社交網站風險高！提供臉書及推特過去貼文回顧的appTimehop周日公告上周7月4日遭駭傳出重大資安事件，2100萬名用戶個資外洩，而且駭客也曾取得用戶存取臉書、推特、IG等社交網站內容的憑證。

根據Timehop公佈的時程，去年12月19日一名駭客使用具有管理員權限的員工帳密登入其雲端供應商網路，建立新的管理員帳戶。接著駭客接連在去年12月、以及今年3月及6月先後登入其雲端服務進行事先環境偵察。隨後在美東時間7月4日當天開始攻擊Timehop的主要資料庫並對外傳輸資料。下午2點43分駭客觸動警報，Timehop人員立即切斷服務，著手處理鎖定環境，2個小時後才恢復服務。

根據初步調查，透過這個社交網路時光機app，駭客取得高達2100萬名用戶的姓名及電子郵件資料，其中有470萬名用戶帳號加入了電話號碼。不過Timehop 表示，Timehop存於用戶社交網站上的貼文、相片未受影響，因為該公司將用戶內容（稱為memories）及Timehop上的個資分開存放，用戶看過這些memories後，Timehop就刪掉了自己的備份。

此外，Timehop也未儲存用戶信用卡號或所有財務資料、IP位置，他們也沒有備份用戶社交網站上的個人資料檔。

此外，該駭客也取得了臉書、推特、IG、Foursqure等社交網站提供給Timhop的存取憑證。這些憑證讓用戶得以存取上述社交網站的內容。但Timehop 已經第一時間取消了這些金鑰。在使用者重新驗證之前，用戶app不會載入內容。這家app並強調，這些金鑰也和Facebook Messenger、以及推特、IG上的私訊（Direct Messages）無關，而且沒有任何用戶帳號遭駭的跡象。

事後Timehop啟動的安全措施包括展開權限清查、變更所有密碼及金鑰、針對所有帳號啟動多因素驗證、及取消不當存取權限等。

此事再度突顯社交網站的隱私風險。6月底臉書才因隱私工具臭蟲問題，使用戶私密貼文設定被改成公開，令1400萬用戶可能私密貼文曝光。上周又傳臉書的臭蟲可讓80多萬名用戶封鎖對象解鎖，看到原本看不到的貼文。

在Amazon、Google、阿里巴巴等大廠的衝刺下，研究機構 Canalys周一公佈市場研究顯示智慧喇叭市場從2018到2022年成長態勢大好，今年將突破1億台大關，是去年將近2倍，到2020年可能超過2.25億台。市場仍然是Amazon、Google爭霸局面，蘋果則被甩在後方。

Canalys預估，2018年底全球智慧喇叭安裝數將達1億大關；以廠商而言，Amazon Echo今年仍將是龍頭業者，拿下超過50%市場，Google Home以30%居次，蘋果的HomePod則差強人意，市佔只及4%。不過分析師相信，4年後Amazon、Google可能以34%市佔平手，Apple HomePod可望擴大到10%。

Canalys研究分析師Vincent Thielk指出，美國是智慧喇叭的灘頭堡，Amazon、Google深知生態圈綁定的威力，也啟動激烈價格戰來擴大地盤。Amazon Prime Day在即，可望再祭折扣戰衝刺銷量。但是隨著智慧喇叭在美國市場的普及，包括Amazon和Google已經不只打智慧家庭市場，還進一步將智慧喇叭的使用情境擴大到商用市場，像是Amazon打出Alexa for Business及Alexa for Hospitality主攻機場、旅館、旅館及健身中心等。這也是IT通路業者為這些客戶打造技術解決方案的好機會。

Canalys還指出，Amazon、Google極力擴張安裝數地盤的同時，也帶動開發商的動力，為他們在Echo、Home上開發吸引人的應用，進一步拉抬智慧喇叭的普及度。而如何爭取到開發商的青睞將是雙方打入新用戶、新產業、以及新地區市場的關鍵。

以各國市佔率來看，Canalys預期到今年底美國仍以64%居最大市場，其次為中國（10%）、英國（8%）、德國（6%）及韓國（3%）。但Canalys認為擁有4.5億家庭的中國市場將是下一個高成長地區。當地業者如阿里巴巴、小米等都推出了各自的智慧喇叭，今年下半將以促銷展開廝殺。

在臉書（Facebook）發生8,700萬名用戶資料外洩事件之後，美國的兩大科技業者蘋果與Alphabet的隱私政策也開始被放大檢視，美國眾議院能源商務委員會（Energy and Commerce Committee）在本周一（7/9）去信蘋果執行長Tim Cook與Alphabet執行長Larry Page，要求他們說明第三方業者如何存取用戶資料，以及如何蒐集及使用藉由iPhone與Android手機所取得的語音紀錄及位置資訊。

能源商務委員會的調查動機奠基於眾多的市場傳聞，包括Google允許第三方業者掃描Gmail用戶的郵件，以及Android手機與iPhone的數位語音助理功能是否無時無刻都在紀錄用戶的語音，以便適時回應，例如等待用戶說出「okay Google」或「hey Siri」的時候。

此外，去年底還傳出Android手機就算是缺乏SIM卡、關閉Wi-Fi、藍牙或區域服務，或沒有執行任何程式的時候也會蒐集附近基地台的資訊，並在手機連網時將資訊傳送給Google，能源商務委員會除了質疑Google的作法之外，也懷疑蘋果的iPhone也可能具備同樣的能力。

甚至連蘋果於幾周前更新了App Store的規定，限制第三方程式存取蘋果裝置的用戶資訊時，或者是Google更新Play Store條款與限制Gmail的內容掃描能力時，國會議員都對這些變更感到好奇，要求蘋果與Google揭露相關的細節。

