研究發現過去兩周臉書的內容遞送網路（Content Delivery Networks, CDN）遭一個惡意組織用來儲存並散佈銀行木馬程式。 

代號為MalwareHunter的研究人員發現，駭客將木馬程式檔案上傳到臉書群組或其他公開服務上，取得其連結後透過網釣郵件寄發給受害者。這些信聲稱來自當地警方，當中包含一個連向臉書CDN的連結，誘使不知情的用戶點選。研究人員表示，駭客之所以選擇以臉書CDN，是因為多數安全產品都信任它，比起使用陌生的網址，這種連結較不會被封鎖。 

點選之後就展開一個相當複雜的惡意程式下載過程。使用者會先下載一個RAR或ZIP壓縮檔，解開後有一個捷徑檔，點下後就會呼叫用戶電腦上的應用程式執行PowerShell script。由於使用的是本機應用程式，因此可以避開一般防毒產品的掃瞄。之後再經過一連串的連鎖下載過程，最後，一個銀行木馬程式就會下載到用戶電腦上。 

ESET將之命名為Win32/Spy.Banker.ADYV。研究人員認為，這隻木馬僅針對巴西用戶而來，在複雜的軟體安裝過程中，它背後的駭客團體會分析受害者的所在國家，如果發現並非巴西，就會停止感染過程。 

惡意電子郵件中嵌入的1pixel x 1 pixel的微小圖形檔來監控信件開啟，MalwareHunter根據它所載自的goo.gl連結分析，這隻Spy.Banker透過電子郵件散佈流傳甚廣，光是在9月2日當天就至少有20萬人讀過電子郵件，其他2波攻擊也有7、8萬人讀取。他指出，從惡意程式下載的複雜技倆來看，甚至已經超越一些國家資助的駭客攻擊行動。 

臉書資安長Alex Stamos在獲得通知後表示該公司將對此進行了解。 

Win32/Spy.Banker木馬曾在7月在網路上流竄，ESET判斷兩者都是出自相同駭客組織，可能也涉及2015年和2016年其他幾波攻擊。事實上，研究人員相信，臉書CDN攻擊的駭客組織，可能也曾利用Dropbox及Google雲端服務做過類似的勾當。

去年7月第一銀行總共41臺自動提款機遭植入木馬程式，駭客在英國利用遠端控制程式，竊取了超過8千萬元的用戶存款，這是臺灣近年來竊賊利用網路工具，鎖定銀行系統來發動攻擊事件，損失最嚴重的一次。此外，今年2月，臺灣首次發生13家證券商的下單系統遭DDoS攻擊，導致當天營運服務中斷，影響了206億元交股票交易安全。

甚至今年5月，勒索蠕蟲WannaCry襲擊全球企業資訊系統和個人電腦，造成全球約80億美元的損失，臺灣成為了駭客攻擊目標，包括臺電行政電腦、牙醫診所電腦、學校電腦，甚至恩主公醫院行動醫療車電腦等都遭到勒索攻擊，造成臺灣民眾人心慌慌，深怕下一個中招就是自己。

全球開始重視個資防護，2018年歐盟將推出個資保護規範

在大部分企業都在戒慎恐懼的同時，沈睡已久的資安險突然又受到關注，保險業者和國內媒體開始探討企業投資資安險的重要性，甚至保發中心董事長桂先農也強調，政府應該要政策性推動資安險，促成每家企業都能夠重新檢視企業內部資安狀況，並且投保資安險來取得保障。

尤其是臺灣近來資料外洩事件、詐欺事件、駭客入侵的新聞不斷，其中旅遊業和電商經常受到駭客攻擊，造成客戶名單外洩，大部分民眾個資恐早在暗網市場不斷流竄，同時也造成駭客為此來謀取利益。

除此之外，2015年政府修正新的個人資料保護法，強調資料保護的重要性，也懲罰企業發生資料外洩事件時，需要繳交罰款來警惕企業未善盡資料保護的責任。

更重要的是，歐盟即將在2018年頒布資料保護規範（General Data Protection Regulation，GDPR），強調歐盟國家內任何一位公民資料外洩出去，就需要立即通報，否則罰款該企業在全球總交易額4%，或者是2,000萬歐元（約新臺幣7億元）。這項規範正式頒布後，衝擊最大是跟歐盟國家有進行貿易交流的臺灣跨國企業。

如此天價的罰款金額，恐怕會造成很嚴重的損失，企業也需要重視資料的保護。美國國際產險（AIG）總經理林建忠認為，GDPR規範出來後，會提高大家對於資安險的了解，甚至有部分公司會開始建立資料保護長（Data Protection Officer，DPO），來強化企業從事敏感資料的防護。

現在，不只歐盟針對資料保護頒布相關規範，連已經脫離歐盟的英國也頒布了個資法，比較歐盟GDPR規範來制定。所以，現在全球各國都開始重視個資的防護。

駭客行為從竊取資料轉變中斷營運

趨勢科技臺灣暨香港區總經理洪偉淦指出，過去駭客為了在駭客圈能夠打響名氣，才發動網路攻擊，但近年來駭客發現了新的獲利模式，已經改變了駭客行為，加上全球經濟環境不景氣影響，越來越多人開始擔任駭客來賺錢，也造成網路勒索攻擊不斷出現新的手法。

而且，洪偉淦進一步強調，現在駭客攻擊目的逐漸轉向讓企業營運中斷，而不再只是竊取資料，因為竊取資料僅鎖定擁有大量資料的企業，但是營運中斷則沒有任何限制，駭客能瞄準任何公司發動DDoS攻擊，癱瘓公司的網路系統，中斷正常服務來勒索。

今年6月勒索軟體Petya攻擊歐洲多個國家，不僅廣告業者受到攻擊，丹麥最大貨櫃海運公司快桅集團、日本本田汽車工廠也遭受到嚴重攻擊，這種現象能夠說明，任何產業都會是駭客攻擊的目標。一旦企業因受網路攻擊而造成營業中斷，損失了交易金額。

