多名研究人員於上周發表一研究報告，表示他們在大家所熟悉的4G LTE（Long-Term Evolution）網路的資料連結層（Data Link Layer）中發現了3種攻擊途徑，其中有兩種屬於被動攻擊，可比對使用者身分或辨識使用者所造訪的網站，另一個名為aLTEr的主動攻擊則允許駭客利用LTE標準的漏洞偽造DNS以竄改使用者的連結，由於它們屬於標準設計上的漏洞，目前無從修補，幸好攻擊成本所費不貲，較可能被應用在目標式攻擊。

資料連結層介於實體層（Physical Layer, Layer One）與網路層（Network Layer, Layer Three）之間，因此又稱為Layer Two，它負責處理用戶的網路資源存取，協助糾正傳輸錯誤，並以加密來保護資料。

而被動攻擊指的是駭客並不干預網路，只是竊聽連結，只要在使用者的附近部署一個竊聽裝置，就能存取使用者與網路之間的傳輸資訊，儘管所傳輸的資料是加密的，但駭客仍然能取得通訊程序中的元資料，例如資料傳輸的頻率與大小，進而辨識出使用者所造訪的網站。

研究人員以50個最受歡迎的網站及不同的裝置進行實驗，發現歸納使用者所造訪網站的平均準確率可達89%±10。

在名為aLTEr的主動攻擊中，研究人員則是利用一個可模擬合法網路或使用者裝置的設備來傳送訊號至裝置或網路，因而能夠攔截網路與裝置之間的所有傳輸。

雖然LTE的每個層都有多種交互驗證機制，以避免使用者的裝置連至偽造的網路，但不受保護的低層卻允許駭客轉寄高層訊息，在缺乏完整性保護的狀態下讓駭客得以變更封包內容，不管內容是否加密，並將使用者導至由駭客掌控的DNS伺服器。

要執行aLTEr攻擊必須先斥資約4,000美元以部署LTE中繼裝置，而且要在距離被駭者2公里的距離內才能進行有效攻擊，因此研究人員認為政治家或新聞從業人員較容易成為駭客的目標。

此外，上述的安全問題是來自於LTE的規格缺陷，因應對策包括更新LTE規格或使用正確的HTTPS配置，後者相對容易達成。

至於即將到來的5G標準在資料連結層中提供了額外的驗證加密能力，而可預防aLTEr攻擊，惟風險在於該安全功能只是選項而非強制規定。

提供雲端原生應用、基礎架構監控解決方案的Datadog，近日除開始整合AWS Kubernetes服務外（EKS），對微軟Azure也有諸多產品整合，像是近日加強支援Azure環境，讓該解決方案可監控超過60種Azure服務，包含Event Hub、IoT Hub、Service Bus、Cosmo DB，或者Azure DB服務中的MySQL、PostgreSQL。而隨微軟Azure Kubernetes代管服務（AKS）在6月中正式上線後，近日Datadog也開始宣布支援了，該公司表示，這次Datadog整合了Azure Monitor及AKS，讓企業用戶加強Azure環境的可視度。

Datadog表示，此解決方案會蒐集Azure、Kubernetes環境、容器基礎架構中的metrics、系統請求、Log紀錄等資料。該公司表示，想要使用該解決方案監控Azure環境的使用者，只需要設定整合AKS、Datadog，加強監控方案的易用性。此外，該公司也提供了YAML manifest檔案，讓開發者可以將Datadog Agent容器應用程式，部署至AKS叢集，確保每個叢集中的Pod，都有執行監控應用程式。

而使用者可以自行修改YAML manifest檔案，串接Azure及Datadog，從Azure portal或Datadog UI就能一覽容器基礎架構中的運作狀況。搭配Datadog既有的Autodiscovery功能，系統會自動追蹤使用者部署於AKS環境中執行的容器應用，當容器應用開啟、關閉，或者移動至其他節點時，系統管理員都能即時掌握。

目前Datadog所支援的工具，總共超過200種。而系統會自動從Azure資源群組、Docker、Kubernetes環境，收集標籤檔。Datadog表示，開發者可透過標籤，而利用不同屬性（Attribute），呈現基礎架構的運作狀況。例如，系統管理員可以一同比較基礎架構整體網路流量，以及叢集內容器網路的進出流量。

而Datadog近日推出的容器地圖功能，也能在AKS環境使用。在儀表板內，使用者可以一覽目前基礎架構中容器的資源使用度、健康度等資訊。此外，搭配標籤機制，系統可以根據Pod、容器位在服務區、資源群組等屬性，將各個容器分類。當基礎架構隨需擴充、收縮時，容器地圖也會即時反應，更新系統資訊。除巨觀角度，Datadog也有提供微觀視野，這次整合了Datadog Live Container view，讓使用者可以快速過濾部署、維運等資料，系統每兩秒就會更新一次叢集內容器的即時運作數據。更進一步設定，開發者可以把各個容器攤開分別檢視，使用者可以瀏覽容器中系統程序執行的階層關係，以及這些服務所占的資源。

開發者可透過標籤，而利用不同屬性（Attribute），呈現基礎架構的運作狀況。以監控單一AKS叢集網路為例，使用者可以一次比較Kubernetes服務送出、接收的網路流量為何。圖片來源：Datadog

而Datadog近日推出的容器地圖功能，也能在AKS環境使用。在儀表板內，使用者可以一覽目前基礎架構中容器的資源使用度、健康度等資訊。此外，搭配標籤機制，系統可以根據Pod、容器位在服務區、資源群組等屬性，將各個容器分類。當基礎架構隨需擴充、收縮時，容器地圖也會即時反應，更新系統資訊。圖片來源：Datadog

這次該公司也整合了Datadog Live Container view，讓使用者可以快速過濾部署、維運等資料，系統每兩秒就會更新一次叢集內容器的即時運作數據。如果發現某些容器消耗過度CPU、記憶體資源，使用者可以馬上進行故障排除。圖片來源：Datadog