能源商務委員會分別對蘋果與Alphabet列出近20則大問題，並要求雙方在7月23日以前回應。

三星（Samsung Electronic）與印度總理Shri Narendra Modi周一（7/9）共同宣布啟用位於印度北方邦諾伊達（Noida）的智慧型手機製造工廠，宣稱這是全球最大的智慧型手機工廠。

三星在Noida原本就設有製造工廠，在新工廠加入後，三星於Noida的智慧型手機產能將從6,800萬台增加至2020年的1.2億台。

根據三星的說法，該公司在2007年便開始於印度生產手機，也是唯一一個真正在印度生產的品牌，亦密切配合三星政府的政策。三星在印度所喊出的口號從「在印度生產」（Make in India）到「為印度生產」（Make for India），一直到本周的「替全球生產」（Make for the World），準備把在印度生產的行動裝置出口至全球市場，讓印度成為三星手機的全球出口中心。

市場研究機構IDC的調查顯示，三星現為全球最大的智慧型手機製造商，市佔率為23.4%，第一季的出貨量是7,820萬台。然而，在印度市佔率最高的卻是小米，今年首季小米在印度的市佔率為30.3%，三星則以25.1%居次。

印度現為僅次於中國的全球第二大智慧型手機市場，該市場今年第一季的手機出貨量為3,000萬台，比去年同期成長了11%。

Canalys分析師Ishan Dutt曾說，小米能在印度取得成功的最大因素是它賦予當地據點極大的自治權，針對印度展開客製化的通路、行銷策略及產品，且在低階產品的策略上大勝三星。不過，三星仍然具備研發及強大供應鏈等優勢，雙方的競爭將持續延燒。

蘋果周一釋出iOS 11.4.1，除了小幅更新功能及安全性外，也悄悄加入最重要、防止破解的「USB限制模式」（USB Restricted Mode）。

iOS 11.4.1是去年9月推出的iOS 11的第15個更新，適用於iPhone 5S以上的手機、iPad Air、iPad及2015 iPod Touch以後的新機種。由於iOS 12即將在今年秋天推出，故本版只包含二個小幅更新，包括防止Find My iPhone中AirPods最後位置被其他人看到，以及改善和Exchange同步郵件、聯絡人及備忘錄的穩定性。

不過有媒體如Ars Technica發現，在「設定」中「Touch ID與密碼」找到「USB配件」。它的滑鈕預設是關閉的，下有一行說明文字，顯示若iPhone上鎖超過一小時, 就需再解鎖一次, 才能連接USB外接裝置。

這項功能就是蘋果6月中公告將加入的新的USB限制模式。這主要是因應第三方廠商如Grayshift、Cellebrite等發展以USB外接裝置破解iPhone而加入的措施，比現有USB限制模式更嚴格，目前只要求外接裝置必須每周連接iPhone一次以上才能解鎖。

蘋果並未說明哪一版iOS會加入這項功能，當時AppleInsider及Engadget等報導皆認為應該是秋天才問世的iOS 12。

蘋果也於周一同步釋出watchOS 4.3.2、tvOS 11.4.1及 HomePod 10.4.1，分別小幅修復了前代產品的功能、效能及穩定性的問題。按照歷史經驗，這些應該都是iOS 12釋出前的最後一次更新版。

微軟Azure Blob儲存體服務，最近也推出不少新功能。先是整合Azure AD，支援RBAC功能，簡化企業管理資料存取的任務。再來是支援Soft Delete功能正式上線，只要該功能啟動，即使Blob儲存體或其快照被刪除，利用Soft Delete功能，也可以復原該資料。而在近日，微軟則是加強Azure Blob儲存金融服務功能，釋出Immutable Blob Storage服務，現在該服務已經進入了公開預覽版階段。

微軟表示，金融行業是高度受政府監管的行業，必須遵守嚴格規定，除了要保存金融交易及相關通訊資料外，還得確保這些數據不會被重新複寫、刪除。而這個新功能讓提供金融服務的企業機構，防止資料遭竄改。微軟表示，Azue Immutable Blob Storage服務，已經符合美國商品期貨交易委員會（CFTC）、美國金融業監管局（FINRA）以及美國證券交易委員會（SEC）提出的重要法遵。

在Azure Immutable Blob Storage服務中，採用了一寫多讀（Write Once Read Many，WORM）設計，並且將該政策套用至企業內部的冷、熱儲存檔案，以及完成封存資料。現在這個法遵儲存服務不需要額外收費，既有使用Azure儲存服務的用戶可直接使用。

針對積極想上雲，逐步淘汰老舊SAN或其他儲存基礎架構的企業使用者，這次Azure Immutable Blob Storage也推出不少亮點功能。首先，是加強資料防竄改功能，即便使用者握有系統管理員權限，同樣也無法修改資料。而在同一個Azure儲存環境中，使用者可以選用標準儲存、不可變儲存型態，不需要多套解決方案，就可以應付。

在處理冷、熱儲存，以及封存資料的服務收費標準上，Azure Immutable Blob Storage會根據該數據的儲存頻率，訂出相對應折扣方案。而使用者也可以制定相關的數據生命周期管理政策，讓儲存管理變得更為自動化。例如，當數據超過一定時間為未存取，自動就會搬遷至封存儲存區域。

MIT發展出名為PixelPlayer的人工智慧系統，由演算法自我監督觀看60小時的音樂表演影片後，不需要人類介入訓練，便可以自動辨識出20種樂器的聲音，並且理解聲音與畫面中樂器的對應關係，提供使用者獨立編輯聲音的能力，對於舊音樂再製有很大的幫助。

