли, предоставляя единую, открытую и проверяемую базу безопасности. Производители устройств Android вскоре будут обязаны использовать технологию изоляции, соответствующую этому же стандарту безопасности, для критически важных функций устройства. Это совместное усилие, включающее сообщества Linux и KVM, а также инженерные команды Google, обещает новую эру мобильных технологий с высоким уровнем гарантии.

Команда безопасности Google Open Source объявила о запуске проекта OSS Rebuild, направленного на укрепление доверия к экосистемам пакетов с открытым исходным кодом путем воспроизведения артефактов из основной ветки разработки. Проект обеспечивает автоматизацию для получения декларативных определений сборки, SLSA Provenance для тысяч пакетов, а также инструментов наблюдения и проверки сборки. OSS Rebuild помогает командам безопасности избежать компрометации, не обременяя вышестоящих специалистов по обслуживанию. Программное обеспечение с открытым исходным кодом стало основой нашего цифрового мира, но его повсеместное распространение делает его привлекательной мишенью для атак на цепочки поставок. Недавние громкие атаки подорвали доверие к открытым экосистемам, вызвав колебания среди участников и потребителей. OSS Rebuild позволяет сообществу безопасности глубоко понимать и контролировать свои цепочки поставок, делая потребление упаковки прозрачным. В проекте используется декларативный процесс сборки, инструментарий сборки и возможности мониторинга сети для создания детализированных, надежных и надежных метаданных безопасности. OSS Rebuild может обнаруживать несколько классов компрометации цепочки поставок, включая неотправленный исходный код, компрометацию среды сборки и скрытые бэкдоры. Проект предоставляет предприятиям, специалистам по безопасности, издателям и сопровождающим пакетов с открытым исходным кодом возможности для улучшения метаданных, расширения SBOM и ускорения реагирования на уязвимости. OSS Rebuild приглашает разработчиков, предприятия и исследователей в области безопасности принять участие и внести свой вклад в улучшение поддержки критически важных экосистем и пакетов.

Android представил функцию Advanced Protection, настройку безопасности устройства, которая обеспечивает повышенную безопасность для пользователей, которые в ней нуждаются, таких как журналисты и публичные лица. Advanced Protection интегрируется с Chrome на Android, чтобы обеспечить более высокую защиту от сложных угроз. Интеграция включает в себя три основных функции: включение «Всегда использовать безопасные соединения», полную изоляцию сайта и уменьшение поверхности атаки путем отключения оптимизаций JavaScript. Функция «Всегда использовать безопасные соединения» заставляет использовать HTTPS-соединения и запрашивает явное разрешение перед подключением к небезопасным сайтам. Эта функция доступна всем пользователям Chrome и может быть управляема вне режима Advanced Protection. Полная изоляция сайта изолирует каждый веб-сайт в свой собственный процесс рендеринга ОС, предотвращая злонамеренные веб-сайты от доступа к данным или коду других веб-сайтов. Эта функция доступна на устройствах Android с 4 ГБ+ ОЗУ в режиме Advanced Protection. Отключение оптимизаций JavaScript уменьшает поверхность атаки Chrome, но может вызвать проблемы с производительностью для некоторых веб-сайтов. Эта функция может быть управляема пользователями и предприятиями вне режима Advanced Protection. Chrome стремится обеспечить безопасную конфигурацию по умолчанию для всех пользователей, а также позволяет пользователям с разными профилями риска настроить свои параметры безопасности в соответствии с их потребностями.

Возникновение генеративного ИИ приводит к появлению косвенных инъекций запросов, когда вредоносные инструкции скрываются во внешних источниках данных, таких как электронные письма. Эти атаки могут манипулировать системами ИИ, осуществлять утечку данных и выполнять вредоносные действия, требуя применения надежных мер безопасности. Google использует многоуровневую защиту для Gemini, укрепляя модели и применяя машинное обучение для обнаружения вредоносных инструкций. Классификаторы контента инъекций запросов фильтруют вредоносные данные, а усиление безопасности посредством обучения направляет ИИ на игнорирование враждебных команд. Очистка Markdown и удаление подозрительных URL-адресов предотвращают утечку данных через изображения и небезопасные ссылки. Фреймворк подтверждения пользователя требует явного согласия на рискованные действия, добавляя человеческий фактор в систему безопасности. Уведомления о смягчении угроз для конечных пользователей информируют пользователей о предотвращенных атаках и предоставляют обучающие ресурсы. Google сотрудничает с исследователями и обменивается разведывательными данными о угрозах для укрепления безопасности ИИ. Компания использует методы красного тестирования, мероприятия BugSWAT и такие фреймворки, как SAIF, для тестирования и улучшения защиты. Будущие модели Gemini будут обладать повышенной устойчивостью и дополнительными средствами защиты от инъекций запросов. Подробное описание подхода Google содержится в различных ресурсах для тех, кто хочет понять угрозы безопасности ИИ и стратегии их смягчения.