進一步設定Live Process Monitor，開發者可以把各個容器攤開分別檢視，並且整合至Datadog Live Container view。相比Live Container view，使用者可以瀏覽容器中系統程序執行的階層關係，以及這些服務所占的資源。圖片來源：Datadog

日本平成（Heisei）天皇預計將在2019年4月30日退位，日本年號紀年將可能引發當時西元2000年千禧蟲(Y2K）的問題。因此微軟針對平成天皇退位，在Windows 10春季釋出的更新中，內含了在2019年5月1日的時代轉換占位符，當日本政府正式公告下一任繼位天皇紀年名稱，將會以更新的方式更換占位符，微軟提到，如因為時代轉換占位符造成應用程式失效，可以暫時先將該值從註冊表中移除。

由於日本現在仍使用年號紀年法，天皇在位期間使用單一年號，像是1989年明仁天皇上位便是平成元年，雖然隨著日本與國際交流增加，不少應用程式紀年改用西元，但在貨幣或是公文等許多部分，仍使用天皇年號紀年。而平成天皇預計將在2019年4月30日退位，微軟表示，這代表一個新時代（紀元）的開始，由於是很罕見的事件，所以大部分的開發者沒有預期應用程式會跨時代運作，因此也沒有為此進行過測試。

過去曾經發生過類似的事件，那就是西元紀年的千禧蟲事件，由於之前多數系統以兩位數字代表年分，像是1999年便會記作99，因此當2000年這兩位數跳回成00時，電腦系統便會以為是1900年，導致部份應用程式發生問題。微軟提到，即便千禧蟲問題早在2000年的前幾年就已經被預期且也已經開始著手解決，但是部分組織仍然在千禧年過渡時遇到問題。

在時代改變後才開始測試相容性問題，就已經為時已晚了，因此微軟這次在Windows 10春季釋出的更新中，在註冊表項中增加了時代轉換占位符資訊，來提醒用戶發現新時代轉換時，可能為應用程式帶來的問題與限制，確保當時代真正轉換時，應用程式仍可以正常運作。

微軟提醒了幾項紀元轉換可能在日期計算上發生的問題，首先，日曆可能預設當前只有一個時代，因此要瀏覽跨不同天皇的紀年可能發生問題。第二、應用程式可能會儲存未來的日期，並在之後對該日期進行解析後使用，而在紀年改變後，這些儲存的日期可能會被系統誤解成過去的時間。第三，年號與年份數字的組合可能會混淆日期計算，像是舊時代的第40年，可能是新時代的第10年。第四點則是接續第三點，不同紀元可能難以比較日期，像是舊時代第32年可能與新時代第2年相等

第五點、日曆可能需要特別描述日期屬於的紀元，特別是紀元在數個月或是一個月內變化。最後，部分應用程式可能預設公曆（格里曆）年對應一個年號紀年，而在2019年將面臨同時存在兩個天皇紀年的情況。

微軟表示，開發者如果遇到因為時代轉換占位符，造成應用程式執行問題，可以透過修改註冊表來修正這個問題，其位置在於Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Calendars\Japanese\Eras中，把該項的值2019 05 01移除或是修改即可。

不過，微軟認為，即便刪除了這個值也不應該忽略這個問題，因為紀年轉換遲早會到來。而微軟也會在日本政府公告最終紀元名稱時，以更新的方式把時代轉換占位符替換成紀元名稱。

今年初有資安業者相繼揭露一木馬程式，它能監控Windows的剪貼簿，察看它是否存有比特幣或以太幣的地址，因此，若使用者習慣用複製及貼上把加密貨幣傳送到特定錢包地址，駭客就能竄改該地址而中飽私囊，然而，Bleeping Computer發現，該木馬程式原本只能監控數十萬的加密貨幣地址，近日出現的新版則已將監控的地址數量擴大至230萬個。

加密貨幣的錢包地址是由複雜的數字與字母字串所組成，很少人會背下自己的錢包地址，多半是在需要時先複製它，再貼至正在使用的應用程式中，這些被複製的錢包地址會短暫地停留在剪貼簿中，而該木馬程式則能持續地監控剪貼簿的內容。

Palo Alto Networks將此一木馬程式稱為ComboJack，而奇虎360則將它稱為ClipboardWalletHijacker。它的目的是竄改Windows剪貼簿的內容，一旦發現剪貼簿中含有比特幣或以太幣等加密貨幣的地址，就將這些地址改為駭客自己的錢包地址，於是若使用者剪貼該地址的用途是為了傳送加密貨幣，即會遭到駭客攔截。

當奇虎360在6月上旬揭露該木馬時，估計應有30萬台PC受到ClipboardWalletHijacker感染，而且這些木馬最多監控40萬~60萬的加密貨幣錢包地址。但Bleeping Computer近日則發現這類的木馬程式所監控的錢包地址已快速擴張到230萬。

安全研究人員建議加密貨幣用戶在寄出加密貨幣時必須再三確認錢包地址，還應定期更新防毒軟體。

Alphabet子公司DeepMind近日已發展一人工智慧型系統，只要觀察2D影像就能建立其3D場景。

DeepMind的研究人員說明，人們理解視覺場景時並不只光靠眼睛，還必須仰賴腦袋裡的知識進行推理，例如在一個房間裡看到一張桌子的三隻腳時，人們會推論還有一隻同樣形狀與顏色的腳藏在看不見的地方，就算是無法看到整個房子的場景，也能想像或畫出它的布局。

這樣的視覺與認知對人類來說似乎毫不費力，但對人工智慧（AI）系統而言卻是重大挑戰，目前最先進的視覺辨識系統是利用由人類建立並註解的大量資料集進行訓練，只是建立這些資料集的工程非常耗大，這使得DeepMind開發了生成查詢網路（Generative Query Network，GQN）框架，讓AI得以藉由它們在場景中移動時所獲得的資料進行訓練，學習如何感知周遭的環境。

GQN框架介紹：

換句話說，GQN是個自主學習系統。GQN是由表現網路（ representation network）與生成網路（generation network）所組成，前者基於代理人的觀察輸入了數據，以產生場景的描述，後者則是自未觀察到的視點預測場景的樣貌。