資安險沉寂30年再度被喚醒

臺灣資安險概念早就在1987年就已經出現，當時臺灣產險公會鎖定金融機構研發資安相關保險產品，並且由臺產提供，2016年為了順應目前科技的發展，引用美國電子犯罪險的內容，升級改良原有的保單，針對駭客入侵銀行系統而造成資產損失，可以提供保險轉嫁，訂名為「資訊系統不法行為保險」。

另外，2015年臺灣修正「個人資料保護法」後，保險公司也順勢開發了「個人資料保護險」，減緩企業遭受網路攻擊時，造成資料外洩而造成的損失。另外，保險公司也提供｢資料及網路錯誤或疏漏責任保險」，可以補償企業服務中斷造成的損失。

然而，臺灣企業購買資安險數量仍然處於低迷狀態，根據保發中心提供資料顯示，2016年企業購買資料保護保險數量只有41筆、購買資料及網路錯誤或疏漏責任保險有32筆，以及購買資訊服務業專業責任保險有66筆，總共有139筆。另外，在2017年企業購買資料保護保險有19筆、購買資料及網路錯誤或疏漏責任保險有19筆、購買資訊系統不法行為保險企業有2筆，以及資訊服務業專業責任保險有75筆，全部總共也只有115筆。

全臺上市上櫃公司數量超過1,500家，但購買資安險企業卻不到7%，企業似乎還不願意買資安險的單。近日剛從倫敦參加保險會議的政治大學風險管理與保險系教授林建智認為，除了國際化程度高的新加坡、香港地區外，亞洲國家在資安意識方面比較薄弱，在歐洲國家，保險公司經常在會議上提供資安險理賠個案來討論。

然而，林建忠指出，目前全球資安險市場一年高達30到35億美元（約新臺幣907億元到1,058億元），一年保費收入大約是13.5億美元（約新臺幣408億元）。他認為，雖然現在資安險與其他險種相比較，還是屬於偏低的情勢，但是未來2020年資安險市場可能會增加到70億美元（約新臺幣2,117億元）。

而在亞洲，新加坡、香港和日本資安險推動情況都很順利，其中日本企業在2016年承保情況，與2015年相比已經成長了3倍，反映出其他亞洲國家對資安險需求仍持續增加。

雖然，臺灣過去30年也曾推出電子電腦犯罪險，但是經過不斷修正後，在今年改變資訊系統不法行為險，而且再加上跨國保險公司在近年來才剛從美國引進了個人資料保護險，資安險仍是新興險種，還有很大空間能夠修正開發，林建智認為，臺灣在開發和移植資安險的時間確實比較慢，相較歐美國家對資安險發展成熟度已經進入高中、大學階段，臺灣仍然還處於牙牙學語、幼稚園階段。

當一個新興產業在發展時候，必然產生出新興的風險，同時該產業的風險管理和保險需求也應運而生，對此，林建智針對臺灣資安險發展也抱著樂觀想法表示，隨著科技進步，資安風險會更顯著，資安風險管理重要性也會共同凸顯出來。

儘管，資安險推動時間已經有一陣子，無論是全球或臺灣購買資安險風氣不盛，但是，近年來全球網路攻擊規模逐漸擴大，甚至掃到臺灣企業，再加上各國或跨國組織也重視個人資料保護的概念，開始訂定了相關的規範，以及高額的罰款來保護資料。

這些因素讓資安險議題再度燃起，促使各國再度重視資安議題，加強資安意識，企業也必須開始了解資安風險管理的概念，保障企業受攻擊造成服務中斷，還有能力恢復企業運作，以及向投資者顯示出該企業擁有負責保護個資的能力。

資安險不單單只是風險轉嫁概念，更重要的是企業對資安意識重視程度，企業願意投資資安險，也代表該企業願意付出經費來建立資安建置。

通用汽車（GM）在去年買下的自駕車新創公司Cruise Automation今日（9/12）發表了全球首款已可邁入量產的自駕車設計，成為業界先驅。不過迄今尚無量產時程表。

目前各大業者仍在自駕車的設計或微調階段，而Cruise Automation的宣布意味著該公司自駕車的軟體/硬體及生產線皆已準備就緒。

Cruise創辦人暨執行長Kyle Vogt表示，這款自駕車其實已是該公司所開發的第三代產品，卻是首款符合冗餘及安全需求的自駕車，它並不只是概念設計，已經配備安全氣囊、防撞緩衝區，還有舒適的座位，且在一個每年可生產10萬輛汽車、廠區面積達75個足球場的工廠中裝配，擁有逾1000名員工與數百個機器人。(來源：Cruise)

Cruise尚未替這款自駕車命名，它的外型就像是一般汽車，車身上印有Cruise標誌，為遵循目前的法規而備有方向盤。

Vogt說，儘管它的外型看起來像是尋常的汽車，但其核心系統架構卻更像飛機或太空船，以這種方式來設計汽車既複雜又耗時，但這才是負責任的行為。

Cruise今年4月便曾對外展示新款自駕車的影片(下)，預計會在未來幾周加入供員工測試與共乘的自駕車車隊，也將繼續打造完全不需要人類駕駛的自駕車。

友訊（D-Link）一款無線路由器韌體被研究人員揭露有10項漏洞，而且都還沒有修補。 

南韓研究人員Pierre Kim指出，D-Link的850L AC1200雙頻Gigabit無線路由器韌體出現大量漏洞，使研究人員在測試中得以成功攻擊這款產品的LAN、WAN甚至友訊雲服務MyDlink Cloud協定。他形容這款產品為整體設計品質低落（overall badly designed）。 

Kim臚列出D-Link 850L 10項漏洞，而這款產品共有A、B二個版本，分別出現不同的漏洞。首先在韌體方面，A版韌體沒有密碼防護，可讓駭客假造韌體image。B版韌體只有寫死的密碼。

在LAN及WAN協定方面，A版有XSS漏洞，B版則讓攻擊者透過MyDlink Cloud協定取得管理員密碼而控制機器。兩者的MyDlink Cloud協定也安全性不足，連預設加密都沒有，使得連向Amazon的TCP Tunnel流量內容及身份驗證資料都被看光，密碼也都以明碼儲存。兩者的tunnel私鑰是寫死在韌體內，給了駭客發動中間人攻擊的機會。 