Google Chrome объявил об отмене доверия по умолчанию к Chunghwa Telecom и Netlock из-за моделей вызывающего беспокойство поведения, наблюдаемых в течение последнего года. Политика корневой программы Chrome требует, чтобы сертификаты центров сертификации (CA) предоставляли конечным пользователям Chrome ценность, превышающую риск их дальнейшего включения. Уверенность Chrome в надежности Chunghwa Telecom и Netlock как владельцев центров сертификации снизилась, что привело к потере целостности и доверия. В результате, Chrome больше не будет доверять новым TLS-сертификатам, выпущенным этими центрами сертификации, начиная с 1 августа 2025 года, в версиях 139 и выше. Это изменение затронет сертификаты, выпущенные после 31 июля 2025 года, но не повлияет на существующие сертификаты, выпущенные до этой даты. Операторы веб-сайтов могут определить, затронуты ли они, используя просмотрщик сертификатов Chrome, и им рекомендуется как можно скорее перейти к новому общедоступному доверенному владельцу центра сертификации. Чтобы минимизировать сбои, Chrome представил флаг командной строки, который позволяет администраторам и продвинутым пользователям имитировать эффект изменения до его вступления в силу. Предприятия могут переопределить ограничения хранилища корневых сертификатов Chrome, установив соответствующий корневой сертификат центра сертификации в качестве локально доверенного корня на платформе, на которой работает Chrome. Изменение произойдет в версиях Chrome 139 и выше в Windows, macOS, ChromeOS, Android и Linux, но не повлияет на Chrome для iOS из-за политики Apple. В целом, цель этого изменения - защитить пользователей Chrome и сохранить целостность хранилища корневых сертификатов Chrome, гарантируя, что в него включены только доверенные и надежные владельцы центров сертификации.

"Google Quantum AI работает над созданием квантовых компьютеров, которые могут решать ранее нерешаемые проблемы, но это также означает, что крупномасштабные квантовые компьютеры могут нарушить текущие алгоритмы криптографии с открытым ключом. Для решения этой проблемы Google работает с Национальным институтом стандартов и технологий США (NIST) над разработкой и переходом к постквантовой криптографии (ПКК), устойчивой к атакам квантовых компьютеров. Недавнее исследование продемонстрировало, что квантовый компьютер с 1 миллионом шумных кубитов может нарушить шифрование RSA 2048 бит за одну неделю, что составляет 20-кратное уменьшение по сравнению с предыдущими оценками. Это подчеркивает важность перехода к стандартам ПКК в соответствии с рекомендованными NIST сроками. Уменьшение физического количества кубитов происходит из-за более эффективных алгоритмов и более эффективной коррекции ошибок. Безопасностные последствия квантовых компьютеров значительны, особенно для шифрования в транзите и цифровых подписей. Google начала шифровать трафик с помощью алгоритмов ПКК и добавила схемы цифровых подписей ПКК в Cloud KMS. Внутренний отчет NIST рекомендует прекратить использование уязвимых систем после 2030 года и запретить их после 2035 года. Работа Google подчеркивает важность соблюдения этого рекомендуемого срока. Переход к ПКК сложен, но необходим для предотвращения атак "хранить сейчас, расшифровать позже"."

Мошенничество в области техподдержки - это растущая форма киберпреступности, где мошенники обманывают пользователей, убеждая их в том, что их компьютер имеет серьезную проблему, а затем вымогают деньги или получают несанкционированный доступ. Эти мошенничества часто используют тревожные всплывающие предупреждения, полноэкранные захваты и отключают ввод с клавиатуры и мыши, чтобы создать чувство кризиса. Google Chrome всегда работал с безопасным просмотром Google, а теперь с версией Chrome 137 он будет предлагать дополнительную защиту с помощью большой языковой модели Gemini Nano, чтобы обнаруживать потенциально опасные сайты. Языковая модель будет генерировать сигналы, которые будут использоваться безопасным просмотром для выдачи более уверенных вердиктов о мошенничестве. Подход на устройстве позволяет Chrome обнаруживать и блокировать атаки, которые не были проиндексированы ранее, и видеть угрозы так, как видят их пользователи. Когда пользователь переходит на потенциально опасную страницу, Chrome будет оценивать страницу с помощью языковой модели и отправлять информацию просмотру для окончательного вердикта. Если страница вероятно является мошенничеством, она покажет предупреждение. Этот функционал сохраняет производительность и конфиденциальность, и Chrome планирует использовать его для обнаружения других типов мошенничества и развернуть его на Android позже в этом году.