表現網路必須盡可能精確地描述場景，包括物件的位置、顏色與房間的布局，生成器在訓練中學到了環境中的物件、功能、關係與規律性，於是，表現網路是以高度壓縮及抽象的方式描述場境，而生成網路則是負責填補詳細的資訊。

在DeepMind的實驗中，他們部署了一個3D的世界，內有隨機擺設的各種物件、顏色、形狀、紋理及光源等，在利用這些環境進行訓練後，由表現網路來形成一個新的場景，顯示出生成網路能夠從全新的視野來想像從未被觀察到的場景，產生一個不管是光線或形狀都正確的3D場景。生成網路還能從表現網路所觀察到的積木平面圖，畫出完整的3D積木配置。或者是在視野受阻的迷宮中來回地觀察，結合眾多有限的資源描繪出正確的3D場景。

研究人員表示，與傳統的電腦視覺技術相較，此一方法仍有諸多限制，而且目前只能於合成場景中訓練，但隨著新資料的出現與硬體能力的提升，GQN框架將能應用至實體場景與更高解析度的影像，DeepMind也會探索GQN在場景理解上的更多應用，例如查詢空間與時間來學習物理與運動的常織，或是應用在虛擬與擴增實境上。

如何讓AI學習看見：

一位Google雲端平臺的用戶，在部落格表布了以「為什麼你不該使用Google雲端（Why you should not use Google Cloud）」為題的文章，抱怨他們執行在GCP上用於產品階段的服務，被無預警關閉，該用戶還表示，Google完全沒有給他們解釋機會，就讓他們的服務停止運作了幾個小時，雖然經過搶救取回了部分資料，但還是損失了約一個小時的資料。

該作者提到，他們在GCP上建構用於監控遍及8個國家，包含數百個風力發電機以及太陽能發電廠的服務，在他們的控制中心有一大面牆的螢幕，全天候顯示著電廠狀態的監控儀表板，資產管理人員便用這些儀表板，監控風力發電機以及太陽能發電板的健康狀況，並在需要時即時請求維護。他們的開發以及預測團隊還使用GCP的BigQuery，運作演算法來控制電力的生產，而這些動作都與營收直接相關。

作者提到，他們操作的風能與太陽能，是屬於易衰敗的商品，也就是說過度生產不只浪費成本，且無法銷售與儲存，而生產不足的話，還會被罰款。因此他們需要一整天對這些設備進行監控，依照電網的需求以及購電合約進行追蹤調整。

但就在6月28日凌晨，他們收到監控服務Uptime Robot的通知信，警告他們整個網站的服務都已經停止了。同時也收到了來自Google的信件表示，Google發現他們服務存在一些潛在的可疑活動，因此逕行將所有服務關閉。這包括網站、應用程式引擎，連資料庫都無法存取，Firebase上的使用權限也被降級。

事件發生當下，所有直接聯絡Google的管道都沒有，線上客戶服務關閉也沒有電話可以打。他們收到一封電子郵件，要求填寫驗證表格以修正違規行為，並需上傳信用卡照片以及身分證明文件，以證明支付工具的所有權，否則將在3天內刪除整個專案。所幸服務付款人是他們的財務長，緊急填寫完表格後，Google在20分鐘內恢復所有服務，不過這時已經讓他們的系統停止運作了數個小時。而這是他們第一次遇到這樣的問題，獲得幾乎一個小時的資料空白。

作者提到，好險他們的財務長當時沒有休長假，否則可能整個專案都完蛋了，後果則是數百萬美元的損失。他提到，過去他們的專案皆使用AWS的服務，也從沒有發生這樣的事件，AWS會給他們時間解釋，而這個專案是他們第一個用於GCP的服務，Google霸道的終止他們的服務，並且要求立即解釋。

這個事件在網路論壇Reddit與Hackernews上引發熱烈討論，多數的網友皆認為Google的作法太過強硬，也有網友認為即便他們公司付出了高額的支援費用給Google，但是獲得客服品質仍不盡理想。

提供企業級CI/CD服務的廠商，近年也開始加強支援各大雲端廠商，從應用程式開發、持續整合，到最後應用程式部署流程都支援。像是開放原始碼平臺GitLab，在今年4月時就開始與Google雲端服務整合，讓應用程式可以部署至Kubernetes環境，而近日釋出的GitLab 11.0版，使用者可以用來管理與監控Kubernetes狀態外，需要除錯與檢查pod的時候，也能直接從GitLab部署儀表板中，瀏覽Kubernetes pod的日誌檔。

而Chef的自動化布建服務Habitat Builder，則是強化與微軟Azure整合，Habitat Builder可以直接連接至Azure容器儲存庫，在完成容器化應用程式建置後，後續的調度、管理工作，就交由Azure Kubernetes服務。

而這一次則是輪到持續整合工具Jenkins背後的開發商CloudBees，該公司近日宣布自家企業版Jenkins服務CloudBees Core，正式與微軟Azure Kubernetes服務整合。該公司表示，當今企業開始擁抱微服務、容器技術，開發、部署雲端原生應用程式。目前Kubernetes成為最多人使用的容器調度工具，「不過要安裝、維護該工具，也需要相當程度的專業」，因此該公司的策略是與提供Kubernetes服務的Azure合作，讓企業用戶在代管環境執行Kubernetes，利用該環境原生的命令列介面，安裝CloudeBees Core，開發者隨時可以開發流程中導入CI/CD工作。

CloudBees解釋，當企業在AKS環境部署CloudBees Core後，該工具提供開發者自助式CD服務，「開發者能存取經認證合格的CI/CD工具」，該公司也宣稱，只要這一套解決方案，就能讓所有的老舊應用程式、雲端原生應用都整合到CD工作流程中。而Jenkins Master及Jenkins Agent也會自動水平擴充，調整至符合企業IT環境需求的規模。

現在CloudBees也已經邁向多雲、多異質環境的發展策略，除了這次正式支援的Azure Kubernetes環境，使用Amazon EKS、Google Kubernetes Engine或者紅帽OpenShift的企業，也能在其環境部署CloudBees Core。