在LAN端，兩個版本都有阻斷攻擊（DoS）漏洞。在本機端兩款產品也檔案防護不足而曝露在外，帳密以明碼儲存。此外，B版有後門，可被外部人士存取，且其DHCP用戶端可能遭指令碼注入攻擊，使駭客取得根層級存取權。A版則DNS組態防護不足，可以HTTP呼叫變更DNS設定。 

Kim在今年6月發現上述漏洞，而且是在未聯絡D-Link情況下於上周公佈了這批漏洞。他解釋，這是因為「與D-Link之前互動的困難」，因此這次決定完全揭露。 

今年二月間Kim曾經揭露了D-Link產品多項漏洞，但這家路由器業者卻沒有公開致謝，反而偷偷發佈修補程式，引發研究人員的不滿。D-Link也只修補了一部份漏洞。

微軟於周一（9/11）宣布，Microsoft Teams協作工具將新增訪客存取（guest access）功能，允許Microsoft Teams用戶邀請團隊以外的使用者加入聊天、會議或是文件的協作。

Microsoft Teams為Office 365中以聊天方式為主的工作區，可建立群組以進行小組會議，因整合了Office功能及第三方程式，因此能快速存取重要的文件與工具。

先前Microsoft Teams只支援企業內部員工參與會議，在訪客存取功能上線後，將可邀請外部人員加入會議，目前只能邀請具備Azure Active Directory（Azure AD）身分的使用者，預計之後將進一步擴大支援擁有Microsoft Account（MSA）的使用者。

Azure AD為微軟的多租用戶雲端型目錄及身分識別服務，只要使用Azure或是整合Azure AD的第三方應用其實都已具備Azure AD，例如Office365、Dynamics CRM、Salesforce.com或DropBox等，微軟估計全球已有超過8.7億個Azure AD帳號。

為了降低訪客存取對企業所造成的安全威脅，微軟啟用了大型企業等級的安全機制，包括針對訪客存取制定條件式的存取政策，並藉由機器學習演算法來偵測異常狀況，也能執行多因素認證，IT部門亦可監控外來訪客的行為，隨時新增或撤銷訪客的存取權限。

微軟於去年11月開放Microsoft Teams的公開測試，今年3月推出正式版，迄今支援25種語言，已有12.5萬個組織使用該功能。

市場上類似Microsoft Teams的協作平台還包括知名的Slack、Google Hangouts Chat，以及本周才問世的Stride等，Microsoft Teams的最大優勢在於擁有龐大的Office 365用戶基礎，目前Office 365約有1億用戶。

Google周一（9/11）宣布，自2007年發表Google Safe Browsing服務以來，迄今全球已有超過30億個裝置受到該服務的保護。

Google Safe Browsing服務為Google所建立的黑名單服務，它導入機器學習技術，蒐集了全球的危險網站，涵蓋那些企圖在使用者裝置上安裝惡意程式、無用程式或是執行網釣攻擊的網站，以在使用者透過瀏覽器造訪這些網站時提出警告。

該服務除了應用在Chrome瀏覽器、Google Play與Gmail之外，也受到Safari、Firefox、Opera及Vivaldi等瀏覽器的青睞，甚至是網頁開發者或是包括Snapchat在內的行動程式開發者也都會利用Google Safe Browsing來過濾惡意網頁。

這使得受益於Google Safe Browsing的使用者與日俱增，從2012年的6億用戶，至去年5月的20億用戶，到今年9月的30億用戶。

另一方面，隨著行動時代的來臨，Google也改變了Google Safe Browsing遞送資訊的方式。Google說明，在過去桌面瀏覽器當道的時代，他們並不怎麼擔心Safe Browsing所傳送的資訊量，但行動裝置改變了這個狀態，這些行動裝置也許頻寬不足、數據傳輸所費不貲，可能還要擔心電池續航力的問題，因此他們在過去幾年重新設計了該服務的傳輸方式。

在行動時代，Safe Browsing所傳遞的資訊經過壓縮，而且只將最重要的訊息傳送給特定裝置，此一改變率先在2015年應用在Android的Chrome瀏覽器，繼之在去年中開放，蘋果於去年秋天釋出的iOS 10上的Safari瀏覽器也採用了最新的Safe Browsing服務。這些新技術造就了Safe Browsing用戶數在短短一年多的時間便增加了10億。

根據外電報導，主辦世足賽的國際足球總會（Fédération Internationale de Football Association，FIFA）本周對外坦承收到了來自英國足球聯盟（England Football Association，FA）希望他們能夠加強資訊安全的郵件。

FA的擔心其來有自，俄國駭客集團Fancy Bear自從在去年9月入侵世界反禁藥組織（World Anti-Doping Agency，WADA，並揭露奧運選手的個人資料與醫藥資料之後，上個月再度揭露了於2010年參加國際足總世界盃（FIFA World Cup）的25名未通過藥檢並取得豁免的足球員名單，Fancy Bear還宣稱握有2015年與2016年的足球員興奮劑測試結果。

有鑑於WADA堅稱他們的系統並未被入侵，並暗示資訊是自FIFA的電腦系統流出，再加上四年一度的世界盃賽事即將在明年於俄國舉行，在時機敏感之際才使得FA特別去信要求FIFA。

根據報導，FA不只是擔心球員的個資外流，還擔心球隊的戰術資訊曝光，已警告FA的職員及球員不要使用飯店或公共的Wi-Fi服務上網，同時強化該組織的防火牆與密碼。

FIFA仍在調查自家系統是否含有安全漏洞，並承諾會加強防範網路攻擊事件。

至於惡名昭彰的Fancy Bear被視為是由俄國政府支持的駭客團隊，並與俄國軍事情報組織有所關聯，它在全球出沒，鎖定各國政府、軍方及安全組織，外界相信它曾攻擊德國議會、法國電視台、TV5Monde、美國白宮、北大西洋公約組織，也在去年美國大選期間入侵美國政黨，經常使用網釣手法與零時差漏洞展開攻擊。

西班牙資料保護組織（AEPD）周一（9/11）指出，臉書（Facebook）因擅自蒐集與使用西班牙民眾的個人資料，違反當地的資料保護法，因而被判罰120萬歐元（約4365萬元新台幣）。