MIT的電腦科學與人工智慧實驗室（CSAIL）發展出以深度學習辨識樂器表演影片，除了能分離出特定樂器聲音外，還能對這些聲音進行個別編輯的系統。這個稱為PixelPlayer的系統，經過60小時的音樂會影片訓練，可以辨識超過20種樂器，論文第一作者Hang Zhao提到，儘管該系統現在還無法細膩的處理類似聲音之間的細微差異，像是PixelPlayer現在還分不出中音薩克斯風與男高音的差別，但只要有越多的訓練資料，系統就能辨識越多種類的樂器。

PixelPlayer使用深度學習的方法，以類神經網路在影片裡尋找資料的模式，系統包含3個類神經網路，其中一個用於影片的視覺分析，第二個用於影片的聲音分析，第三個合成器能將特定的像素與聲音關聯，並獨立分離出來。系統會先定位出影片中發出聲音的區域，再將聲音分離出來，並與這些像素關聯。

研究團隊提到，這個方法使用自我監督（Self-supervised）的深度學習，人工智慧在沒有人類介入告知聲音與樂器的關聯，就能自動理解之間的關係。過去分離聲源的研究通常專注在聲音上，而這也需要大量的人為標籤，但PixelPlayer則是額外加入的視覺要素，以視覺元素取代人為標籤，以達到人工智慧自我接督學習的目的。

Hang Zhao表示，他們原本預期系統的最佳案例，就只是讓系統分辨不同樂器的獨特聲音，而現在卻可以額外在空間中，以像素等級定位出樂器，這樣的能力開啟了更多可能，使用者可以直接透過點擊影片中的樂器，進行聲音編輯。

這項研究的貢獻在於，有助於工程師提高舊音樂的錄製音質，製作人甚至可以分開聆聽不同樂器演奏的聲音，除了可以單獨調整個別音量外，還可以於後製階段，更換演奏的樂器，另外，這項研究也能被應用在機器人開發上，使其能更好的理解環境物體所產生的聲音，像是正在吠叫的狗或是發出引擎聲的車輛。

MIT開發的AI音樂影片編輯系統：

小米集團於本周一（7/9）正式登上香港交易所，股票代號為01810-HK的小米發行價為17元港幣（約66.6元新台幣），但開盤價只有16.6元港幣（65元新台幣），以16.8元港幣（65.8元新台幣）作收，儘管首日表現不佳，但小米仍然創下了約500億美元的市值，為近年來科技產業最大的一次IPO，也讓小米成為全球第三大市值的智慧型手機製造商。

在IDC今年首季的調查中，全球五大智慧型手機製造商依序是三星（23.4%）、蘋果（15.6%）、華為（11.8%）、小米（8.4%）與OPPO（7.1%），其中的蘋果現為全球最有價值的企業，市值為9,239億美元，三星身價則是340兆韓元（3,265億美元），有鑑於排行榜上的華為與OPPO皆未公開發行股票，使得小米理所當然地佔據了全球身價第三高的智慧型手機製造商位置。

今日小米在香港股市的表現優於昨天，開盤即躍上17元港幣，盤中漲幅超過12%。

小米集團旗下有數十家公司，並以手機、IoT裝置與網路服務為經營核心，手機為小米的營收主力，佔該集團總營收的70.28%，IoT與生活消費產品佔了20.46%，網路服務則佔8.63%。

兩家保險業者Lexington Insurance與Beazley Insurance最近翻出10年前的舊帳，於上個月底控告資安業者Trustwave在2007與2008年時因未發現金融交易系統Heartland Payment Systems的缺陷，而讓Heartland遭到駭客入侵，應該賠償Lexington與Beazley當時的損失。

Heartland替美國飯店、酒店與零售業處理信用卡、薪水與各種支付服務，在2008年遭到駭客入侵，有超過650家客戶存放在該平台的逾1.3億張支付卡資料外洩，隨後Heartland陸續支付了1.48億美元來擺平訴訟案或與客戶和解，至於Lexington與Beazley則是Heartland的保險公司，分別承擔了2,000萬與1,000萬美元的金額。

不過，Lexington與Beazley在上周控告Trustwave在稽核Heartland平台時，並未察覺Heartland平台上所出現的兩起惡意活動，還在2007年與2008年核發了PCI DSS認證予Heartland。PCI DSS的全名為支付卡產業資料安全標準（Payment Card Industry Data Security Standard），是為了減少信用卡詐騙案而建立的標準，業者必須先符合該標準才能處理信用卡資料。

此外，Visa在調查Heartland的資料外洩事件時亦發現Heartland違反了PCI DSS的多項規定，包括沒有架設防火牆、使用業者所提供的密碼、未針對存取系統的用戶分配獨特的識別標籤，以及對於存放信用卡資料的系統缺乏足夠的保護等。此一調查結果讓這兩家保險公司認定Trustwave應該要負責賠償它們的損失。

Trustwave則反駁，縱使該公司負責評估Heartland的PCI DSS合規與否，但並沒有保證Heartland不會遭到駭客入侵，Trustwave沒有負責管理Heartland的資訊安全，同時Heartland也未向Trustwave抱怨或提出索賠。

資安新聞網站Dark Reading引用Leo Cyber Security技術長Andrew Hay的看法指出，這起訴訟案對資安業者來說是個壞消息，將對提供安全服務的業者帶來危險先例，還可預見會有愈來愈多的資安業者投保資安險來預防類似的訴訟。

微軟於周一（7/9）發表了Surface Go，這是一台10吋的平板電腦，最低階的售價只有399美元，著眼於教育市場，預計於今年8月上市。

微軟Surface家族現有的產品包括用來挑戰Mac Pro的二合一筆電Surface Book 2、平板筆電Surface Pro、輕薄筆電Surface Laptop，以及一體成型的桌機Surface Studio，最新的Surface Go則是Surface家族中最輕薄也最便宜的機種。