持續整合工具Jenkins背後的開發商CloudBees，自家企業版Jenkins服務CloudBees Core正式與微軟Azure Kubernetes服務整合。在AKS環境安裝CloudBees Core後，系統會在各個Pod中部署Jenkins Master、Jenkins Agent，透過Jenkins維運中心管理服務。Jenkins Master及Jenkins Agent也會自動水平擴充，調整至符合企業IT環境需求的規模。圖片來源：CloudBees

華爾街日報與CNBC引述消息來源報導，Dell即將藉由收購股市代號為DVMT的VMware追蹤股票重新返回股票市場，最快會在今天（7/2）宣布。

Dell是在2013年10月脫離股票市場，將公司私有化，以全權掌握公司的營運自主權；繼之於2015年10月宣布以670億美元收購EMC，創下IT史上規模最大的收購紀錄，同時取得EMC旗下的虛擬化平台VMware及資料中心平台Pivotal等資產。

然而，在2015年的EMC收購案讓Dell負債累累，因而不斷傳出Dell想重新登上股市以公開募資，方法包括重新申請上市或是執行反向收購，將自己賣給VMware。

這兩天的消息則是Dell打算藉由買下DVMT重返股票市場。EMC握有VMware的8成股份，因此Dell在收購EMC之後也發行了VMware的追蹤股票，VMware自己就是家上市公司，股票代號為VMW，而DVMT則是Dell針對EMC收益而公開發行的追蹤股票（Tracking Stock），一來可反映Dell對VMware的持股，二來則可用來補償EMC的股東，讓Dell減少舉債規模。

根據報導，Dell打算以自家的股份換取DVMT股份，除了重新上市之外，也可能是完全併購VMware的第一步。

由於傳出Dell將溢價收購DVMT股票，使得DVMT周五（6/29）的盤後股價上揚了15%，達到97.27美元，至於VMW盤後則僅微幅上揚2.31%，為150.36美元。

宏達電（HTC）繼今年初對海外組織施行優化計畫後，今天（7/2）再宣佈本地組織、人力瘦身計畫，製造部門將裁員1500人，載至今年6月，該公司全球員工6450人，將近佔全球員工總數的1/4。

宏達電表示，這是該公司製造部門的組織優化及人力配置調整的策略，已向桃園市政府勞動局提出大量解雇勞工計畫書，將按勞基法及相關規定程序，協助解雇的員工轉職，今天也已和工會代表達成共識。

按照其規劃，宏達電準備在9月底之前完成組織優化及人力縮減。宏達電表示，該公司所處的市場，需求明顯隨季節及市場變化，該公司一直檢視人力需求以符合市場需要，經過研究後，該公司確信施行組織優化、人力調整是實現HTC長遠企業目標，推動持續創新的必要性。未來也會在工廠導入智慧自動化製程，強化競爭力。

宏達電去年以11億美元，將約2000人的Pixel手機研發團隊賣給Google，並授權Google智財專利，雖然獲得鉅額的資金，繼續專注於HTC手機品牌經營，但是在手機業務上至今仍未見起色。 

由JavaScript之父Brendan Eich所建立、標榜封鎖所有分析與追蹤元件的Brave瀏覽器於上周釋出了Brave 0.23版，此一新版本整合了Tor軟體並推出隱私標籤Private Tabs with Tor，可避免用戶遭到ISP業者、Wi-Fi供應商或網站業者的追蹤。

Tor是個可供暱名通訊的軟體，為洋蔥路由器（The Onion Router）的縮寫，用戶可藉由Tor連結由全球志願者免費提供的逾7,000個中繼站來引導流量，以隱藏使用者的位置與行為，躲避監控與流量追蹤，Brave用戶只要從File選單中點選「New Private Tab with Tor」就能啟用隱私模式。

事實上，Brave本身就是個強調隱私的瀏覽器，它會自動封鎖廣告、追蹤機制、挖礦程式或其它威脅，而且它原本就有隱私模式，不儲存任何瀏覽紀錄或Cookie，加上了Tor的隱私模式則是封鎖了任何人窺探用戶的網路連結路徑，也讓所造訪的網站無從利用IP位址辨識或追蹤使用者。

Private Tabs with Tor模式中的預設搜尋引擎為同樣強調隱私的DuckDuckGo，但用戶可自行切換到Brave中所提供的其它19個搜尋引擎。

Brave則提醒用戶，啟用Private Tabs with Tor可能會拖慢瀏覽速度，在瀏覽網站時也相對容易出現問題。

知名線上攝影社群平臺500px更新其貢獻者常見問答集，表示將在平臺上取消創用CC授權（Creative Commons），而下載與搜尋圖片的功能將被移除，另外，還關閉了其原本供攝影師與客戶交易照片的市集（Marketplace）服務，取而代之的是經銷商Getty Image與Visual China Group獲得圖像銷售權，分別負責全球以及中國市場。

500px在2009年時創立於多倫多，自成立以來累積了1,300萬會員，其提供的市集服務，讓攝影師有一個平臺能夠展示並出售攝影作品給客戶。不過，500px在今年2月時，被中國Visual China Group收購，在5月時，宣布於7月開始與Getty Images合作，而今則進一步移除市集服務。

500px官方在貢獻者常見問答集更新中提到，市集服務的圖庫照片營收不如預期，他們需要在增加平臺投資或是建立新的收入模式中選擇。很顯然的他們選擇了後者，市集服務只營運至6月30日，而接受新合約的攝影師，其照片將會被轉移，並透過負責全球市場但不包含中國地區的經銷商Getty Images，以及負責中國市場的Visual China Group銷售，500px強調，此舉將會讓攝影師的作品觸及更多用戶，而攝影師的授權費率將不會改變，當然攝影師也可以選擇退出。