根據AEPD的調查，臉書在未明確揭露用途的情況下蒐集了當地民眾的意識型態、性別、宗教信仰、個人喜好與瀏覽行為，並將這些個人資料作為廣告之用，嚴重地侵犯了西班牙的資料保護法。

AEPD認為臉書並未清楚地交待資料蒐集的方式與用途，只提供一些簡單的例子，還蒐集了用戶與該平台或其他第三方網站互動的資料，同樣沒有明白向用戶揭露。

調查顯示，臉書所蒐集的資料擴及用戶瀏覽到嵌有臉書按讚鍵的第三方網站、曾造訪臉書的非該站用戶，甚至是沒有登入臉書的用戶瀏覽行為。

此外，就算用戶刪除了自己的帳號，臉書仍然保留用戶資訊長達17個月之久，亦侵犯了當地的資料保護法令。

國內正舉行的WCIT世界資訊科技大會上，金融科技無疑是展出的亮點之一，中國信託現場展示多項創新服務，其中之一是利用VTM（Video Teller Machine）視訊櫃員機，讓民眾以視訊和銀行客服完成開戶手續，並在現場取得金融卡。

傳統在銀行開戶，民眾必需在下午三點半之前臨櫃，攜帶身份證等雙證件，列印證件複本，填寫開戶文件資料，並留下民眾本人的影像，最後由櫃檯人員發給存摺、金融卡，過程至少要30分鐘以上。

中國信託近期獲得金管會許可，上週五開始在台北市內湖區的東湖數位分行設置一台VTM視訊櫃員機，將試營運半年的時間，讓民眾體驗視訊開戶的方便性。目前VTM視訊開戶的服務時間為早上9點到晚上7點，以後民眾趕不上下午三點半銀行關門時間，就能透過VTM完成線上開戶，開設的帳戶等同實體的銀行帳戶，並非數位帳戶。

怎麼用？

當民眾使用VTM進行視訊開戶，VTM就會接通遠端的中國信託客服人員，由專人和民眾現場視訊對話按順序完成開戶手續，必需通過開戶認證、上傳證件、資料填寫、開戶發卡四大程序後，VTM當場核發的金融卡，但需注意的是視訊開戶沒有提供存摺，需要存摺的民眾還是必需臨櫃辦理。

和傳統開戶一樣，民眾必需提供身份證、駕照雙證件資料，但視訊開戶只要將證件放置於VTM左側的文件掃描區，待完成證件掃描後，影像便會上傳，並且辨識證件上的個人資料，如姓名、地址、身份證字號等，自動填寫入開戶的文件中，民眾可在VTM下方的螢幕上確認或手動更正個人資料。

之後，VTM會再將文件列印出來，消費者拿到紙本文件後再次確認，並親手簽名或蓋上私章。

再將文件送到VTM的文件掃描區，系統會先掃描文件影像進行後續的視訊開戶程序，同時VTM也會自動將開戶文件回收留存。

遠端的客服人員收到開戶文件的掃描影像資料，確認資料填寫完整後，民眾再依指示完成開戶拍照後，設定臨櫃密碼、ATM提款密碼，開通個人的網路銀行服務，最後VTM當場核發金融卡，整個過程約15到20分鐘。

中國信託表示，目前僅在東湖分行部署一台VTM，讓民眾在銀行營業時間之外也能透過VTM視訊開戶，未來也會在南港的中國信託營業部設置一台VTM，預計先完成半年的試營運後，再向金管會提出報告，確認試營運期間視訊開戶沒有安全上的疑慮，未來就會正式營運，擴大部署更多的VTM。

悠遊卡不再只是一張四四方方的塑膠卡片，也不只是必需整合在NFC手機上的電信悠遊卡，在WCIT世界資訊科技大會上悠遊卡有了新風貌，手機悠遊卡、數位悠遊卡。

手機悠遊卡及數位悠遊卡，簡而言之是讓悠遊卡虛擬化整合到智慧型手機，和台灣大哥大、中華電信目前推出的NFC手機悠遊卡（電信悠遊卡）不同，手機悠遊卡、數位悠遊卡不需搭配NFC手機，不需更換特殊的SIM卡，不再只有Android手機可用，iPhone用戶也能使用。

手機悠遊卡是將實體的悠遊卡app化，以整合到智慧型手機中，消費者只要下載安裝app，不需要購買實體的悠遊卡，就能在手機上使用實體悠遊卡的儲值、支付、點數紀錄等功能。

基於交易安全考量，開啟手機悠遊卡app需先輸入密碼、圖形密碼或通過Touch ID驗證身份，app可儲存5張悠遊卡，選擇想要用哪張悠遊卡支付，可在app上查詢消費紀錄，相較於實體悠遊卡資料容量只有1KB不同，手機悠遊卡app能儲存更多的消費紀錄。未來再綁定用戶的銀行帳戶，悠遊卡不需儲值，視銀行帳戶內的餘額支付。

傳統悠遊卡是以RFID感應支付，手機悠遊卡則使用藍牙支付，因此不只Android手機可用，iPhone手機也能使用，但目前店家配置的悠遊卡感應機必需加裝藍牙通訊功能。

另一種數位悠遊卡同樣以app為載體，但並非透過藍牙或NFC感應支付，數位悠遊卡比較接近時下的行動支付app，它是透過掃描條碼完成支付。

數位悠遊卡app的下方提供兩種掃碼選擇，左邊為條碼支付，右邊為掃描支付。

如果店家有掃碼機，消費者結帳時可選擇以條碼支付，app就會同時秀出一維及二維QR code條碼供店家掃描（下圖）；而如果店家沒有掃碼機，僅提供商家的QR code，則按下app的掃描支付，以手機掃描QR code確認付款。

數位悠遊卡也能線上支付，主要是整合pay.taipei平台，可以悠遊卡支付北市停車費、市立聯合醫院、水費等費用。

悠遊卡公司現在已將手機悠遊卡、數位悠遊卡兩項服務送到金管會審核，未來若獲得通過，最快年底可望推出。

台北時間13日凌晨舉行的蘋果秋季新品發表會中，除了令人矚目的iPhone 8及iPhone X外，蘋果也公佈下一代行動裝置作業系統iOS 11正式版本將在下周的9月19日（台灣時間9/20）正式釋出。
 
iOS 11已在6月的WWDC首度亮相時開放測試。當時版本加入更聰明而更自然的Siri、人工智慧及P2P個人轉帳功能、以及更方便開發虛擬實境（VR）內容的ARKit等，並加強iPad多工作業能力、緊急下連按5下電源鍵可解除TouchID，改以密碼解鎖等。此後iOS 11還歷經了10個測試版本。

