高通與蘋果官司在美國市場第一回合結果揭曉，美國聖地牙哥法院判決蘋果侵犯高通3項專利，需賠償3100萬美元。

在經過8天審理後，美國法院陪審團無異議通過判決蘋果iPhone 7/7 Plus、8/8 Plus和iPhone X侵犯高通二項專利，分別是讓手機開啟後快速連上網路，以及應用處理器與數據機之間的資料管理技術。法院也認為iPhone 8/8 Plus及X侵犯了高通最佳化繪圖顯示和電池續航力的技術。

高通是在2017年7月控告蘋果侵犯專利。法院判決蘋果應就2017年高通提出告訴那天起到判決結束，以每支iPhone 1.41美元計算的損害賠償，總計達3100萬美元。

高通執行副總裁Don Rosenberg通過聲明指出，這次判決是高通透過全球專利官司對蘋果要求使用該公司技術而不付費負責的最新一次勝利。該公司表示高通的技術是蘋果快速進入且席捲手機市場的關鍵。高通也對法院還給他們公道表達感謝。

蘋果對路透社表示，高通不停提出專利侵權告訴，其實只是為了轉移他們面臨美國及全球法院對其壟斷手法展開調查。

雖然3100萬美元金額不高，但這是蘋果與高通兩年來的官司混戰中，高通在美國戰場上取得的重要勝利，也是六個月來最新一次。去年12月中國和德國法院也判決蘋果侵害高通專利，並分別禁止搭載iOS 11的iPhone機種，以及使用英特爾行動數據機晶片的iPhone 7、8。 目前在德國僅有搭載高通晶片的iPhone 7和8。

資安業者Check Point在今年2月20日揭露知名壓縮軟體WinRAR含有超過10年的重大漏洞，而趨勢科技則說，在相關漏洞被公布的第一周，坊間就出現了超過100種不同的攻擊行動，而且數量還在持續增加中。

中國360威脅情報中心在2月25日即發現了首個開採WinRAR安全漏洞CVE-2018-20250的攻擊程式，這是一個路徑穿越（Directory Traversal）漏洞，可經由特製的ACE格式檔案觸發，允許駭客將檔案解壓縮到任何路徑上，例如Windows的啟動資料夾，也可將.ACE檔案更名為.RAR，讓使用者更容易上當。

趨勢科技則在上周指出，在CVE-2018-20250漏洞被公布的第一周，他們便偵測到超過100種不同的攻擊行動，當時的受害者主要位於美國。

在其中一個攻擊案例中，駭客利用美國新生代歌手Ariana Grande的最新專輯《Thank U, NexT》來當作誘餌，此一含有木馬的壓縮檔案名稱為Ariana_Grande-thank_u,_next(2019)_[320].rar，解壓縮之後可發現它的確存放了專輯歌曲，但同時也在神不知鬼不覺的狀態下把木馬程式解壓縮到啟動資料夾，當系統重開機時，此一惡意程式便會自動執行。

WinRAR已經在2月28日釋出的WinRAR 5.70修補了漏洞，直接移除了對ACE格式的支援，用戶應儘快升級或部署有效的防毒軟體。

微軟於近日釋出的Windows 10預覽版Build 18358中，將原本是Edge瀏覽器專屬的Windows Defender Application Guard安全防護功能，延伸到Chrome與Firefox瀏覽器。

Windows Defender Application Guard是微軟針對Windows 10與Edge瀏覽器所開發的硬體隔離機制，當企業用戶透過Edge或IE造訪不被信任的網站時，Edge會在隔離的Hyper-V容器中開啟網站。

Application Guard是在硬體層上建立一個Windows實例，該實例含有一個完全隔離的複製版核心，以及可執行Edge的最小規模Windows Platform Services，此一Windows實例將無法觸及正常的操作環境，涵蓋記憶體、在地儲存空間、其它應用程式、企業網路終端或其它資源，一方面允許Edge造訪不被企業信任的網站，另一方面則可保護既有環境不受威脅。

至於微軟將相關保護延伸到Chrome與Firefox的作法，則是將這些瀏覽器造訪不被信任之網站的流量，直接導至Edge的Application Guard，微軟亦正在開發動態切換能力，可在Chrome或Firefox用戶要造訪信任網站時，從隔離的Edge期間返回預設瀏覽器。

由於Application Guard是專替設有網站安全名單的企業所設計，目前此一功能只適用於Win 10 Enterprise與Win 10 Pro用戶，相容於Windows 10 1803及之後的版本。