另外，平臺上將不再提供CC授權，也就是說攝影師在發布照片時，將不能選擇免費供使用者下載或是重製。而相關的功能，像是下載或是搜尋CC授權圖片的功能也被移除。500px同時也表示，不會提供另一種公共免費授權的選項，攝影師可選擇免費授權，供Getty Images與Visual China Group發布這些照片。該公司表示，他們重新定位貢獻網路以及授權內容，而這些變化將滿足更廣泛的視覺媒體用戶，並為公司及其貢獻者提供巨大的收入機會。
 

textfiles.com的創辦人Jason Scott在推特上提到，500px指派了新的執行長Aneta Filiciak，在沒有事先警告的情況下，移除存取創用CC授權照片的功能，這導致社群失去了1百萬張創用CC照片的資源。而2016年離開公司的500px創辦人Evgeny Tchebotarev也在推特上發文提到，創用CC對於開放網路的成長與支援至關重要。

下次再看到Gmail 外部app請求存取你個資的對話框請三思而後行。華爾街日報周一報導，讓外部app開發商掃瞄特定Gmail用戶郵件內容，引發類似臉書劍橋分析個資分享的疑慮。

報導指出，Google讓數百個「受信賴的」外部app開發商掃描同意加入Gmail購物比價及旅行行程自動通知郵件的數百萬名Gmail用戶郵箱內的信件內容。並指出，Return Path及Edison 兩家公司在訓練資料處理的演算法時也曾有工程師可以讀取數百到數千封Gmail信件。雖然廠商的安全政策有約略告知，但並未說明該公司員工也會存取用戶信件。

Google去年6月宣佈將不再為個人化廣告掃瞄Gmail信件內容。該公司解釋，只有在外部廠商通過Google資格審核，以及獲得用戶明顯同意情況下，Google才會提供廠商Gmail資料。審核條件包括要清楚解決app專案蒐集訊息的用途、app只能要求必要的訊息，app網域名、顯示給用戶的品牌訊息、支援郵件、URL沒有掛羊頭賣狗肉的情形。

此外，報導也指出Google員工也能讀取用戶Gmail信件，但Google表示這只有在「非常少數」用戶有提出要求且提供同意，或是有安全需求如調查bug或濫用的情況下才會為之。

目前並沒有證據顯示外部app業者有濫用用戶Gmail內容的跡象。如果這些業者逾越使用，就會是臉書外部app三月間爆發劍橋分析存取用戶資訊的翻版。其他郵件服務如Yahoo及微軟，只要有用戶同意，也同樣會提供外部業者存取郵件內容。

量子安全加密技術新創公司Quantum Xchange日前在美國發布第一個光纖QKD量子網路，提供商用量子金鑰分配（Quantum Key Distribution，QKD）服務，並利用可信節點（Trusted Node）技術來避免資料在傳輸過程中遭受攻擊。

此光纖QKD量子網路將能解決現有加密標準中固有的缺陷，Quantum Xchange認為，量子電腦的強大運算能力有可能會曝露現今大量的安全性資料，且量子電腦的運算能力能夠在短短幾秒內就破解最棘手的網路安全密碼。另外，當前大多數的機敏性資料都還是透過SSL（Secure Socket Layer）加密傳輸，透過量子電腦的運算能力很容易就能夠破解以數學演算法為基礎的SSL加密方式。

而要防禦量子電腦的攻擊，就要使用相同類型的技術，第一款商用QKD量子網路使用可信節點技術，來擴展QKD量子網路的涵蓋範圍，並利用量子力學的基本屬性，透過光子來代替質數，以交換兩個實體（Entity）間的加密資料。

QKD量子網路傳輸資料時，是透過兩個可信節點，也就是位於共同安全遮蔽（Common Secure Housing）內的系統終端設備，來保護兩實體間的加密資料交換。而在每個節點內，密鑰資訊受到本地產生的密鑰和安全邊界（Secure Boundary）的加密保護，其中安全邊界可以防止密鑰遭到竄改、損壞或複製。Quantum Xchange也宣稱此AKD量子網路為「牢不可破的加密（Unbreakable Encryption）」。

（圖片來源／Quantum Xchange）

此外，Quantum Xchange日前在美國獲得1千萬美元的種子基金，計畫將在美國部署量子網路，服務覆蓋範圍從華盛頓特區到波士頓。根據Quantum Xchange官網，此首個QKD量子網路將會連接華爾街的金融市場和新澤西的後臺營運，以協助銀行維持高價交易以及關鍵任務資料的安全性。

廣受各大廠商青睞的Kubernetes，除了上游社群版本外，現在企業可以導入的Kubernetes管道不少，像是使用大型雲端廠商提供的Kubernetes代管服務，導入紅帽OpenShift、Pivotal容器服務等容器PaaS平臺，或是直接使用SUSE、Canonical作業系統廠商推出的Kuberetes版本，也都是企業可嘗試引入該工具的管道。

而在5月時，容器微服務平臺新創公司Kontena推出了自家Kubernetes版本Kontena Pharos，以上游版本K8s為核心，同時也是經過認證的Kubernetes版本，而Kontena發行的版本，也能相容Arm 64位元架構處理器。而近日Kontena正式釋出Pharos 1.2.0版，現在該版本已經支援了CentOS 7、RHEL 7，以及Ubuntu 18.04 LTS等作業系統。

Kontena表示，Kontena Pharos 1.2.0版這次所支援的Linux作業系統，也都可以搭配輕量級容器Runtime cri-o使用。不過，目前此版本在Arm 64位元架構處理器下還未能支援cri-o，該公司會在下次新版釋出時整合此功能。 再者，容器主機搭配的Host作業系統，現在也支援自動更新、滾動更新等功能。使用者可以根據維運需求，決定服務是否要暫時中止，或者在節點完成更新前，暫時拒絕回應新的系統請求。

不過，由於Kubernetes社群已經不再投入資源維護Heapster專案，現在Kontena轉為整合現屬Kubernetes育成專案的Metrics Server，該元件會透過Kubernetes Summary API蒐集Metrics。Kontena建議，如果企業使用1.10版後的Kontena Pharos，如果未使用Heapster API，可以透過Kubectl，將Heapster元件移除。