根據微軟的說明，Surface Go採用英特爾的Pentium Gold 4415Y處理器與10吋觸控螢幕，重約1.15磅（522公克），厚度只有0.83公分，電池續航力為9小時。其直立的人像模式能夠相容於大多數的學校教科書，橫向的風景模式則可呈現平裝書的頁面，尺寸類似傳統筆記本，能夠自然地紀錄心得。（來源：微軟）

事實上，使用者對10吋的平板電腦規格並不陌生，因為不管是三星的Galaxy Tab S3或是蘋果今年最新發表的iPad都是採用9.7吋螢幕，而這也是Surface Go即將加入的戰局。Galaxy Tab S3的價格為599美元，新iPad的價格為329美元，Surface Go則是399美元。

Surface Go的預設作業系統為Windows 10的S模式，代表它只能執行來自Windows Store的程式，但亦允許用戶將它切換為完整版本的Windows 10。Surface Go具備一個Surface Connect充電連接埠、一個用來傳輸資料或充電的USB-C 3.1連接埠、耳機孔，以及一個MicroSD卡插槽。

Wi-Fi版將於今日（7/10）開放特定市場預購，台灣與其它亞洲國家則被列在幾周後的第二波預購名單中。採用4GB記憶體，內建64GB儲存容量的Surface Go售價為399美元，若購買8GB記憶體及128GB儲存容量則要549美元。消費者也可以額外添購99美元或129美元的鍵盤保護蓋，以及99美元的Surface Pen觸控筆。

Wi-Fi版Surface Go預計於今年8月2日上架，LTE版則會在今年稍後問世。

官方介紹影片：

今年多家雲端廠商相繼推出代管容器服務，可支援Java、Python、Node.js等環境，但老舊大型Java應用如何支援最熱門的容器技術？近日，Google開源釋出了一款Java容器化工具Jib，讓開發者可以將Java應用打包為符合開放容器標準（OCI）的容器映像檔，而Java開發者常用的建置工具Maven、Gradle，只要安裝延伸套件就可以使用。

Google表示，Jib這款開源Java容器化工具，可以提供容器映像檔建置服務。原先使用者將Java應用程式容器化時，必須先建置JAR檔，並且與Dockerfile匯入Docker，利用Docker Daemon，完成容器映像檔建置後，再將映像檔上傳至儲存庫。

Google指出，Jib之所以能快速建置映像檔，其背後原理是將應用程式，根據類別拆解系統相依性，分出多層結構。因此，使用者不需要建置完整的Java應用程式，利用映像檔分層堆疊的做法，只需部署當中重新修改的映像檔層即可，因此可以達到分段建置之目的。此外，可以使用Maven、Gradle建置容器映像檔後，開發者可以直接將映像檔上傳至容器儲存庫，不需要額外撰寫Dockerfile，或者呼叫Docker，額外執行建置、上傳任務。

原先使用者將Java應用程式容器化時，須先建置JAR檔，連同Dockerfile匯入Docker，透過Docker Daemon，完成容器映像檔建置後，再將映像檔上傳至儲存庫。而Jib根據類別拆解系統相依性，分出多層結構。因此，使用者不需要建置完整的Java應用程式，利用映像檔分層堆疊做法，只需部署當中重新修改部分即可。圖片來源：Google

Rust迎來第一個通用漏洞披露（Common Vulnerabilities and Exposures，CVE），紅帽（Red Hat）主動於7月3日向Rust官方通報，Rustdoc的套件功能存在意料之外的路徑臭蟲，當使用者沒有傳遞路徑給Rustdoc時，系統則會使用預設位置/tmp，而多數作業系統/tmp是公開可寫入的，便讓駭客有機可乘放入惡意程式。官方提到，這個漏洞影響很小，但是許多人過度宣稱Rust的安全性，而這個事件剛好能夠警惕開發者，Rust無法保證沒有臭蟲發生。

在Rust標準發布版中，會夾帶一個名為Rustdoc的工具，為Rust專案產生說明文件，Rustdoc可以將Crate root或是Markdown檔案作為輸入參數，生成HTML、CSS與JavaScript格式的檔案。而Rust有一個套件功能，允許開發者使用特定的符號創建函式庫來開發套件，藉由指示Rustdoc使用該套件，系統會載入並以回呼的方式執行函式來修改Rustdoc的AST型態。

而當使用者沒有給定系統套件路徑參數，Rustdoc則會使用預設路徑tmp/rustdoc/plugins，由於在多數的作業系統上/tmp是開放公開寫入的，因此駭客就能趁機把惡意的套件放到tmp/rustdoc/plugins中，並以Rustdoc載入該套件，執行攻擊者的回呼函式以及任意Rust程式碼。

但官方提到，這個漏洞很難被駭客利用，因為本身Rustdoc套件功能就已經很難使用了。由於函式輸入以及回傳需要使用Rustdoc的AST型態，但是Rust專案並沒有對終端用戶發送librustdoc，也就是說使用者必須自己合成該型態，而且Rust的ABI又極度不穩定，因此動態載入套件這個動作，只有在套件與Rustdoc使用相同的編譯器修訂時才能保證被執行。所以雖然這個功能在程式碼中，但缺乏實際用處。

不使用Rustdoc這個功能的開發者就不受漏洞影響，也由於這個套件功能長期被棄用，在缺乏必需的函式庫情況下，在當前所有Rust版本中都無法使用，但畢竟該臭蟲還是可能為用戶帶來問題，官方預計會將該行為從Rustdoc中刪除，新的更新版本將於下星期在各版本的頻道中發送，這個套件的基礎架構在1.0前就存在，但即刻起已無法在Rust穩定版或是Nightly中使用，這個功能刪除也不會影響任何Rust用戶。