Команда Sec-Gemini объявила о выпуске Sec-Gemini v1, экспериментальной модели ИИ, предназначенной для продвижения границ кибербезопасности с помощью ИИ. Модель призвана помочь защитникам обеспечить безопасность от киберугроз за счет использования ИИ-обеспеченных рабочих процессов кибербезопасности. В настоящее время защитникам приходится решать сложную задачу обеспечения безопасности от всех киберугроз, в то время как злоумышленникам достаточно найти и эксплуатировать одну уязвимость. Рабочие процессы кибербезопасности, обеспеченные ИИ, имеют потенциал сдвинуть баланс в пользу защитников, умножая возможности кибербезопасности профессионалов. Sec-Gemini v1 сочетает в себе передовые возможности с почти реальным временем знаний и инструментов кибербезопасности для достижения превосходной производительности на ключевых рабочих процессах кибербезопасности. Модель превосходит другие модели на ключевых показателях кибербезопасности, включая анализ корневой причины инцидента, анализ угроз и понимание воздействия уязвимости. Sec-Gemini v1 предоставляется бесплатно для выбранных организаций, учреждений, профессионалов и НПО для исследовательских целей с целью содействия сотрудничеству в кибербезопасном сообществе. Модель интегрирована с Google Threat Intelligence, OSV и другими ключевыми источниками данных, позволяя ей предоставлять всесторонние ответы на ключевые вопросы кибербезопасности. Sec-Gemini v1 продемонстрировала свои возможности, превосходя другие модели на показателях CTI-MCQ и CTI-Root Cause Mapping, с улучшением не менее 11% и 10,5% соответственно. Команда Sec-Gemini приглашает заинтересованные стороны сотрудничать в продвижении границ кибербезопасности ИИ, запрашивая ранний доступ к Sec-Gemini v1 через предоставленную форму.

Команда Google по безопасности открытого исходного кода, в сотрудничестве с NVIDIA и HiddenLayer, выпустила первую стабильную версию библиотеки подписи моделей в рамках Фонда безопасности открытого исходного кода. Эта библиотека позволяет пользователям проверять, что модель, используемая приложением, является той же, которую создали разработчики, используя цифровые подписи, такие как Sigstore. Быстрое развитие больших языковых моделей (LLM) открыло дверь к новым угрозам безопасности, включая отравление моделей и данных, инъекцию и избегание запросов. Процесс цепочки поставок машинного обучения (ML) уязвим для несанкционированного доступа, поскольку модели представляют собой неинспектируемый набор весов, которые могут быть изменены злоумышленниками. Чтобы достичь доверия к моделям, пользователям необходимо проверить их целостность и происхождение, что можно сделать с помощью криптографической подписи. Процесс цепочки поставок ML включает три этапа: обучение, дообучение и интеграция в приложение, каждый из которых обрабатывается разными командами или компаниями, создавая возможности для несанкционированного доступа. Подпись модели может предотвратить несанкционированный доступ, проверяя целостность модели на каждом этапе. Выпущенная библиотека подписи модели представляет собой пакет Python, поддерживающий Sigstore и традиционные методы подписи, и может обрабатывать масштаб ML-моделей. Целью является расширение подписи модели для включения наборов данных и других артефактов, связанных с ML, и создание метаданных, защищенных от несанкционированного доступа, которые могут автоматизировать реагирование на инциденты. Проект направлен на создание экосистемы доверия для ML и приглашает сообщество открытого исходного кода присоединиться и формировать его будущее.

Программа "Chrome Root", запущенная в 2022 году, направлена на повышение безопасности сетевых подключений в Chrome путем продвижения технологий, усиливающих безопасность TLS. Видение программы "Вперед, вместе" фокусируется на темах, таких как современная инфраструктура, простота, автоматизация и снижение количества неправильно выданных сертификатов, все из которых дополняют основные принципы Chrome. Две инициативы "Вперед, вместе" - Multi-Perspective Issuance Corroboration (MPIC) и linting - стали обязательными практиками в базовых требованиях CA/Browser Forum. MPIC усиливает проверку контроля над доменом путем проверки запросов из нескольких географических местоположений для смягчения атак на маршрутизацию. Linting автоматизирует анализ сертификатов X.509 для предотвращения ошибок и обеспечения соблюдения отраслевых стандартов. Обе MPIC и linting станут обязательными для центров сертификации, выдающих сертификаты общего доверия, начиная с 15 марта 2025 года. Программа "Chrome Root" недавно обновила свою политику в соответствии с целями "Вперед, вместе". Более слабые методы проверки контроля над доменом будут запрещены, начиная с 15 июля 2025 года. Программа подчеркивает постоянное сотрудничество с профессионалами веб-безопасности для улучшения экосистемы Web PKI. Будущие планы включают исследование переосмысленной Web PKI с более сильными гарантиями безопасности для эпохи постквантовой криптографии.

Google расширил доступность ключей безопасности Titan Security Keys более чем на десять новых стран, доведя общее число до 22. К этим странам относятся Ирландия, Португалия, Нидерланды, Дания, Норвегия, Швеция, Финляндия, Австралия, Новая Зеландия, Сингапур и Пуэрто-Рико. Titan Security Keys — это физические устройства, повышающие безопасность учетных записей, выступая в качестве надежного второго пароля. Эти ключи защищают от фишинга и онлайн-атак, храня ключи доступа на отдельном устройстве. Они удобны в использовании и совместимы с различными устройствами и сервисами благодаря стандарту FIDO2. Пользователям достаточно подключить ключ к USB-порту или приложить его с помощью NFC для проверки личности. Процесс включает нажатие кнопки на ключе по запросу во время входа в систему. Ключи безопасности Titan Security Keys доступны для покупки в Google Store. Это расширение отражает приверженность Google расширению доступности продукта для повышения безопасности в интернете. Расширяя доступность этих ключей, Google стремится помочь большему количеству людей защитить себя от онлайн-угроз.