來自挪威的瀏覽器業者Opera上周在美國申請首次公開發行股票（IPO），準備以OPRA為代號登上那斯達克（Nasdaq）股市。

雖然集結奇虎360與昆崙萬維等中國業者的投資集團在2016年時原本要以12億美元併購Opera的交易告吹，但隔年該集團仍以6億美元買下Opera的消費者資產，包括行動瀏覽器、桌面瀏覽器、效能與隱私程式，以及Opera品牌，至於Opera原來的廣告業務則獨立並重新命名Otello，此次提出上市申請的即是中資的Opera。

根據Opera的上市申請書，包括行動版與PC版的Opera全球每月用戶數約有3.2億，每季仍有兩位數的成長幅度，且去年創下了近1.29億美元的營收，也比2016年成長20.1%，今年第一季則有3,940萬美元的營收，成長54.8%。

在3.2億的用戶中，有1.8億為行動瀏覽器用戶，逾5,700萬為桌面瀏覽器用戶，還有超過9,000萬的Opera News用戶。

Opera的主要營收來自於與搜尋引擎結盟，以及廣告與授權。去年Opera已達到610萬美元的獲利，今年第一季獲利亦高達660萬美元，相較於2016年的1,270萬美元虧損，展現長足的進步。

即使包括蘋果、微軟與Google等科技大廠都有自家的瀏覽器，不過Opera認為這些業者所開發的瀏覽器都會迴避那些可能與自己的業務衝突的功能，但作為獨立瀏覽器的Opera則有功能不受限的優勢。

自從阿姆斯特丹自由大學（Vrije Universiteit Amsterdam）的漏洞安全實驗室VUSec Lab在2016年揭露動態隨機存取記憶體（DRAM）中的Rowhammer硬體漏洞也會影響行動裝置，並打造出首個Drammer攻擊程式之後，這兩年陸續有研究人員打造出相關的攻擊程式，從GLitch、Throwhammer、Nethammer到上周才出爐的RAMpage。

Rowhammer被視為是DRAM的設計漏洞，在擁有高密度記憶元（Cell）的記憶體中，駭客只要重複造訪攻擊目標隔壁列的記憶元，就會造成記憶體控制電路的電壓波動，造成位元翻轉現象，最終將可操控作業系統數據並取得最高權限。

原本外界認為Rowhammer漏洞僅會出現在硬體效能較高的PC與伺服器上，而2016年現身的Drammer 則是第一個鎖定Android上的DRAM且確實可行的Rowhammer漏洞攻擊程式，只需透過一個惡意程式，完全不必獲得許可或藉由軟體漏洞就能開採。

而最新出爐的RAMpage則被稱為Rowhammer攻擊變種，因為它鎖定的是名為ION的Android記憶體的子系統，也有新的CVE-2018-9442漏洞編號。ION是2011年10月隨著Android 4.0出爐的功能，負責管理應用程式之間與作業系統的記憶體分配，而RAMpage則能破壞Android程式與作業系統的分界，允許駭客取得裝置的控制權及系統上的資料。

開發RAMpage攻擊程式的是來自學術界與產業界的8名研究人員，指出RAMpage可破壞應用程式與作業系統間最基本的隔離，將允許惡意程式取得管理權限，進而存取裝置上各種應用程式的任何資料，例如存放在密碼管理員或瀏覽器中的密碼、個人照片、電子郵件、訊息，或是機密文件等。

只要裝置搭配的是含有漏洞的記憶體，且執行尚未修補的作業系統，就有機會被攻陷，影響自2012年以來採用LPDDR2、LPDDR3或 LPDDR4等記憶體的Android裝置，且目前尚無可防範RAMpage的修補程式。

Google在接獲報告之後認為，該漏洞對大多數的Android用戶來說並不是個實際的問題，且較新的Android裝置所採用的記憶體都已針對Rowhammer漏洞加強保護，此一概念性攻擊程式亦不適用於Google現階段所支援的Android裝置。

有資安研究人員認為，Rowhammer也許是個嚴重的漏洞，要觸發該漏洞也很簡單，但記憶體中大多數的位元並不是駭客想要的，讓位元翻轉還可能直接造成記憶體損壞，成功的開採並不容易。

Google宣布在Android P中擴展編譯器緩解漏洞的作法，來讓特定類型的漏洞攻擊失效。當未定義行為出現時，Android P會讓Runtime操作安全的失敗，這個做法綜合了兩部分，分別是控制流程完整性（Control Flow Integrity，CFI）與整數溢位消毒（Integer Overflow Sanitization），以防止程式碼重用攻擊（Code-Reuse Attack，CRA）以及整數溢位造成類別記憶體損壞或是資訊洩漏的漏洞。

Google提到，他們從Android N開始便開始預設LLVM/Clang作為平臺編譯器，已獲得更多縱深安全防禦的優勢，而現在要繼續在編譯器上耕耘，使特定類型的臭蟲難以被駭客發展成攻擊漏洞。由於現代攻擊鏈中的關鍵步驟，是駭客透過破壞函數指標或是回傳位置來控制程式流，而這正為程式碼重用攻擊開了一道大門，讓駭客可以執行程式碼的任意片段來達成惡意目的。

在Android O中，首先支援了LLVM的CFI實作，透過把程序流控制在預期的函式呼叫圖（Call Graph）中，來減緩程式碼重用攻擊的影響，現在則擴大在Android P的支援。這項實作的重點在於使用間接跳轉分支（Indirect Branches）技術，來防止控制流的操作。具有預期函式簽章的函式進入點才是合法的分支目標，因此控制流被嚴謹的控制在一小組合法目標中，因此程式碼重用攻擊會變得綁手綁腳，而且一些記憶體損壞的漏洞也會難以利用。

此外，在Android N中，開始引入消毒程序UndefinedBehaviorSanitizer（UBSan）對帶號與非帶號整數進行溢位清理，檢測算術指令溢出帶號與非帶號整數，這個消毒程序會讓執行程序安全的中止，進而減輕了整數溢位造成整個類別記憶體損壞或是資訊洩漏的漏洞。