新增的AR擴增實境效果（來源：Apple）：

iOS 11強化了語音助理Siri的功能，例如可以說出英文，讓Siri幫你翻譯成簡體中文（來源：Apple）：

 
正式版iOS 11又加入了新功能。首先，配合iPhone X移除指紋辨識功能Touch ID，新版作業系統將加入Face ID，這個結合紅外線相機及3D 深度感應而成的臉部辨識功能可作為手機解鎖、或Apple Pay身份驗證，或是所有過去仰賴Touch ID的作業。另外，運用同一技術，iMessage加入了可模仿用戶表情產生的動畫表情符號。

在iPhone X上的Face ID可取代Touch ID，用於解鎖螢幕，身份驗證或支付（來源：Apple）：

 
另外， iOS 11還提供照相時專業打光效果、iPhone X提供前鏡頭景深效果、新增iPhone 拖放（drag & drop）。而由於移除了Home鍵，也加入了由螢幕右上以手指刷下叫出控制中心，往上刷再回到主畫面。因應直播需求，iOS 11也讓特別是遊戲直況主可將螢幕畫面錄製成影片及直播。
 
iOS 11將全面升級至64bit，未來32bit app都將無法執行。最低安裝要求是iPhone 5S、iPad mini2、第5代iPad、及第6代iPod touch。

可相容的裝置（來源：Apple）：

蘋果周二（9/12）更新旗下多款硬體裝置，從iPhone、Apple Watch到Apple TV。此次蘋果發表了3款iPhone產品，其中，被視為iPhone十周年紀念版的iPhone X採用全玻璃設計，配備5.8吋螢幕，且要價高達999美元，台灣售價則為35900元新台幣。

iPhone X是首款採用全玻璃、5.8吋的Super Retina OLED螢幕，以及無Home鍵設計的iPhone，也是iPhone問世以來螢幕最大與售價最高昂的版本。它內建A11 Bionic晶片，支援Face ID臉部辨識登入與無線充電，預計於10月27日於包括台灣在內的全球55個國家開放預購，11月3日出貨。

由於它採用全螢幕設計，因此就算螢幕尺寸大於iPhone 8 Plus的5.5吋，但手機尺寸與重量仍然明顯小於iPhone 8 Plus。

全螢幕的iPhone X以不鏽鋼金屬邊框包覆著前後的玻璃，在失去實體Home鍵之後，只要在螢幕上由下往上滑就能執行Home鍵功能，蘋果強調iPhone X採用7層的彩色工藝，能夠在玻璃表面上呈現精確與不透明的色彩，且符合IP67的抗水防塵規格，代表它能完全防塵，且可短暫置入最深1米的水裡。

此外，iPhone X以Face ID取代了Touch ID，在手機的前方嵌入了TrueDepth深度攝影機，用來進行人臉辨識，以解鎖iPhone、作為Apple Pay驗證，或是存取其他安全程式的身分憑證。蘋果強調Face ID比Touch ID更安全，亦可避免被照片或面具矇騙。

iPhone X背後搭載了700萬畫素的TrueDepth相機，以及具備雙OIS光學防手震的全新1200萬畫素相機。

蘋果設計長Jony Ive表示，蘋果一直想要打造一支全螢幕的iPhone，iPhone X實現了這個夢想，這是iPhone的新紀元，讓裝置完全融入消費者的體驗中。

採用全玻璃設計的iPhone X突破了以往金屬機殼的限制，一如外界預期支援了無線充電。除了可供手機外，蘋果準備在2018年推出AirPower Mat大型無線充電板，可同時為iPhone、Apple Watch及AirPods充電：

iPhone X除了工藝上的創新之外，在價格上也創下新高，蘋果在2007年發表的第一代iPhone售價為499美元，iPhone X足足是它的兩倍價格。

iPhone X有銀色與太空灰兩種顏色可供選擇，儲存容量選項為64GB與256GB，售價分別是999美元與1149美元，台灣售價為35900元新台幣與41500元新台幣。

台北時間13日凌晨舉行的蘋果秋季新品發表會上，蘋果（Apple）也宣佈下一代作業系統macOS High Sierra在於美國時間9/25（台灣時間9/26）正式開放下載。
 
新版macOS最大特色是新增APFS檔案系統。64-bit架構的APFS是為快閃儲存技術設計，未來在拷貝資料及顯示資料速度都會更快，且內建加密、當機防護及簡化資料備份。

此外，High Sierra首度支援了HEVC（H.265），其視訊壓縮率比現有主流H.264提升40%，播放4K影片效果更佳、也更不佔空間。另外Safari除強化JavaScript效能外，還加入關閉影片自動播放，以機器學習功能來辨識廣告或惡意追蹤器。（來源：Apple）

 
macOS High Sierra也加入了Metal 2圖像渲染技術，新增外接GPU與VR支援，可開發VR app、相容HTC Vive VR頭戴式裝置相容。其他包括支援Apple Pay、強化Photo App、Mail及Spotlight、Notes、iCloud Drive分享檔案功能等。

新版macOS也改善了照片管理，在照片的側邊提供了側邊欄，讓使用者可以依不同的條件快速找到照片（來源：Apple）：

資安公司既然已經協助企業建置資安相關設備和措施，來防護已知與未知的資安威脅，以及提供專業資安服務，然而，保險公司提供資安險內容是什麼，能夠補救企業何種損害呢？政治大學風險管理與保險系教授林建智認為，資安險是企業的後層防護，企業資訊部門已經在前端建置資安防護後，仍然出現資安漏洞，才需要來做資安險。

此外，保險事業發展中心董事長桂先農也談到，資安險一方面是損害填補，資安險提供補償企業因為資安事件發生而遭受的財物損失，另一方面是損害防阻，亦即企業透過保險機制的運作，不僅在資安事件發生之前能夠預防損失的發生，以及預防企業資產損失擴大。資安險能夠為企業取得緊急應變的費用，來補償資安損失，以利企業可以快速恢復營運。