這個漏洞是Rust第一個官方CVE資安通報，由於該漏洞還在申請CVE的過程，目前還未有編號。雖然該漏洞影響非常小，但官方仍然決定遵循完整的安全漏洞程序，並在7月10日發布1.27.1穩定版修補這個臭蟲。由於官方確定沒有人可以利用這個漏洞，因此在更新發布前，就提早釋出漏洞的資訊。

官方特別提醒，Rust雖然在程式編譯的過程，阻擋了許多可能產生的問題，但這些僅限於記憶體不安全所導致的問題，而這個Rustdoc套件功能的漏洞，是一個邏輯錯誤，代表Rust程式碼本身並不是必定安全且沒有臭蟲的，官方認為，部分使用者太過狂熱，會過度宣稱Rust的安全性，這樣反而是危險的事，而這個臭蟲正好證明了Rust無法阻擋所有安全性問題。

區塊鏈技術逐漸成熟，現在應用逐漸擴及一級產業，線上礦物交易平臺Open Mineral與區塊鏈創投ConsenSys合作，要在礦業供應鏈上使用區塊鏈技術，以區塊鏈平臺Minerac為礦業公司和金融機構聯盟提供服務，範圍包括採礦、運輸、測量、倉儲到融資。區塊鏈除了方便資料的傳遞以及貨物的追蹤外，其分散式帳本提供難以竄改的技術，更能阻止供應鏈中的弊端產生。

採礦與金屬相關產業對於各國經濟影響重大，但Minerac指出，在整個供應鏈中，營運以及商業實務上效率仍然非常低落，除了經常性的遺失關鍵資料和發生安全漏洞外，甚至貪腐等弊端行為也是層出不窮。Open Mineral執行長Boris Eykher提到，商品交易涉及多重組織，而且皆位在不同的法律管轄區域，整體物流業務非常複雜，過程操作極度吃重文書作業。在產業中導入區塊鏈技術，將能簡化流程，提高作業效率，進而強化獲利能力。

先前微軟就看中區塊鏈的智慧合約技術，適合用於解決權利金分配的問題，Xbox平臺與遊戲開發商間複雜的分潤問題，在導入區塊鏈解決方案後，權利金計算時間只需要原本的三分之一。現在，礦業供應鏈也看上了這個好處，由於採礦界價值鏈涵蓋從船舶營運商、金融機構、量測實驗室與倉儲等不同領域組織，區塊鏈能夠鏈結這些採礦以及金屬相關產業構成的供應鏈，加速金流處理過程。

Minerac允許相關利益者，以區塊鏈智慧合約交換像是提單或是信用狀等關鍵交易文件。另外，在礦物包裹流過供應鏈各階段時，礦工、運輸、倉儲或其他利益相關人，也可以透過智慧合約申請支付款項。這些觸發機制會成為自動化管理的一部分，可以更快速的審核並追蹤貨物的遞送狀況外，還能了解貨物從哪些組織轉手，進行了哪些操作，以及到達最終目的方法。

Minerac這個區塊鏈平臺將建構於以太坊（Ethereum）的技術之上，以太坊共同創辦人兼ConsenSys創辦人Joseph Lubin提到，以太坊技術的生態系足以支援所有產業應用區塊鏈，而與Open Mineral合作打造的區塊鏈解決方案，用於採礦與金屬相關產業供應鏈平臺Minerac，將能把所有文書工作數位化，提供安全地收集以及無縫地交換資料，同時還能維持資料的不可變性。

這個區塊鏈平臺將建置在專用的網路中，並且以複雜的加密機制保護資料安全以及確保隱密性外，Minerac還為整個礦業供應鏈帶來更佳的法遵、透明度以及易審核性。分散式帳本的特性能夠即時共享所有資料，確保交易後各方擁有的資料都是最新的，這不只能減少原本紙本作業的錯誤，還能提高整體供應鏈透明度，消除惡意合作夥伴在不嚴謹的制度下，進行違法勾當的機會。

該解決方案還建立特殊流程，搭配貨物唯一識別碼，來解決礦產貨物的永續性（Sustainability）以及安全性問題。這個流程要求在每個密封袋或是容器印上唯一防竄改的識別碼，這個識別碼在Minerac的系統中，存有每個礦物包裹的詳細資訊，並能即時更新該包裹的詳細位置和移動資訊，而這也為高價值的貨物提供更高的安全性，防止貨物遺失，並有助於下游廠商查看所購買的礦物履歷，防止貨物來自衝突或遭投訴的產地。

Minerac將用以太坊聯盟的產業標準開發企業平臺，並整合ConsenSys的雲端物流平臺TMS，除了可以進一步解決手動輸入資料可能產生的問題外，也能在不使供應鏈組織相互衝突的狀態下，方便商品物流對帳以及盤點貨物。

早在幾年前，Canonical就推出了適用於物聯網、嵌入式裝置的輕量作業系統Ubuntu Core輕薄型OS版本，近日再度出手，推出新的迷你作業系統Minimal Ubuntu，特別針對雲端大量部署而重新設計。Canonical表示，兼具速度、效能表現是雲端維運、開發者最為重視的特點。現在Ubuntu已經開放給使用者於官網下載。

這個新版本的Ubuntu，比起標準版的Ubuntu伺服器映像檔，容量縮小至50％以下，而啟動速度則快上40％，現在Minimal Ubuntu 16.04 LTS及18.04 LTS版本，已經可以在AWS EC2、Google Compute Engine（GCE），或者OpenStack、KVM、LXD等虛擬化環境部署。針對不同虛擬化、公有雲環境，Minimal Ubuntu也有修改其作業系統核心，以加速其效能。Canonical表示，Minimal Ubuntu 18.04 LTS版打包成Docker映像檔，只須占用29MB的空間，讓開發者可以快速在跨雲環境下，部署容器化應用程式。