Команда Google Open Source Security выпустила OSV-Scanner V2.0.0, комплексный сканер уязвимостей и инструмент для исправления проблем, с широкой поддержкой форматов и экосистем. Этот релиз опирается на фундамент, заложенный OSV-SCALIBR, и добавляет значительные новые возможности в OSV-Scanner. Интеграция функций OSV-SCALIBR в OSV-Scanner обеспечивает улучшенное извлечение зависимостей из проектов и контейнеров. OSV-Scanner V2 добавляет поддержку комплексного, послойного сканирования для образов контейнеров Debian, Ubuntu и Alpine. Инструмент может анализировать образы контейнеров для предоставления истории слоев, базовых образов и информации об ОС/дистрибутиве. Новый интерактивный локальный HTML-формат вывода предоставляет больше интерактивности и информации по сравнению с выводами только в терминал. Добавлена управляемая автоматизация исправления уязвимостей для Maven pom.xml, что позволяет оптимизировать управление уязвимостями. Команда планирует продолжить слияние OSV-Scanner и OSV-SCALIBR, расширять поддержку экосистем и добавлять такие функции, как полная подотчетность файловой системы для контейнеров и анализ достижимости (reachability analysis). Пользователи могут попробовать OSV-Scanner V2 и внести свой вклад в его текущую разработку, изучив репозиторий OSV-Scanner или OSV-SCALIBR. Команда приветствует отзывы и вклад, чтобы улучшить платформу и упростить управление уязвимостями для всех.

В 2024 году программа вознаграждений за уязвимости Google выплатила почти 12 миллионов долларов более чем 600 исследователям безопасности по всему миру. Программа претерпела ряд изменений, включая переработку структуры вознаграждений, введение нового варианта оплаты и проведение мероприятий по поиску ошибок. Программа вознаграждений за уязвимости в мобильных приложениях (Mobile VRP) теперь предлагает до 300 000 долларов за критические уязвимости в ведущих приложениях, а программа вознаграждений за уязвимости в облачных сервисах (Cloud VRP) — до 151 515 долларов. Выплаты по программе вознаграждений за злоупотребления (Abuse VRP) выросли на 40% по сравнению с прошлым годом, при этом было зарегистрировано более 250 действительных ошибок. Google также провела два мероприятия bugSWAT — тренировочные хакатоны, — и четыре воркшопа init.g для поддержки следующего поколения инженеров по безопасности. Программа вознаграждений за безопасность Android и устройств Google выплатила исследователям более 3,3 миллионов долларов за обнаружение критических уязвимостей. Программа вознаграждений за уязвимости Chrome (Chrome VRP) обновила суммы и структуру вознаграждений и получила 337 отчетов о уникальных, действительных ошибках безопасности в 2024 году. Cloud VRP, запущенная в октябре, обработала более 400 отчетов, зарегистрировав более 200 уникальных уязвимостей безопасности для продуктов и сервисов Google Cloud. Программа поощрения за обнаружение ошибок в генеративных ИИ-системах Google получила более 150 отчетов об ошибках, что привело к ключевым улучшениям и выплате более 55 000 долларов в качестве вознаграждений. В 2025 году Google отметит 15-летие своей программы вознаграждений за уязвимости, сосредоточившись на расширении ее охвата и дальнейшем укреплении безопасности своих продуктов и сервисов.

Google работает над защитой пользователей от мошенничества и фродом с помощью передовых технологий и экспертизы в области безопасности. В 2024 году мошенники использовали сложные тактики и инструменты, работающие на основе искусственного интеллекта, чтобы украсть более 1 триллиона долларов у мобильных потребителей по всему миру. Для борьбы с этим Google запускает два новых функционала обнаружения мошенничества, работающих на основе искусственного интеллекта, для звонков и текстовых сообщений. Эти функционалы нацелены на разговорные мошенничества, которые могут казаться безобидными вначале, но эволюционируют в опасные ситуации. Функционалы используют мощный искусственный интеллект Google для обнаружения подозрительных паттернов и доставки предупреждений в реальном времени во время разговора, приоритизируя приватность пользователей. Функционал обнаружения мошенничества для сообщений вводится в Google Messages, который использует настройки на устройстве для обнаружения мошеннической деятельности и предупреждения пользователей. Этот функционал запускается на английском языке в США, Великобритании и Канаде и вскоре расширится на более страны. Функционал обнаружения мошенничества для звонков также расширяется для более широкой аудитории, используя модели искусственного интеллекта для анализа разговоров в реальном времени и предупреждения пользователей о возможных мошенничествах. Оба функционала спроектированы для защиты приватности пользователей, с tấtями обработкой на устройстве и без записи или отправки аудио разговора или его транскрипции в Google или третьим лицам. Google обязуется поддерживать безопасность пользователей Android, и ее инвестиции в интеллектуальную защиту имеют реальный эффект для миллиардов пользователей.