德國聯邦參議院針對二個聯邦提出的刑法修正案草案展開辯論，討論是否要讓提供非法商品和服務的網際網路交易平台承擔刑事責任。

本修法草案來自北萊茵邦及黑森邦所提議。草案指出，雖然暗網利用Tor瀏覽器技術，保護網路使用者隱藏上網路徑，不受極權政府監控，暗網的隱密性質近年來卻也被用以掩藏犯罪活動，包括毒品走私、兒童色情、武器、惡意軟體和公佈隱私文件。知名的暗網如Silkroad、Alphabay和Hansa Market都曾遭到法院起訴。

草案提議，提供網際網路服務或必須經由特殊技術工具才能存取，以及主旨或活動內容為促進不法行為，包括交易毒品、爆裂物或兒童色情商品的平台，最高可判處3年徒刑。

德國巴伐利亞邦曾希望修法使法律責任擴及適用對象於一般網路平台，並允許使用監控工具以協助辦案，不過後來遭議會否決。

不過也有法律專家擔心，此法可能被用來限制或禁止暗網，有危及公民自由之虞。

國際知名資安大師Bruce Schneier今年2月初在《連線》雜誌發表一篇專欄，以安全與信任的角度，質疑區塊鏈技術帶來的價值，引起科技圈高度討論，熱議區塊鏈信任問題，Bruce Schneier也發表在自己的部落格「Schneier on Security」上。

Bruce Schneier有著多重身份，除了是資訊安全專家，也是一位密碼學學者以及作家。他撰寫了總共14本資訊安全與密碼學相關的著作，其中包括了《紐約時報》暢銷書《隱形帝國：誰控制大數據，誰就控制你的世界》，以及數百篇文章，論文和學術論文。他同時，也是哈佛大學伯克曼網路與社會研究中心的研究員，以及哈佛大學甘迺迪政府學院的教授。目前任職IBM Security Resilient CTO暨IBM資安事業部特別顧問。明天(3/19)他也將來臺參加臺灣資安大會發表專題演講。

「區塊鏈解決方案，往往比它們想要取代的，還要更糟糕。」Bruce Schneier在他發表的區塊鏈與信任（Blockchain and Trust）一文中指出。當人們分析區塊鏈和其信任機制時，很快就會發覺炒作區塊鏈的價值，遠高於它能帶來的真正價值。

Bruce Schneier提到，建構公有鏈（Public Blockchain）的數據結構和協定，有三個基本元素，包括了分散式帳本技術、共識機制與數位代幣；而他也認為，若是使用區塊鏈數據結構，但沒有上述三個元素的私有鏈 （Private blockchain），就只是名義上的區塊鏈，乘著區塊鏈風潮炒作罷了。

他進一步指出，公有鏈的這三個元素，組合在一起後，便能提供新型且具備安全屬性的區塊鏈網絡。「我們可能無法親自認識某一個人，或是了解到他的動機，但我們可以相信他在未來的行動」，Bruce Schneier認為，區塊鏈可以打造這種信任關係，他也舉例，我們不認識任何比特幣礦工，但我們得信任他們會遵守挖礦協定，才能讓整個系統發揮作用。

但問題是，區塊鏈對任何事情都能帶來好處嗎？Bruce Schneier認爲，最終還是得回歸到信任問題。

Bruce Schneier也直言，大多數區塊鏈愛好者，對於「信任」都有一種狹隘的定義。他們喜歡類似「in code we trust」、「in math we trust」以及「in crypto we trust」這樣的口號，來表達他們對驗證機制的信任。

區塊鏈要把對人與機構的信任，轉移到對技術的信任。「但是，驗證與信任，是兩碼子事。」他說。

加密貨幣交易所遭駭時有耳聞，Bruce Schneier認為，當區塊鏈沒那麼安全時，還是得回歸到傳統的信任機制。「區塊鏈並不能消除人們對中心化機構信任的需要。」他解釋，人們仍然需要掌控事物，並在區塊鏈系統以外進行治理，若只靠技術是行不通的。

他更指出，任何區塊鏈系統，都必須與其他傳統的系統共生共存。即便區塊鏈是基於分散式帳本技術，但在實際應用上，區塊鏈技術通常是中心化，例如大眾必須相信少數可信的錢包或是交易所。

Bruce Schneier認為，太多數的區塊鏈愛好者，只關注在區塊鏈技術，卻忽略了其他的技術。他建議，企業在評估系統的安全性時，必須考慮到整個社會技術系統（socio-technical system），而不只有區塊鏈技術本身就夠了。