相仿微軟Nano Server的瘦身策略，除了內建執行的必要元件，Minimal Ubuntu移除使用者導向的人機互動功能，而Ubuntu Server的編輯、記錄及本地端操作等功能，也一併移除，「Minimal Ubuntu的設計，為自動化維運而生。」雖然為了精簡大小而瘦身，不過Minimal Ubuntu也相容其他Ubuntu打包檔。碰到得額外加入的功能，開發者只需要找到相關功能映像檔，連同元件系統相依性，一併加入Minimal Ubuntu基礎映像檔即可。而輕量迷你的Minimal Ubuntu，沒有冗贅系統元件，使得安全性也得以提高。

雲端原生應用越來越普及，許多廠商推出專屬容器作業系統支援Docker，像是紅帽Atomic Host、微軟Nano Server、RancherOS、Canonical Snappy Ubuntu Core等，這些主打輕薄快速的Container OS，看準大量容器部署的應用情境。而微軟近日甚至預告推出第三款Windows Server的容器映像檔版本，可以提供更多Windows Server的OS元件，讓企業用來打包老舊應用程式。

7/4～7/10一定要看的資安新聞

民進黨官網現已復原，但網站安全性的議題還是引人憂心

對於3日上午民進黨中央黨部的網站遭入侵，網站上出現簡體字樣的嘲諷語句而緊急關閉網站一事，在4日晚間10點，該網站已經恢復正常運作。

5日早上，我們聯繫到民進黨中央黨部媒創中心主任楊緬因，他表示，他們的網站已在7月4日晚間10點恢復正常運作，不過這次被有心人士侵入後臺的詳細資訊，有待進一步整理才會揭露。不過，此事件不僅影響國內執政黨的顏面，也讓我們更要警惕的是，臺灣政府、教育與醫療機構的網站，是否也會持續遭遇到同樣的威脅。更多內容

澳洲雪梨機場開始測試以臉部辨識報到、登機作業

持護照登機太麻煩，澳洲雪梨機場及澳洲航空5日宣佈將展開以臉部辨識取代護照查驗的測試。

這是雪梨機場去年宣佈5年自動化通關計畫的一部分，旨在取代過去仰賴紙本護照作業不便，澳洲航空是第一家合作夥伴。首階段從雪梨機場搭乘澳洲航空特定國際航班的旅客，將開始測試以臉部掃瞄完成報到、行李託運、進入機場貴賓室及登機。更多內容

小心! 巨集病毒取代電腦桌面捷徑以植入後門程式

趨勢科技研究人員發現一隻巨集病毒會感染、並綁架受害電腦的特定桌面捷徑，用以下載後門程式。

趨勢科技研究人員是在一封包含圖片檔的俄文文件發現這隻巨集惡意程式。它先要求使用者執行巨集以開啟整份文件，等用戶照做後，就會尋找知名App的桌面捷徑檔或快速啟動功能，包括Skype、Google Chrome、Mozilla Firefox、Opera及微軟IE等加以感染並取代指向的連結。更多內容

社群網站詐騙歪風吹向Instagram，而且日益猖獗

臉書、Twitter、Instagram、LinkedIn等社群網站，已經與我們的生活連結，甚至隨著實名制度，這些網站的帳號，形同代表個人，變成與這個人溝通的管道，不少人甚至將社群網站應用於商業活動的往來之中。但使用者帳號裡的內容保護，以及衍生的帳號詐騙、破解等，也隨之成為嚴重的問題。

例如，最近在點選了假冒名人認證的藍勾勾信件後，來自馬來西亞的華語創作歌手四葉草，她的Instagram帳號便遭土耳其駭客入侵，她已經前往警局報案，並開立備用Instagram帳號，請網友聲援向Instagram公司反映，試圖取回原有的帳號。更多內容

研究：2/3的網拍二手記憶卡殘留前任用戶資料，小心個人隱私曝光

專門評論科技產品與服務的Comparitech今年委託英國赫特福德大學（University of Hertfordshire）進行二手記憶卡的調查，他們自eBay與其它線上市集購買了100張二手的SD與MicroSD記憶卡，發現其中有65張仍然含有前任用戶的個人資料或機密資料。

根據研究，在這100張二手記憶卡中，有36張記憶卡完全沒有處理原本所儲存的資料，有29張已被格式化，但仍然能夠回復記憶卡上的資料，只有25張是利用資料移除工具成功地覆蓋了儲存區域。更多內容

WordPress釋出安全更新，修復可從外部刪除檔案的程式碼執行漏洞

資安公司Ripstech在7個月前向WordPress資安團隊回報，一個允許外部刪除檔案的程式碼執行漏洞，但WordPress卻音訊全無，即使在5月中推出的4.9.6版本，也不見修補該漏洞，Ripstech於是在6月26日怒公開該漏洞細節，WordPress只好在7月5日緊急釋出了4.9.7安全維護版本，並且強烈建議用戶，凡使用3.7到4.9.6版本的WordPress都應馬上更新。

駭客要使用這個任意程式碼執行漏洞，需要先取得編輯以及刪除媒體的權限，Ripstech提到，只要能獲得操作權限提升就能使用該漏洞，所以駭客可以接手像是作者這類低權限的帳戶，或是透過其他漏洞以及錯誤設定來獲得進一步的檔案編輯權限。這個漏洞的嚴重性在於，駭客能夠移除任何WordPress的安裝檔案，包括允許讓駭客抹除整個WordPress安裝，而當網站沒有適當的備份，將可能造成不可恢復的災難性後果。更多內容

駭客透過加密貨幣社群攻擊macOS用戶

安全研究人員Remco Verhoef最近指出，他觀察到多起鎖定macOS的惡意程式攻擊，而該駭客則是透過Slack或Discord的加密貨幣社群來散布惡意程式。

Verhoef表示，駭客在Slack與Discord上的加密貨幣社群中偽裝成管理員或關鍵人物，並貼出一個腳本程式要求大家執行，不小心上當的Mac用戶執行後就會下載並執行一個惡意程式。更多內容