Уязвимости безопасности памяти представляют значительную угрозу, что требует сдвига в сторону практик, обеспечивающих безопасность с самого начала. Традиционные меры безопасности недостаточны, что вызывает необходимость ликвидации этих уязвимостей посредством стандартизации. Этот призыв соответствует недавней статье ACM, в которой выступают за стандартизацию безопасности памяти, подчеркивая ее социальное воздействие. Достижения в области языков и аппаратного обеспечения, обеспечивающих безопасность памяти, предлагают перспективные решения. Широкое внедрение требует стандартизации для создания ответственности и рынка, стимулирующего безопасность памяти. Предлагаемая структура позволит установить критерии для оценки гарантий безопасности памяти, что даст возможность клиентам принимать обоснованные решения и будет информировать процесс закупок. Эта структура должна быть технологически нейтральной, предлагать уровни гарантий и обеспечивать объективную оценку. Google активно поддерживает стандартизацию и интегрирует безопасность памяти в свои продукты, отдавая приоритет языкам, обеспечивающим безопасность памяти, и совершенствуя существующий код. Это совместное усилие направлено на то, чтобы дать возможность разработчикам, бизнесу, правительствам и потребителям создать будущее, в котором безопасность будет обеспечена с самого начала.

Андроид и Google Play образуют обширную экосистему с миллиардами пользователей и миллионами приложений, и обеспечение ее безопасности является приоритетной задачей. Для борьбы с злоумышленниками Google инвестирует в систему обнаружения угроз на основе искусственного интеллекта, более строгие политики конфиденциальности и инструменты для разработчиков. В 2024 году Google предотвратила публикацию 2,36 миллиона приложений, нарушивших политику, и заблокировала 158 000 учетных записей злоумышленников-разработчиков. Расширенный ИИ помогает идентифицировать вредоносное ПО, обнаруживать плохие приложения и упрощать процесс проверки для соответствующих разработчиков. Google работает с разработчиками для уменьшения ненужного доступа к чувствительным данным и поощрения прозрачности в обработке данных. API целостности Play помогает разработчикам предотвращать злоупотребления, такие как мошенничество, боты и кража данных. Google Play Protect обеспечивает многоуровневую защиту от плохих приложений, включая тщательную проверку, отзывы пользователей и встроенную защиту безопасности. Google Play Protect сканирует более 200 миллиардов приложений ежедневно и идентифицировал 13 миллионов новых вредоносных приложений в 2024 году. Новые улучшения Google Play Protect включают уведомления напоминания, защиту от социальной инженерии и автоматическое отзыв разрешений для потенциально вредоносных приложений. Google также сотрудничает с правительствами, разработчиками и коллегами из отрасли для продвижения стандартов безопасности приложений и защиты всей экосистемы.

"Современные системы ИИ уязвимы для атак "косвенного внедрения инструкций", где злонамеренные инструкции, скрытые в внешних данных, могут манипулировать поведением ИИ. Для уменьшения этих рисков Agentic AI разрабатывает средства защиты и инструменты измерения. Их рамочная модель оценки использует гипотетические сценарии для тестирования уязвимости ИИ, фокусируясь на несанкционированном раскрытии данных. Три техники атаки используются в рамках модели: Actor Critic, Beam Search и Tree of Attacks с обрезкой. Эти атаки направлены на генерацию успешных внедрений инструкций, которые эксплуатируют системы ИИ, несмотря на различные истории разговора. Модель измеряет коэффициент успеха атак, чтобы отслеживать улучшения безопасности. Сочетание рамочных моделей оценки, автоматизированного красного командования, мониторинга, эвристических защит и стандартных практик безопасности считается наиболее эффективной стратегией защиты."

"Устройства Android необходимы для повседневной жизни, но украденное устройство может раскрыть конфиденциальные данные, оставляя пользователей уязвимыми для кражи личности и нарушений конфиденциальности. Чтобы решить эту проблему, Android недавно запустила комплексный набор функций под названием "Защита Android от кражи". Этот набор предназначен для защиты пользователей и их данных на каждом этапе - до, во время и после кражи устройства. В рамках этого обязательства Android расширяет и улучшает эти функции, чтобы обеспечить более надежную защиту пользователям по всему миру. Одной из этих функций является "Проверка личности", которая теперь доступна на устройствах Pixel и Samsung One UI 7. "Проверка личности" требует явной биометрической аутентификации для доступа к конфиденциальным ресурсам, когда пользователи находятся вне доверенных мест. Эта функция обеспечивает лучшую защиту критических настроек учетной записи и устройства, что затрудняет несанкционированным злоумышленникам захват учетных записей. "Проверка личности" будет доступна на устройствах Pixel с Android 15 и скоро появится на устройствах Galaxy с One UI 7. Кроме того, функция "Блокировка обнаружения кражи", которая использует алгоритмы, основанные на искусственном интеллекте, для обнаружения потенциальных попыток кражи, теперь полностью доступна на телефонах Android 10+ во всем мире. Android посвящена обеспечению пользователей спокойствия, зная, что их личная информация в безопасности и защищена."