針對Bruce Schneier對區塊鏈信任上的質疑，以太坊（Ethereum）創辦人Vitalik Buterin，以及萊特幣（Litecoin）創辦人Charlie Lee，在16日由Maicoin舉辦的2019證券型代幣國際論壇上，各自回應他們的觀點。

區塊鏈是否能解決所有信任的問題？Vitalik Buterin表示，答案是否定的，區塊鏈基本上可能可以解決部分的問題，不過，一旦應用與實際世界的環境有相關時，區塊鏈是有它的限制或障礙存在，舉例來說，區塊鏈不會知道臺灣現在的幣值、溫度或是其他實體環境中的事情，所以要看應用範圍而定，有些的確可以提升安全性，有些卻沒有辦法知道。

Charlie Lee則認為，比特幣、萊特幣這樣一個去中心化的區塊鏈系統，能讓任何人都能傳遞價值，這是最重要的。他也認同Bruce Schneier的看法，Charlie Lee表示，有些區塊鏈以外的資訊，的確需要由中心化系統，來輸入真實數據到區塊鏈上，到後來還是得相信中心化機構，確保資料的真實性，這是沒辦法的。

上周英國串流音樂平台Spotify宣佈已經向歐盟控訴蘋果透過App Store拆帳及限制性措施，對同業造成不公平的競爭行為。周末蘋果與Spotify持續為此公開叫陣。

上周Spotify執行長Daniel Ek透過官方部落格表示，蘋果作為iOS及App Store平台擁有人，卻扮演球員兼裁判的角色，對競爭對手採取不公平的措施以圖利自家Apple Music，包括對上架的app開發商徵收30%的蘋果稅，如果開發商不付，就會遭到蘋果的不公平待遇，像是限制行銷活動或和用戶直接溝通。而蘋果的Siri、Apple Watch等也不整合Apple Music以外的串流服務。

蘋果3月15日回擊指出，Spotify得了便宜又賣乖，享盡App Store生態體系的所有好處，像是從App Store客戶收到優厚收入卻不肯做出任何貢獻。

蘋果反擊Spotify所言根本在抹黑蘋果。首先，關於和蘋果服務整合方面，Spotify已經可整合CarPlay，和其他廠商擁有一樣的工具和資源。當蘋果找上Spotify談支援Siri、AirPlay 2時，他們說還沒做完，蘋果現在也還在等。最莫名其妙的是Apple Watch，因為蘋果早在2018年9月就核准Spotify app上架，現在Spotify Watch app甚至還是Watch Music類別下載次數最多的app。

蘋果聲稱Spotify的指控只說了一部份的事實：這家串流音樂業者沒說的是，他們大部份（高達95%的）用戶都是用免費、廣告贊助版本，App Store對此是收不到錢的，而且他們雖然不想付錢給App Store，同時間卻付錢給上架的零售商和電信業者。此外即使到現在，Spotify訂閱在App Store拆帳營收模式中貢獻已只是微乎其微，但他們還是希望一毛都不要出。

此外，蘋果還說Spotify不但對App Store，對藝人、音樂家和創作人也貢獻甚少，甚至和他們對簿公堂。年初美國版權局（Register of the Copyright Office）同意權利金委員對串流業者提高權利金44%後，Spotify、Google、Pandora與Amazon四家平台對此判決提出上訴，蘋果Apple Music則因沒加入而獲得音樂界讚揚。

蘋果指出，App Store是讓使用者可以安心找到和交易app的安全平台，對開發商而言，則是對新手工程師和大型公司都一視同仁。蘋果成立10年來，App Store已經幫開發人員創造數百萬工作機會及超過1200億美元的營收。

3月15日Spotify發出聲明指出，每個「壟斷者」都覺得自己沒做錯什麼，也會說自己心中掛念著競爭者和消費者的利益，蘋果對Spotify向歐盟控告的回應也毫無新意，早在他們預期中。

歐盟委員會已經收到Spotify的陳情，也開始評估是否展開調查。

備受區塊鏈產業期待、定位為各種區塊鏈中樞的Cosmos Hub正式問世了。Cosmos Hub是全球首個基於權益證明（Proof-Of-Stake，PoS）的公共拜占庭容錯（Byzantine Fault Tolerant，BFT）區塊鏈，它有3個階段性任務，先求網路穩定性，繼之支援交易，最終將允許跨鏈通訊（ Inter-Blockchain Communication，IBC）。