針對世足賽賽局熱潮，攻擊者推出可追蹤球賽手機應用程式，藉此發動攻擊

在2018年世界足球賽開打之前，趨勢科技、Sophos、ESET等資安廠商，不約而同提醒觀眾，許多以提供賽事影音串流服務的網站，可能暗藏惡意程式，要小心防範，而這樣的警告如今成真。根據最近Symentec指出，以色列出現一款名為Golden Cup的Android手機應用程式，在這個Golden Cup手機App的介紹網頁上，表面上使用者可以瀏覽各隊基本資料、戰績、以及能觀看世界盃的照片等功能，但Symentec卻發現，它會背地裡與C&C中繼站連接，伺機發動攻擊。

這款App是含有攻擊目的的交友軟體GlanceLove變種，後者是巴勒斯坦組織哈馬斯（Hamas）針對以色列國防軍隊（Israeli Defense Force）士兵發動攻擊之用。但攻擊者似乎因應世足賽，倉促推出變種Golden Cup，目標也擴及到以色列的一般民眾。顯示攻擊者針對時下熱門焦點，改變攻擊標的。更多內容

劍橋分析事件爆發後，臉書仍舊提供61間公司使用者個資的存取權

今年3月，臉書遭爆料洩露了超過8千7百多萬用戶個資，並被劍橋分析資料分析公司（Cambridge Anaytica）非法取用一事，造成了人心惶惶，甚至臉書也在美國多家大型媒體登報道歉，執行長Mark Zuckerberg更到美國國會說明。

即使臉書強調，早在2015年發現後，便立即要求劍橋分析刪除相關資料，以保護用戶個資。但根據華盛頓日報的報導，在最近臉書送交美國國會的一份747頁報告內容指出，他們在發現劍橋分析濫用用戶個資後，仍以緩衝期為由，針對AOL、Nike、United Parcel Service（UPS），以及Hinge約會App等60家廠商延長存取用戶個資的權限，為期長達6個月，而Serotek更取得了8個月的展延。更多內容

英國健保系統因為程式錯誤編碼資料，意外洩漏15萬名病患的機密醫療資料

醫療軟體開發商TPP(The Phoenix Partnership）主動告知英國健康與社會照護資訊中心NHS Digital，由於其系統設計存在缺陷，導致15萬名病患的機密醫療資料，在違反意願的情況下，被分享用於醫療研究上，TPP對這個從2015年就存在的問題道歉，這項錯誤現在已經被修正，NHS Digital也發送信件通知家庭醫生（General Practice，GP）與每個受影響病患。

NHS Digital最近承認因為系統錯誤處理病患拒絕分享醫療資料的資訊，使得GP系統從2015年3月至2018年6月中，15萬名病患選擇自己的醫療資料只能用於直接治療，不得用於其他用途的資訊，未正確發送到NHS Digital的系統，導致NHS Digital意外的將這些資料全部用於臨床調查以及研究中。更多內容

行動App分析業者Flurry來台分享去年app使用趨勢，國內由於穿戴裝置興起，民眾注重運動健身及個人健康管理，去年相關app使用量大增110%，遠高於其他類型app。

Flurry提供app數據分析工具，以協助開發者掌握app的使用情形，調整app開發設計或制定行銷策略。Flurry的數據分析涵蓋全球100萬個app、每月26億台裝置，在台灣也涵蓋超過9533個app，每月追近2500萬台行動裝置。

根據Flurry的統計，2017年全球app使用量（以使用者開啟App和寫入記錄為一個工作階段session）僅成長6%，和2016年使用量成長11%相比略有下滑，在各類型app使用量成長情形中，以購物類型app使用量成長了54%，音樂及媒體娛樂成長43%，商業及財務類型也有33%，其他如工具及生產力、新聞及雜誌類型成長20%，但遊戲類衰退16%、生活類則是大幅下滑40%。

若單獨看台灣的使用量，去年國內整體app使用量成長了21%（下圖，來源：Flurry），或許因為國人更注動健康、運動健身，加上穿戴裝置普及，健康及運動健身類app使用量大增110%，個性化app成長74%，音樂及娛樂、工具及生產力分別成長25%、23%。

和全球趨勢不同，購物類app使用量成長持平。而遊戲類app使用量小幅衰退4%、新聞及雜誌類、生活類分別下滑12%與22%。

展望app的發展趨勢，Flurry全球產品總監Christopher Klotzbach認為在蘋果、三星均推出穿戴裝置下，將會持續帶動健康管理及運動健身類app使用增加，另外，Alexa、Siri等語音助理興起，刺激相關語音控制app成長；其他還有遊戲、電子商務類型app朝創新的遊戲體驗、優化購物流程發展。

行動裝置設計關係到app開發及使用體驗，因應媒體娛樂內容消費的需求增加，更大呎吋的螢幕裝置較吸引消費者青睞，Flurry指出全球行動裝置持續走向大螢幕發展，5吋以上大螢幕的Phablets佔比從2016年的41%提高到55%，台灣則從63%一舉拉高至73%、中小呎吋手機被壓縮至20%以下。

行動裝置上不同品牌分佈，蘋果為台灣最多用戶使用的品牌，佔比從去年36%升至41%，三星約略維持20%，華碩以10%居第三，HTC與Oppo分別為8%與6%。

周一蘋果釋出iOS 11.4.1，除了加入防破解的USB限制模式外，還修復了一個只要輸入Taiwan、或訊息出現台灣國旗就會當機的臭蟲。

根據蘋果說明，這次更新解決了一個記憶體處理臭蟲，這項臭蟲使iOS在「特定設定」下處理某個表情圖案（emoji）時會造成當機。受影響裝置包括iPhone5S、iPad Air及iPhone touch 6以後機種。