由於在Android N中採用效果良好，因此現在於每個釋出版本的媒體框架，都會擴大使用這些消毒程序。LLVM的消毒程序經過修改後，透過減少使用ARM 32位元指令以及移除不必要的檢查，已經降低對於系統效能的衝擊。Google測試顯示，這些改進在部分程式中減少了75％的效能影響。同時他們也改進了Android建置系統的支援，像是現在加入更好的診斷支援、更合理的崩潰處理，以及全域整數溢位目標消毒測試，加速了消毒程序的釋出。

6/27~0703一定要看的資安新聞

還在用複製&貼上把加密貨幣送到錢包嗎？小心加密貨幣落到駭客口袋

今年初有資安業者相繼揭露一木馬程式，它能監控Windows的剪貼簿，察看它是否存有比特幣或以太幣的地址，因此，若使用者習慣用複製及貼上把加密貨幣傳送到特定錢包地址，駭客就能竄改該地址而中飽私囊，然而，Bleeping Computer發現，該木馬程式原本只能監控數十萬的加密貨幣地址，近日出現的新版則已將監控的地址數量擴大至230萬個。

加密貨幣的錢包地址是由複雜的數字與字母字串所組成，很少人會背下自己的錢包地址，多半是在需要時先複製它，再貼至正在使用的應用程式中，這些被複製的錢包地址會短暫地停留在剪貼簿中，而該木馬程式則能持續地監控剪貼簿的內容。更多內容

日本明仁天皇明年將退位，年號紀元也會換新，微軟：小心千禧年事件重演

日本明仁天皇預計將在2019年4月30日退位，用了30年的「平成年號」也將換新，不過，微軟提醒，這可能引發當時西元2000年千禧蟲(Y2K）的問題。因此微軟也在Windows 10春季釋出的更新中，內建了在2019年5月1日的時代轉換占位符，當日本政府正式公告下一任繼位天皇紀年名稱，就會以更新的方式更換占位符，微軟提到，如因為時代轉換占位符造成應用程式失效，可以暫時先將該值從註冊表中移除。更多內容

Wi-Fi 聯盟公佈更安全的WPA3標準

一如今年初的預告，在六月底Wi-Fi聯盟（Wi-Fi Alliance）終於正式公佈最新版Wi-Fi標準WPA(Wi-Fi Protected Access) 3，宣稱比之前標準更安全、更難破解。

前一版WPA2公佈已是2004年的事。Wi-Fi聯盟表示，最新標準是在WPA2基礎之上增加新功能以簡化Wi-Fi安全、使用更安全的驗證，以及強度更高的加密技術。更多內容

愛迪達美國網站被駭，數百萬用戶個資外洩

再傳大規模資料外洩！運動用品大廠愛迪達(Adidas)近期公佈自家美國網站遭駭，使數量不明的消費者個資，包括使用者名稱、密碼及聯絡資訊等外流，但有媒體報導受害人數高達數百萬。

愛迪達是在6月26日發現其adidas.com/US網站遭到未授權人士存取，並取得了愛迪達「特定」消費者的「有限」資料。彭博及洛杉磯時報等媒體都引述愛迪達發言人表示，受影響用戶人數達「數百萬」。更多內容

LTE規格漏洞可窺探使用者流量，或將使用者導至惡意網站

多名研究人員於最近發表一研究報告，表示他們在大家所熟悉的4G LTE（Long-Term Evolution）網路的資料連結層（Data Link Layer）中發現了3種攻擊途徑，其中有兩種屬於被動攻擊，可比對使用者身分或辨識使用者所造訪的網站，另一個名為aLTEr的主動攻擊則允許駭客利用LTE標準的漏洞偽造DNS以竄改使用者的連結，由於它們屬於標準設計上的漏洞，目前無從修補，幸好攻擊成本所費不貲，較可能被應用在目標式攻擊。

資料連結層介於實體層（Physical Layer, Layer One）與網路層（Network Layer, Layer Three）之間，因此又稱為Layer Two，它負責處理用戶的網路資源存取，協助糾正傳輸錯誤，並以加密來保護資料。更多內容

Brave瀏覽器整合Tor，強化隱私瀏覽模式

由JavaScript之父Brendan Eich所建立、標榜封鎖所有分析與追蹤元件的Brave瀏覽器於最近釋出了Brave 0.23版，此一新版本整合了Tor軟體並推出隱私標籤Private Tabs with Tor，可避免用戶遭到ISP業者、Wi-Fi供應商或網站業者的追蹤。

Tor是個可供暱名通訊的軟體，為洋蔥路由器（The Onion Router）的縮寫，用戶可藉由Tor連結由全球志願者免費提供的逾7,000個中繼站來引導流量，以隱藏使用者的位置與行為，躲避監控與流量追蹤，Brave用戶只要從File選單中點選「New Private Tab with Tor」就能啟用隱私模式。更多內容

幫助用戶符合GDPR要求，AWS在臺說明相關安全法遵服務

歐盟GDPR這套號稱最嚴格的個人資料保護法，已經正式實施一個月，各雲端大型業者為了幫助用戶能對應此一法規遵循，也早已採取行動，像是去年3月26日，雲端服務廠商AWS（Amazon Web Services）就在官網宣布，旗下所有服務皆符合GDPR，他們並在去年12月底發布GDPR Center網站與相關白皮書。

對於臺灣企業用戶而言，要理解這些白皮書的內容，可能需花費許多時間。不過，近日（6月28、29日）於臺北國際會議中心舉行的AWS高峰會，也包含AWS服務與GDPR的介紹，具體說明相關事項，以及在AWS服務中，有那些工具或服務，能幫助企業用於GDPR法遵。更多內容

售票網站Ticketmaster的第三方通訊程式被駭，用戶個資、支付資訊外洩

全球最大售票網站之一 Ticketmaster在6月27日承認，受合作廠商提供的客戶支援聊天軟體被駭影響，導致曾在該公司在英國及海外網站上售票的客戶支付資訊外洩。

Ticketmaster在6月23日在由西班牙廠商Inbenta Technologies代管的客戶支援聊天軟體上發現惡意程式。一段由Inbenta專為Ticketmaster客製的JavaScript程式碼遭駭客變造，而將Ticketmaster客戶個資，包括姓名、地址、信箱、電話號碼、登入帳密及支付資訊傳送給外部不知名人士。該公司發現後已經立即關閉Ticketmaster全球所有網站上的Inbenta軟體，防止災害擴大。更多內容