Google выпустила OSV-SCALIBR, расширяемую библиотеку для анализа состава программного обеспечения и сканирования файловой системы. Эта библиотека объединяет внутренний опыт Google по управлению уязвимостями и предлагает новые возможности, такие как анализ состава программного обеспечения (SCA) для установленных пакетов, автономных двоичных файлов и исходного кода. Она также поддерживает сканирование пакетов ОС на Linux, Windows и Mac, а также сканирование артефактов и файлов блокировки в основных языковых экосистемах. OSV-SCALIBR может генерировать SBOM (Software Bill of Materials) в форматах SPDX и CycloneDX и оптимизирована для сканирования на хосте в ресурсоограниченных средах. Библиотека теперь является основным движком SCA, используемым в Google для живых хостов, репозиториев кода и контейнеров. Она была использована и протестирована в течение длительного времени в различных продуктах и внутренних инструментах для генерации SBOM, обнаружения уязвимостей и защиты пользовательских данных. OSV-SCALIBR предлагается в основном как открытая библиотека Go, а ее возможности модуляризированы в плагины для извлечения программного обеспечения и обнаружения уязвимостей. Разработчики могут использовать OSV-SCALIBR как библиотеку для генерации SBOM из артефактов сборки и репозиториев кода на живых хостах, сканирования git-репозитория для SBOM, сканирования удаленного контейнера для SBOM. Библиотека также может быть использована для обнаружения уязвимостей на файловой системе или удаленном контейнере. Google работает над интеграцией OSV-SCALIBR более глубоко в OSV-Scanner, что позволит сделать больше возможностей OSV-SCALIBR доступными в ближайшие месяцы. OSV-Scanner станет основным интерфейсом для библиотеки OSV-SCALIBR для пользователей, которые требуют интерфейса командной строки. Существующие пользователи OSV-Scanner могут продолжать использовать инструмент с сохранением обратной совместимости для всех существующих случаев использования. Google также работает над дополнительными новыми возможностями, включая поддержку более операционных систем и языковых экосистем, атрибуцию слоев и анализ достижимости.

Команды DevOps теперь могут улучшить безопасность своих образов и контейнеров, используя сканирование уязвимостей класса Google, которое предлагает расширенную поддержку открытого исходного кода через интегрированные инструменты безопасности платформы Google Cloud, включая анализ артефактов. Анализ артефактов недавно расширил свою область сканирования до восьми дополнительных пакетов языков, четырех операционных систем и двух широко используемых базовых образов. Это расширение было достигнуто путем интеграции анализа артефактов с платформой и базой данных Open Source Vulnerabilities (OSV), предоставляющей ведущие в отрасли инсайты по уязвимостям открытого исходного кода. С этими обновлениями клиенты теперь могут успешно сканировать подавляющее большинство образов, которые они отправляют в реестр артефактов, обнаруживая и отчетливо известные уязвимости. Анализ артефактов извлекает информацию об уязвимостях напрямую из OSV, которая является единственной открытой, распределенной базой данных уязвимостей, получающей информацию напрямую от практиков открытого исходного кода. База данных OSV обеспечивает согласованную, высококачественную базу данных уязвимостей из авторитетных источников, garanting достоверную информацию для надежного сопоставления зависимостей программного обеспечения с известными уязвимостями. База данных OSV расширила свою общую область покрытия до 28 экосистем языков и ОС за последние три года, включая лидеров отрасли, таких как GitHub и Ubuntu. В результате расширения OSV сканеры, такие как анализ артефактов, теперь предупреждают пользователей о более качественной информации об уязвимостях в более широком спектре экосистем. Существующие клиенты сканирования реестра артефактов сразу же получат выгоду от этого расширенного покрытия, и результаты поиска уязвимостей будут продолжать быть доступными в интерфейсе реестра артефактов, API Container Analysis и через pub/sub. В 2025 году возможности анализа артефактов будут интегрированы с Центром безопасности Google Cloud, позволяя клиентам поддерживать более полную программу управления уязвимостями.

Google объявила о выпуске Vanir, нового открытого инструментария для валидации патчей безопасности, предназначенного помочь разработчикам платформы Android быстро идентифицировать пропущенные патчи безопасности в их коде платформы. Vanir использует статический анализ исходного кода для сравнения целевого кода с известными уязвимыми шаблонами кода, обеспечивая масштабируемое и устойчивое решение для принятия и валидации патчей безопасности. Инструмент поддерживает цели C/C++ и Java и покрывает 95% уязвимостей ядра и пользовательского пространства Android с общедоступными патчами безопасности. Vanir полностью открыт под лицензией BSD-3, что позволяет легко интегрировать его в цепи непрерывной сборки или тестирования и адаптировать к другим экосистемам. С момента начала разработки Vanir был интегрирован в систему сборки Google, протестировав более 1300 уязвимостей и сэкономив внутренним командам более 500 часов на исправление патчей. Vanir теперь доступен для общего использования и может быть доступен на github.com/google/vanir.