發現這項臭蟲的Patrick Wardle則更給了更清楚的解釋。他一名台灣朋友2年來只要在iPhone輸入Taiwan，或接到有台灣國旗表情圖案的訊息就會當機，以為是被中國駭入。Wardle測試後發現一段程式碼，使得iOS裝置在語言和地區設定不正確時碰上「Taiwan」或台灣國旗圖示時就會引發iOS記憶體錯誤、回覆「null」值，結果導致當機。

他還發現，在iPhone上任何通訊app，包括iMessage、Facebook Messenger、WhatsApp，都會有這個狀況。

Wardle隨後通報蘋果，該臭蟲被列為CVE-2018-4290，只出現某些不支援的地區設定中。他推斷是因為朋友當初不小心將iPhone的地區改成中國，才會有這個問題。在這個設定下，原本有的台灣國旗，就會只看到一個畫著X的方格，好像沒有這個國旗。只要把設定改成別國，如美國，問題就解決了。

但是他懷疑這是美國在中國壓力下加入的程式碼，並指出要不是蘋果想「按捺」中國政府的話，就根本不會有這個臭蟲。

蘋果周二宣佈成立新的ML/AI部門，將機器學習部門及人工智慧（AI）部門整合為一，由今年從Google挖來的AI大將John Giannandrea統率。

這項消息由Techcrunch率先報導，隨後蘋果在官網上證明。

今年初媒體爆料Giannandrea被蘋果從Google挖角，猜測是希望能藉由他在AI方面的經驗提升蘋果包括智慧語音助理Siri的人工智慧能力。在最新宣佈的組織變動中，Giannandrea不只負責AI，還將主導全公司的機器學習策略，以及包括機器學習API CoreML和Siri在內的產品開發。他也直接向執行長庫克（Tim Cook）報告。

媒體分析，此舉是為了讓機器學習能力全面整合到蘋果產品中，一如Google和微軟的策略。CoreML和Siri現有部門都維持不變，只是多了個共同的上司。

加入蘋果前，Giannandrea曾創立兩家科技公司Tellme Networks和Metaweb，後者於2010年為Google收購。他並因此在Google待了8年，率領機器智慧、研究與搜尋部門，任內推動AI整合到Google產品，包括搜尋、Gmail和Google Assistant。

熱門的加密貨幣錢包MyEtherWallet周二（7/10）緊急警告有駭客利用Chrome擴充程式Hola VPN將MyEtherWallet用戶引導至釣魚網站，騙取用戶的帳號資料；Hola VPN則坦承該程式的開發者帳號被駭客盜用。

Hola VPN為一免費的VPN服務，提供支援Crome、Firefox、IE等瀏覽器的擴充程式，吸引了近5,000萬名用戶。

Hola VPN表示，該團隊在昨天發現Chrome Web Store上的Hola VPN版本不是官方版本，調查後才知道他們在Google Chrome Store的帳號被入侵了，駭客上傳了修改過的版本，且鎖定了MyEtherWallet用戶展開攻擊，駭客將MyEtherWallet用戶導至由駭客建立的釣魚網站，利用程式碼注入攻擊取得那些沒有以無痕模式（Incognito Mode）登入MyEtherWallet帳號的用戶資訊。

冒牌的Hola VPN版本在Chrome Store大約存活了5小時，Hola VPN發現後重新上傳了官方版本，並通知了Google與MyEtherWallet。

MyEtherWallet則釋出緊急通知，要求那些同時使用Hola VPN及MyEtherWallet的用戶儘速將自己的加密貨幣移至新帳號，不過並未公布受影響的用戶規模。

Hola VPN則建議加密貨幣錢包的使用者最好以無痕模式登入這些網站，以杜絕程式碼注入攻擊。

許多新創、小規模組織愛用的企業通訊軟體Slack，面對Google Hangouts、Microsoft Teams的競爭壓力，也得要加速腳步加強自家產品服務。在5月先加強整合第三方協作平臺，聊天內容也可直接加到工作清單，如專案管理工具Asana、客戶服務軟體Zendesk、敏捷專案管理工具Jira。在近日該公司宣布，改善自家通訊平臺搜尋功能，利用新釋出的搜尋過濾器，可以更快找到人特定對話記錄、傳送檔案。Slack預計在數禮拜後，上架這個新搜尋功能。

利用使用者在該平臺留下的使用足跡，包含經常對話人員的紀錄、經常加入討論頻道，或者使用者相關聯檔案，Slack表示，新搜尋功能可以提供更聰明、個人化的搜尋結果。

在Slack新增的擴充搜尋介面（Expanded search view）中，使用者選擇的過濾條件，包括對話對象、頻道名稱，或者文件類型，以及搜尋目標的起終點日期，藉此能更快定位目標。當輸入關鍵字時，Slack也會根據用戶在平臺上的操作行為、搜尋紀錄，推薦不同過濾條件。除Slack內建的過濾條件，如果使用者仍覺不夠，可以點選「更多選項」，增加個人化條件。

在Slack新增的擴充搜尋介面（Expanded search view）中，使用者可以選擇更多過濾條件，像是對話對象、頻道名稱，或者文件類型。Slack舉例，像是鍵入世界盃足球賽為關鍵字，如果使用者第一時間沒有在對話紀錄、檔案中看到搜尋目標，可以進一步，利用通聯對象、公司團隊頻道，以及檔案類型過濾，更快找到目標。圖片來源：Slack

Slack加強的新功能，在搜尋介面可以看見四個過濾條件，包含交談對象、頻道及私人訊息、檔案類型，以及搜尋目標的起終點日期。除Slack內建的過濾條件，如果使用者仍覺不夠，可以點選「更多選項」，增加個人化條件。圖片來源：Slack