目前在臺灣，保險公司提供了4項資安險的險種，包括資料保護保險、資料及網路錯誤或疏漏責任保險、資訊系統不法行為保險和資訊服務業專業責任保險，其中前三項主要是企業發生資安事件時，保險公司能夠轉嫁企業損失，以及提供理賠服務的險種，最後一項則是針對資訊人員因為作業疏失，而遭他人提出損失賠償，保險公司可以彌補相關損失的險種。

資安險能理賠行政罰鍰、名譽修復費用和調查費用

臺灣在2015年修正個資法後，保險公司也推出資料保護保險，著重在企業發生資安事件後，能夠提供第三責任賠償，其中也包含資料外包廠商。美國國際產險（AIG）總經理林建忠表示，因為美國比其他國家還著重隱私權，政府和企業也重視資料防護概念，美國各州還要求，企業發現資料外洩情形就需要立即通知客戶，所以他吸取了美國經驗，直接引進了美國資料保護保險的保單內容。

根據林建忠提供該公司資安險資料指出，目前AIG提供資料保護保險平均一年保費為大約落在151,310元至181,572元之間，一年一次會重新評估該公司目前的資安狀況。他進一步強調，因為目前使用人數不多，全臺也30多家客戶，但保費評估應該是要根據承保企業產業類別、承保範圍、規模大小和企業對資安控管程度等項目去評估，保費差異會很大。

至於資料保護保險能夠承保企業的那些資安風險，以及提供保險服務？根據AIG保單內容表示，資料保護保險承保事項分為3大類，分別是資料責任、資料管理和名譽修復。首先資料責任更細分為，個人資料責任、公司資訊責任、委外責任、資料安全責任，以及抗辯費用的理賠。

第二、保險公司能夠針對企業發生資料外洩事件後，企業因為調查資安事件，聘請法律諮詢及委任律師代理產生的費用來協助支付，而且企業不需要支付自負額，全由保險公司支付。此外，企業因資料外洩而遭到主管機關罰緩，保險公司也能夠理賠部分罰鍰。

第三、名譽修復方面，企業因資料外洩事件造成企業名譽損傷和個人名譽損傷，保險公司可以聘請專業公關顧問來尋求協助，其產生的費用能透過保險公司來支付。

另外，企業通知及監控費用、電子資料修復費用，以及鑑識服務費用等，也在保險公司能夠理賠條件範圍內。其中見識服務理賠條款中強調，企業聯繫鑑識顧問後24小時內需要通知保險公司，否則保險公司不負保險給付之責任。

而且，根據上述保單內容資安險牽涉面向很多，保險公司不是只有提供理賠服務，還有其他修復服務，林建忠表示，保險公司在資安險方面安排6種外部的專業團隊，包括資安公司、公關公司、法律顧問、資訊公司、鑑證公司和教育團隊。資安團隊負責為企業在投保資安險之前做資安健檢，以及資安事件後的檢測評估，公關公司負責與對外溝通和對主管機關協調，法律顧問則是提供資安相關法律諮詢，甚至擔任訴訟律師，資訊公司則是負責企業發生資安事件後的修復重建，鑑證公司即是擔任資安鑑定工作，以及教育團隊會提供公關課程、資安課程來協助企業強化相關知識。

資料保護保障險在臺灣是新興險種，林建忠解釋，企業如果要續保資料保護保障險，保險公司每一年都會去評估企業當下資安情況，如過去一年發生資安事件次數，資安措施建置程度等來調整保費費用，但如果過去一年該企業發生過多資安事件，保險公司會拒保。

銀行業綜合保單只針對內部員工疏失造成損害來理賠，資料系統不法行為保險則針對外來者經由資訊系統不法入侵來理賠，兩者結合相輔相成。——臺灣產物保險副總經理謝宏智

資料系統不法行為保險著重金融機構自身財產損失

今年資安險增加了資料系統不法行為保險，參照國外的電子及電腦犯罪險來修改，這款保險主要關注企業自身資產的損失，特別是指金錢方面損失，所以目前在臺灣只有限制金融機構能夠投保，而且全臺灣只有臺灣產物保險（簡稱臺產）提供，臺灣產物保險副總經理謝宏智解釋，由於臺產過去就專門是關注公營銀行的保險公司，臺產原先提供保險的承保範圍，僅限於銀行內部員工疏失而造成損害的賠償，但沒有關注外來入侵銀行內部的保險，所以開發資料系統不法行為保險來彌補電腦犯罪險這一塊。

謝宏智指出，去年孟加拉央行竊盜案是資料系統不法行為保險在臺灣最主要推出的動機，過去都認為銀行機構都採用封閉資訊系統，不容易出現駭客入侵的情況，但是孟加拉央行事件爆發後，才發現銀行系統也不是滴水不漏，也有被攻破的風險。

資料系統不法行為保險主要承保範圍有8大項目，包含資訊輸入竄改或銷毀、電腦指令之偽造或變造、電子資訊及媒體之毀損滅失、電子訊息之誤傳或竄改、資訊系統服務之失誤、電子傳送之導誤，電腦病毒侵害，以及口頭撥款指令之偽造。謝宏智強調，資料系統不法行為保險不同於資料保護保險，資料保護保險著重在資料不當使用，或不當利用造成名譽上損失，但不見得在資產上也有損失，但是資料系統不法行為關注金融機構資產上的損失。

很多人認為DDoS攻擊事件造成銀行業務中斷屬於資料系統不法行為保險內容，但謝宏智進一步表示，DDoS攻擊癱瘓銀行系統屬於附帶損失，則不是屬於直接財產損失，所以無法適用在資料系統不法行為保險，則是歸類在資料及網路錯誤或疏漏責任保險方面。另外，駭客向金融機構提出勒索金額也不適用在該保單內。

根據謝宏智證實，臺產目前只有第一銀行投保資料系統不法行為保險，這張保費一年需繳7、800萬元，當一銀發生駭客攻擊事件造成資產損失時，雖然一銀得到最高理賠金1.5億元，但是一銀需要支付10%自負額，其90%才由臺產負擔。他強調，自負額比例並不是固定不變，保險公司會評估被保險人狀況來設定，也會尊重被保險人的評估，被保險人自負額比例越高，保費明顯也越低。