Команда Google по безопасности открытого исходного кода достигла значительного прогресса в автоматическом обнаружении уязвимостей с помощью fuzzing, основанного на искусственном интеллекте. За последние полтора года они работали над использованием больших языковых моделей (LLM) для улучшения покрытия fuzzing и автоматического обнаружения уязвимостей. Они сосредоточились на двух основных улучшениях: генерации более актуального контекста в запросах для LLM и расширении этого для имитации рабочего процесса разработчика. Это привело к обнаружению 26 новых уязвимостей в проектах с открытым исходным кодом на OSS-Fuzz, включая критическую уязвимость в OpenSSL (CVE-2024-9143). Команда также работала над автоматизацией ручного процесса разработки цели fuzzing, включая создание начальной цели fuzzing, исправление проблем компиляции, запуск цели fuzzing для оценки ее производительности и анализ любых сбоев. Кроме того, они сотрудничали с исследователями для полной автоматизации рабочего процесса, позволяя LLM генерировать предложенный патч для уязвимости.

Уязвимости безопасности пространственной памяти, которые возникают, когда код обращается к памяти за пределами намеченных границ, представляют собой значительный риск безопасности и были использованы злоумышленниками для компрометации систем и конфиденциальных данных. Согласно данным проекта Google Project Zero, эти уязвимости составляют 40% эксплуатируемых в дикой природе уязвимостей безопасности памяти за последнее десятилетие. Чтобы решить эту проблему, Google предпринимает всесторонний подход к безопасности памяти, включая использование языков программирования, безопасных для памяти, в новом коде и модернизацию существующих баз кода C++ с учетом принципов безопасности. Одной из ключевых стратегий является реализация проверки границ для обычных структур данных, начиная с укрепления стандартной библиотеки C++ (libc++). Укрепленная libc++ вводит проверки безопасности для обнаружения уязвимостей, таких как доступы за пределами границ в производстве. Google сделала укрепленную libc++ по умолчанию на своих серверных системах производства, улучшая пространственную безопасность памяти во всех своих сервисах. Воздействие на производительность этих изменений было удивительно низким, с средним воздействием 0,30% на сервисы. Включение укрепленной libc++ уже предотвратило эксплуатацию, сократило количество сбоев и улучшило корректность кода, с более чем 1000 выявленных ошибок и сокращением количества сегментационных ошибок на 30%. Google намерена расширить проверку границ на другие библиотеки и перенести свой код на безопасные буферы, требуя проверки границ для всех обращений. Компания рекомендует другим организациям, использующим C++, включать режим укрепления своей стандартной библиотеки по умолчанию повсеместно.

Google вводит два новых функции реального времени защиты, чтобы усилить безопасность пользователей, сохраняя приватность. Функция обнаружения мошенничества в приложении Phone by Google использует ИИ, чтобы обнаруживать и блокировать мошенничество, прежде чем оно сможет причинить вред, и она доступна в первую очередь на устройствах Pixel. Эта функция отключена по умолчанию и может быть активирована для будущих звонков, обеспечивая пользовательскую приватность и контроль над данными. Google Play Protect также предлагает живое обнаружение угроз с реальными оповещениями, чтобы защитить пользователей от вредоносного ПО и небезопасных приложений, фокусируясь на стелс-приложениях и, возможно, расширяя до других вредоносных приложений в будущем. Эти функции разработаны для защиты пользователей без сбора данных и в настоящее время доступны на устройствах Pixel 6+, планируя расшириться на другие Android-устройства в ближайшее время.

У Google Messages более миллиарда ежедневных пользователей, и приоритет безопасности обеспечивается мощными фильтрами на устройстве и передовой безопасностью, которая защищает пользователей от 2 миллиардов подозрительных сообщений в месяц. Приложение предлагает зашифрованные с конца до конца RCS-конversations для частной связи с другими пользователями Google Messages RCS. В рамках Месяца информирования о кибербезопасности Google вводит пять новых мер защиты для усиления безопасности пользователей. Эти меры включают в себя улучшенную детекцию мошенничества с доставкой пакетов и работой, интеллектуальные предупреждения о потенциально опасных ссылках, контроль для отключения сообщений от неизвестных международных отправителей, предупреждения о чувствительном контенте для изображений, которые могут содержать наготу, и функцию верификации контактов для подтверждения идентичности получателей сообщений. Улучшенная функция детекции мошенничества использует модели машинного обучения на устройстве для классификации мошенничества и будет доступна для пользователей Google Messages beta, у которых включена защита от спама. Интеллектуальные предупреждения о потенциально опасных ссылках будут расширены глобально в этом году. Функция предупреждений о чувствительном контенте является необязательной и размывает изображения, которые могут содержать наготу, перед просмотром, предоставляя пользователям контроль над просмотром и отправкой таких изображений. Эта функция будет доступна для устройств Android 9+ в ближайшие месяцы. Функция верификации контактов будет запущена в следующем году для устройств Android 9+, позволяя пользователям verificar public keys своих контактов и подтверждать идентичность получателей сообщений.