臉書第三方小遊戲可能洩露1.2億用戶資訊

臉書才因一個心理測驗遊戲導致8,700萬筆用戶資料遭濫用的劍橋分析醜聞，安全研究人員又發現另一個姓名測驗遊戲app有漏洞，洩露1.2億名用戶資訊，時間長達一年。所幸漏洞已經修補。

問題出在一家名為Nametest.com開發的姓名遊戲測試「Which Disney Princess Are you」。當使用者載入這個遊戲時，它會收集大量用戶資訊，包括姓名、性別、生日、地點等，並且顯示在其公司網頁上。一般情況下，其他網站應無法存取這些資訊，但是這個網站將訊息包在Javascript中。而Javascript的特性是可以和其他網站共享，因此只要其他網站發出呼叫，用戶的資訊就會分享出去。更多內容

訂房系統FastBooking遭駭，恐殃及全球數千家飯店

專門替旅遊產業提供電子商務服務的FastBooking在本月中遭到駭客入侵，恐殃及FastBooking在全球100個國家的逾4000家飯店客戶，目前已證實日本連鎖飯店—王子大飯店（Prince Hotels）受到此波攻擊的牽連，被駭客盜走了逾12萬名的住戶資料。

FastBooking針對旅遊產業提供多種解決方案，從網站開發、搜尋引擎行銷到訂位引擎等，根據Bleeping Computer的報導，FastBooking在6月26日通知了受到影響的飯店客戶，指出駭客於今年6月14日透過伺服器上某個應用程式的漏洞入侵了該站，且於伺服器上植入了可竊取資料的惡意程式。更多內容

不付贖金就公開個資！GDPR反成勒索攻擊Ransomhack的威脅武器

保加利亞資安廠商Tad Group揭露了新型態的勒索攻擊Ransomhack，駭客這次並非以加密檔案當作威脅，而是竊取企業伺服器中的個人資料，並且威脅企業繳交贖金，否則公開這些資料，使企業受到歐盟最嚴格個資法GDPR的巨額罰款處罰。Tad Group提到，這個攻擊瞄準中大型企業，並要求支付價值1,000美元到20,000美元不等的加密貨幣作為贖金。

5月25日上線GDPR，目的用於保護歐盟居民個人隱私權，但沒想到卻被駭客用來作為威脅企業的武器。Tad Group創辦人Ivan Todorov警告，受害者是中型以及大型的保加利亞公司，被要求以無法追蹤來源的加密貨幣支付贖金，贖金從1,000美元到20,000美元不等。由於GDPR規定，觸法將被處以企業全球年度營業額的4％或是高達2,000萬歐元的罰鍰，對企業來說是個沉重的壓力。更多內容

三星Galaxy手機傳出有臭蟲，在未經用戶同意情況下自己將手機內的照片傳給了某位友人。

上周有用戶在Reddit論壇中反映，他的Galaxy S9 Plus在他熟睡期間，自己將手機相簿中的所有相片以Samsung Messages app傳了出去。奇怪的是，雖然電信業者T-Mobile網路有傳送紀錄，但Samsung Message的寄件匣中卻不著痕跡。

在本例中，使用者表示還好這些照片最後是傳給了熟人，而非是隨機的聯絡人，不過已經令他感到頗恐怖。

如果臭蟲是出在Samsung Message app，則這個問題將可能會影響Galaxy Note 8和Galaxy S9等手機。

三星對媒體表示已經注意到這個情形，該公司正在調查中。但三星認為這個情況應和手機軟、硬體無關，而且也沒有廣泛發生。三星也鼓勵用戶有任何疑慮應直接連繫其服務支援中心。

Google技術長辦公室技術總監Max Saltonstall，對外釋出了Google內部採用零信任網路（Zero Trust Network）的最佳實踐細節，幫助企業擺脫傳統VPN，把存取權控制的重點，從網路轉移到使用者與其使用的裝置上，讓員工即便處在不受信任的網路環境，依然可以進行遠端連線作業。

Max Saltonstall提到，企業要從以VPN為核心的特權企業網路，轉移至零信任網路的第一步，便是了解員工以及設備。當網路不再提供存取關鍵服務需要的信任時，Google轉而使用個別員工以及裝置上的資訊，透過兩者最新的資料集設置存取最佳策略。

在員工方面，Google重組了工作角色階層結構，並且重塑一系列工作分類，以便掌握員工日常實際的工作內容，以及角色所需要的存取權限，Max Saltonstall表示，為了做到這一個地步，他們必須可以回答像是誰需要查看內部錯誤訊息？或是誰需要追蹤客戶關係？這類問題。要對這些工作進行排序，需要對現有的工作進行一些修改，甚至簡化類似的角色，而另一方面，他們也需要改變分類，也確保可以囊括那些執行不同工作，但是在追蹤系統中共享角色的員工。

此外，裝置與人員在零信任網路中一樣重要，因此追蹤系統還要掌握員工使用的裝置精確且即時的資訊，Max Saltonstall表示，他們不希望受信任的人員，卻因為使用了受感染的裝置，而無意間與攻擊者分享了他們有權存取的敏感資訊。為此，他們建構了元庫存服務（Meta-inventory Service），整合了多套的設備庫存管理系統，將這些資源統一關聯到一個主要庫存中，避免不同系統產生衝突紀錄，或是一個裝置多個副本的狀況。

創建這個主要庫存花費了Google大量的時間與資源，但Max Saltonstall強調，這個動作可以讓他們統一的掌握所有設備，以及這些設備的狀態。Google根據設備安裝的軟體、補丁更新的情況以及其他特徵進行信任評估。Google列出了他們在零信任網路最佳實踐的實行步驟，首先是了解企業內部使用的應用程式、決定或是重新制定存取這些服務的安全策略、了解員工是誰進行些什麼工作、決定誰可以進行哪些行為，最後則是實施基於身分的存取控制。