蘋果周二（9/12）發表首度支援無線充電的新一代iPhone—4.7吋的iPhone 8及5.5吋的iPhone 8 Plus，售價分別為699美元（25500元新台幣）及799美元（28900元新台幣）預計於本周五（9/15）在包括台灣在內的25個市場開放預購，準備在9月22日出貨。

iPhone 8與iPhone 8 Plus在外型上與前一代的iPhone 7系列差不多，但為了支援無線充電功能而改採玻璃背殼，且iPhone 8系列採用了最新的6核心A11 Bionic處理器，A11 Bionic包含2個效能核心與4個效率核心，它們的效能與效率分別比上一代的A10 Fusion增加了25%與70%，共同運作下可提升70%的多任務效能，同時維持一致的電池壽命。

A11 Bionic另一個特別之處在於它整合了蘋果自行設計的3核GPU，其繪圖能力比前一代增加了30%。創新的A11 Bionic讓iPhone 8系列與iPhone 8X能夠支援複雜的機器學習運算，執行擴增實境（AR）程式與3D遊戲。(來源：Apple)

蘋果還強調iPhone 8 Plus的雙鏡頭針對了AR體驗進行微調，每個鏡頭皆能個別校準，輔以全新的陀螺儀與加速計則能精確地追蹤動作。同時蘋果也釋出了ARKit，以協助開發人員打造支援iOS的AR應用。

有別於iPhone X強調螢幕與機身的工藝設計，iPhone 8系列的重點擺放在無線充電與相機功能。

iPhone 8系列採用新的影像訊號處理器，宣稱可帶來更好的畫素處理能力，能捕捉更多色彩，在光線不足的狀況下也能快速自動對焦，亦具備全新的四合一LED True Tone閃光燈及慢速同步能力，能更均勻地照亮前景與背景。

iPhone 8與iPhone 8 Plus主要的差別在於螢幕尺寸、解析度、電池容量與後方相機。iPhone 8採用4.7吋螢幕、解析度為326ppi，通話時間為12小時，只有一個1200萬畫素的後方相機；iPhone 8 Plus則是5.5吋螢幕、解析度為401ppi，通話時間為21小時，擁有廣角與長鏡頭的兩個1200萬畫素後方相機。

此外，蘋果強調玻璃背殼的設計是為了因應無線充電功能，不過，消費者必須自行額外購買無線充電板，它支援 Qi無線充電標準，蘋果已在網站與直營門市出售來自Belkin及mophie的充電板，而蘋果官方設計的AirPower無線充電板則預計於明年問世。

iPhone 8系列有太空灰、銀色與金色三種選擇，分為64GB與256GB兩種儲存容量，其中，iPhone 8的售價分別是699美元與849美元，iPhone 8 Plus則是799美元與949美元。

目前台灣蘋果官網已顯示國內售價，iPhone 8的64GB售價25500元，256GB為30900元，而iPhone 8 Plus則分別是28900元及34500元。蘋果將在9月15日下午3點01分開放線上預購。

若比較iPhone X與iPhone 8 Plus，可發現它們最主要的差別來自於螢幕、外型設計與Face ID（iPhone 8系列仍採Touch ID），其他規格則大同小異。

安全公司Armis Labs研究人員揭露一項針對藍牙漏洞進行的攻擊手法，使開啟藍牙連線的行動裝置可能被駭客植入惡意程式。雖然蘋果、微軟及Google皆已修補漏洞，但上億Android及iOS 10以前的裝置用戶則曝露在風險之中。 

攻擊者只要接近目標受害者，透過藍牙連線取得其MAC位置，即可藉由目標裝置的藍牙漏洞入侵，研究人員因此稱這項攻擊手法為BlueBorne。在這類攻擊中，受害者只要開啟藍牙即可，不需與攻擊者裝置做過配對，不須任何設定，甚至不需設為「可尋找」模式，此外也不需要使用者介入就能入侵。 

BlueBorne基本上影響所有使用藍牙連線的裝置。根據估計，包括現代化手機、電腦、電視、汽車及醫療器材，今天這類裝置高達82億個。研究人員表示，藍牙連線裝置等往往是網路上防護最弱的終端，感染速度極快，且藍牙對所有作業系統具有最高權限，也提高BlueBorne攻擊的危險性。 

他們相信BlueBorne手法可被用以發動各種型態攻擊，包括遠端執行程式碼以取得裝置控制權、存取公司資料或網路、滲透進企業內網而感染鄰近裝置，或是進行中間人（man-in-the-middle）攻擊。 

這點類似7月間資安公司公佈Broadcom Wi-Fi晶片的Broadpwn漏洞，後者允許攻擊者透過無線網路對Android及iOS裝置發動攻擊。 

研究人員並公佈8個BlueBorne使用的藍牙零時攻擊漏洞，其中有4個被列為重大風險。這些漏洞已被證實可被入侵用戶裝置。受影響作業系統包括Android、Linux、Windows及iOS 10以前的系統，基本上涵蓋所有的連網裝置。

入侵Android裝置的示範影片： 

微軟在本周的安全修補已經修補所有Windows版本的藍牙漏洞。iOS 10也已修補了這些漏洞。也就是說，全球約20億Android裝置，以及舊版iOS裝置用戶仍然曝露於風險之中。雖然Google已經針對Marshmallow及Nougat釋出更新版，但受到Android現有版本及更新機制分歧的限制，勢必仍有眾多的Android裝置，因此從Google Pixel、Samsung Galaxy、LG Watch Sport到汽車音響可能都還未修補。研究人員並成功測試入侵了Google Pixel及Nexus手機。 

此外，Linux裝置如Samsung Gear S3、Samsung Smart TV及Samsung連網冰箱等也在可能受害名單上。

蘋果於本周二（9/12）發表了Apple Watch Series 3智慧手錶，新的Apple Watch家族有兩種規格，一是只內建GPS，二是同時內建GPS及行動通訊（Cellular）能力，後者成為蘋果首批內建行動通訊能力的Apple Watch，即便iPhone不在身旁也能打電話或接收簡訊。