Google сосредоточился на улучшении безопасности памяти в процессе разработки программного обеспечения, чтобы уменьшить уязвимости и повысить безопасность. Компания признает, что 70% серьезных уязвимостей в кодовых базах с нестабильной памятью вызваны ошибками безопасности памяти, которые злоумышленники используют для причинения вреда. Стратегия Google включает в себя переход на языки с безопасной памятью, такие как Java, Kotlin, Go и Python, а также расширение использования Rust в Android и других средах. Компания также инвестирует в инструменты обнаружения ошибок, инновационные исследования и аппаратные подходы для улучшения безопасности памяти. Это включает поддержку и валидацию расширения тегирования памяти (MTE) и исследования архитектуры CHERI (Capability Hardware Enhanced RISC Instructions). Обязательство Google по безопасности памяти является частью подхода "Безопасность по умолчанию", направленного на интеграцию соображений безопасности на протяжении всего жизненного цикла разработки программного обеспечения. Компания считает, что достижение безопасности памяти в масштабе положительно скажется на более широкой цифровой экосистеме.

Жанин Роберта Феррейра пережила ужасающий инцидент, когда у нее украли телефон на светофоре в Сан-Паулу. Это событие подчеркнуло необходимость всестороннего решения проблемы кражи телефонов, которая является все более актуальной проблемой во всем мире. Android разработала набор функций для защиты пользователей и их данных до, во время и после кражи устройства. Эти функции включают в себя "Блокировку при краже", "Блокировку устройства в автономном режиме" и "Удаленную блокировку", которые теперь доступны на большинстве устройств Android 10+ через обновление Google Play Services. Android 15 представляет новые функции безопасности для предотвращения кражи, такие как требование PIN, пароля или биометрической аутентификации для чувствительных настроек, улучшенную защиту от сброса настроек по умолчанию и будущую функцию под названием "Проверка личности". Эти функции направлены на то, чтобы сделать устройства Android менее привлекательными для воров и обеспечить реальную защиту для пользователей.

Код пользовательского интерфейса в Chrome сложный и иногда содержит ошибки, которые могут быть ошибками безопасности, если они приводят к повреждению памяти, которое может использовать злоумышленник. Команда Chrome хочет находить эти ошибки автоматически и поняла, что дерево доступности элементов управления пользовательского интерфейса Chrome, доступное для вспомогательных технологий, можно использовать в этой цели. Они используют технику, называемую фаззингом, которая включает полуслучайное взаимодействие с элементами управления пользовательского интерфейса, чтобы проверить, можно ли вызвать их сбой. Команде пришлось преодолеть несколько проблем, в том числе использовать фаззинг с учетом покрытия для выбора комбинаций элементов управления, которые достигают нового кода в Chrome, и запуск тестовых случаев фаззинга в реальной версии Chrome с использованием фреймворка InProcessFuzzer. Им также пришлось учесть проблемы с шумом и сложностью среды Chrome, а также обеспечить стабильность и доступность тестовых случаев. Команда разработала настраиваемый мутатор для улучшения эффективности фаззера и теперь запускает фаззер в своей инфраструктуре ClusterFuzz. Хотя еще рано говорить, насколько успешен этот подход, фаззер уже нашел несколько потенциальных ошибок в самом коде доступности.

Телефоны Pixel завоевали репутацию устройств, ориентированных на безопасность, и в этом блоге авторы рассматривают, как Pixel предотвращает распространенные уязвимости в базовых станциях сотовой связи. Базовая станция сотовой связи - это процессор на устройстве, отвечающий за обработку всей сотовой связи, и это сложное программное обеспечение, подвержено ошибкам и уязвимостям. Исследователи безопасности все чаще эксплуатируют этот вектор атаки, демонстрируя возможность эксплуатации базовых станций, используемых в популярных смартфонах. Pixel развертывает меры по укреплению безопасности в своих базовых станциях на протяжении лет, и Pixel 9 представляет собой наиболее укрепленную базовую станцию, которую они когда-либо поставляли. Авторы подчеркивают важность безопасности базовой станции, отмечая, что большинство базовых станций не имеют мер по предотвращению уязвимостей, широко используемых в других местах и считающихся лучшими практиками в разработке программного обеспечения. Авторы также отмечают, что поставщики эксплойтов и фирмы кибершпионажа злоупотребляют этими уязвимостями, нарушая частную жизнь людей без их согласия. В ответ на растущую угрозу атак безопасности базовой станции Pixel постепенно внедрила активные меры защиты на протяжении лет, включая Bounds Sanitizer, Integer Overflow Sanitizer, Stack Canaries, Control Flow Integrity и Auto-Initialize Stack Variables. Эти меры безопасности значительно увеличивают устойчивость Pixel 9 к атакам на базовую станцию, демонстрируя приверженность Pixel защите своих пользователей на протяжении всего стека программного обеспечения. Авторы также отмечают, что Android и Pixel проактивно обновили свою программу вознаграждений за уязвимости, уделяя больше внимания обнаружению и устранению эксплуатируемых ошибок в прошивке подключения.