Apple Watch Series 3搭載雙核心的S3處理器、W2無線晶片與watchOS 4作業系統，並支援Siri語音數位助理，硬體的升級可加速程式啟用速度，以及提高Wi-Fi與藍牙的速度及效率。

儘管支援GPS+Cellular的Apple Watch Series 3依舊必須與iPhone配對，但它具備完整的LTE與UMTS蜂巢無線電，且與iPhone共享同一個電話號碼，能夠在遠離iPhone時無縫轉換至電信網路，因此可直接自手錶上打電話，還能搭配AirPods無線耳麥使用。

此外，GPS+Cellular版的Apple Watch Series 3把天線嵌在螢幕中，利用螢幕就能傳送與接收LTE與UMTS訊號，亦內建只有傳統SIM卡不到1/00大小的eSIM卡。

不過，Apple Watch與iPhone必須使用同一電信業者的服務，且並非所有的電信業者皆支援此一功能。

Apple Watch Series 3另一項重要的改革是防水功能，它的耐水性可達50米，意謂著使用者可配戴它游泳或從事海上活動，然而，蘋果仍警告它並不適用於水肺潛水活動。

GPS版的Apple Watch Series 3最低售價為329美元，GPS+Cellular版則是399美元，將在本周五（9/15）開放預購，預計於下周五（9/22）上架。也會在今年秋天發表Apple Watch Nike+系列產品，提供採用Nike獨家運動錶帶的GPS版與GPS+Cellular版的Apple Watch Series 3。

台灣微軟總經理在邵光華離開後，一度由微軟大中華區副總裁暨中國區業務總經理蔡恩全暫時代理，但微軟已確定新的總經理人選，將由台灣施耐德電機總裁孫基康將接任。

今年7月邵光華離開台灣微軟，使得總經理一職空懸，後來由已升任大中華區副總裁暨中國區業務總經理的蔡恩全回鍋暫時兼任，並積極尋找新的台灣區總經理接班人選。

歷經兩個月的時間，今天微軟內部已確定新的總經理人選，微軟大中華區總裁柯睿杰（Alain Crozier)、蔡恩全相繼對內部員工宣佈這項新的人事異動消息，確定由孫基康出任台灣微軟新任總經理，據瞭解，孫基康將在9月14日上任，而台灣微軟也準備在明天對外正式公佈。

孫基康在加入台灣微軟之前是施耐德電機台灣區總裁，也是台灣施耐德電機近20年來的首位本土總裁，在升任總裁之前，他在2014年擔任台灣施耐德電機工業暨自動化事業部總經理，更早之前則在美商國家儀器工作約14年，並曾任台灣區總經理。

在美國求學擁有華盛頓大學電子電機學系學士學位的孫基康在美商國家儀器工作期間，在台灣區總經理任職9年，相當熟悉台灣地區業務及組織管理。後來加入台灣施耐德電機成為首位本土總裁，掌管台灣區的能源管理基礎建設、中低壓配電設備、工業自動化及控制、樓宇管理、智慧家居用電、雲端資料中心與原廠級服務等7大事業。

蘋果在本周二（9/12）發表了第五代的Apple TV，它支援時興的4K及高動態範圍（High Dynamic Range，HDR）內容，且直接命名為Apple TV 4K。蘋果將於本周五（9/15）開放預購，下周五（9/22）出貨，但台灣尚未公佈何時開賣。

Apple TV為一用來連結網路與電視的機上盒，也有人稱它為媒體播放器，它採用蘋果自製的tvOS，內建Netflix與Amazon Prime Video等內容服務供應商，並有支援Siri數位語音助理的搖控器與Apple TV程式。(來源：Apple)

讓Apple TV 4K可處理4K及HDR內容的動力來自於它所內建的A10X Fusion處理器，該處理器也被應用在蘋果於今年發表的iPad Pro上。其中，4K指的是內容的水平解析度達到4000個畫素，HDR則是結合不同曝光程度的畫面，可強化明暗畫面上的細節清晰度，而Apple TV 4K不僅能順暢呈現4K內容，也有能力處理Apple TV 4K HDR內容。(來源：Apple)

根據蘋果的說明，Apple TV 4K內建的4K影像轉換器（video scaler）可讓4K電視機上的HD內容看起來更賞心悅目，並會自動偵測4K電視機的能力以針對影像品質進行最佳化，或是盡可能輸出最高解析度的影像。

Apple TV 4K支援了4K HDR影像(來源：Apple)：

蘋果上一次更新Apple TV是在2015年的10月，價格也稍有變動，32GB的Apple TV 4K售價為179美元（台灣售價為5990元新台幣），64GB則是199美元（6590元新台幣），第四代32GB版本的Apple TV售價則是149美元。

Google周一（9/11）宣布，自預計於明年4月出爐的Chrome 66正式版便不再信任由賽門鐵克在2016年6月以前所發行的憑證，且明年10月的Chrome 70即會移除對所有賽門鐵克憑證的信任，呼籲各家採用賽門鐵克憑證的網站應儘早更換。

Google在2015年9月發現賽門鐵克旗下的Thawte憑證機構誤發了Google憑證予第三方，賽門鐵克最初僅坦承誤發23個憑證且開除了相關員工，沒想到雪球愈滾愈大，Google最後發現賽門鐵克所誤發的憑證數量超過3萬個，宣布將對賽門鐵克祭出嚴厲措施，先是在今年3月的Chrome瀏覽器中調降賽門鐵克憑證的安全評等，並於本周公布Chrome不再信任相關憑證的時程表。

至於遭到Google調降安全評等的賽門鐵克已於今年8月宣布將把數位憑證業務賣給DigiCert。

根據Google的規畫，Chrome 66將不再信任賽門鐵克於2016年6月1日以前所發行的憑證，而Chrome 70則會全面移除賽門鐵克發行的所有憑證。

目前Chrome 66測試版預計於2018年的3月15日出爐，正式版則是4月17，Chrome 70正式版則可望於2018年的10月23日出爐。

此外，由於賽門鐵克會在今年的12月1日將憑證資產轉移給DigiCert，屆時的Chrome也會停止信任基於賽門鐵克舊架構所發行的憑證。