Cosmos網路（Cosmos Network）專案是由瑞士的非營利機構Interchain Foundation委由Tendermint Inc所建立的分散式網路，它由許多獨立且平行的區塊鏈所組成，每個區塊鏈都採用BFT協定，彼此間可透過共享的中樞互動，目標是建立一個區塊鏈網路，亦發行了自家的加密貨幣Atom。而Cosmos Hub既是Cosmos網路上的第一個區塊鏈，也是第一個區塊鏈中樞。

在Cosmos網路之前，各個區塊鏈都是各自孤立也無法相互通訊，除了不容易建立之外，每秒也只能處理少量的交易，Cosmos則立志要解決區塊鏈在可用性、可擴展性及互動性上的問題。Cosmos Hub的任務則在於藉由高度可用性與安全性的驗證器來強制執行區塊鏈的互動規則，以協調Cosmos區塊鏈網路萌芽時期的生態體系。

至於PoS主要是用來取代現行的工作量證明（Proof-Of-Work，PoW），有別於PoW是以挖礦的運算能力來進行獎勵，PoS則是以權益作為判斷基礎，擁有愈多權益的人愈有機會負責產生新區塊，理論上希望能解決PoW必須耗費大量電力的問題。

這意謂著Cosmos網路的野心在於打造一個全新、且不那麼耗電的區塊鏈網路，它能支撐不同的區塊鏈網路，還能讓不同的區塊鏈互相交流，只是這些區塊鏈之間的交流必須透過Cosmos Hub來達成，但也允許存在多個不同的Cosmos Hub。

除了Cosmos Hub之外，迄今攸關Cosmos網路專案的成果還包括可用來履行BFT複製引擎的Tendermint Core，能以Golang建立BFT複製狀態機的物件能力安全框架Cosmos SDK，以Javascript撰寫、號稱是全球最簡單的BFT複製狀態機框架LotionJS，允許BFT複製狀態機彼此授權的IBC協定，用來驗證區塊鏈網路的Signatory與KMS，以及可在Cosmos區塊鏈上使用的數位簽章程式Cosmos Ledger。

不過，Cosmos Hub的問世只實現了Cosmos網路專案的第一步，估計可能還需要幾年的時間才能步入加密貨幣的交易，或是區塊鏈之間的互通等階段，同時也需要廣大區塊鏈社群的參與，以共同壯大Cosmos網路。

復仇式色情（Revenge Porn）的問題在社交平臺層出不窮，而臉書一直在尋找有效解決的方法，他們現在進一步採用新的偵測技術，來阻止這些色情影片或是圖片遭到惡意散佈，並且成立線上支援中心，更直接地幫助事件當事人解決問題。

復仇式色情是指未經他人同意，報復性地散布他人色情照片或是影片等影像內容，這通常是一種勒索手段，要求其伴侶繼續親密關係，或是為了要懲罰提出分手的一方，影像內容可能在伴侶知情或是不知情的情況下取得。

臉書現在採用新的相片偵測技術，以更快的速度找出在臉書以及Instagram，未經同意分享的裸露照片，臉書提到，受害者通常害怕報復，因此不願意自己回報內容，也有可能根本不知道影像內容被分享，而新技術則可以在有人回報這些內容前，先下手為強找到這些內容。而偵測到的內容會交由社群營運團隊審核，刪除違法社群規則的影像，並在大多數的情況下，同時封鎖分享私密內容的帳號。

2018年中開始的實驗先導計畫，提供一個緊急選項，讓使用者能夠安全地預防性上傳一份私密照片，臉書系統會為照片創建數位指紋，以避免類似照片被上傳至平臺上共享，而使用者上傳給臉書的原圖，會在建立完數位指紋後刪除。臉書提到，新採用的技術可以彌補實驗先導計畫的不足，而實驗先導計畫也將在未來幾個月擴大測試。

而且為了幫助受到破壞性剝削的使用者，臉書還推出Not Without My Consent受害者支援中心，受害者可以在該處找到支援組織以及資源，包括從平臺刪除內容並防止進一步散播的步驟，該平臺也會清楚地顯示受害者親密照，在臉書遭分享的時間。

接下來幾個月，臉書還計畫建立受害者支援工具包，提供與受害者當地文化相關的在地化支援。

隨著Android Q的發布，Google要進一步收緊應用程式使用位置資訊的權限，並將這些控制全交還給使用者。從Android Q開始，Google增加應用程式使用位置資訊的權限選項，從原本只有允許與拒絕，增加為總是可用、應用程式使用期間以及拒絕三種。

位置資料可以提供使用者多元的應用程式體驗，無論是用於尋找餐廳或是導航指示上，但Google指出，位置資訊屬於使用者敏感資料之一，他們希望為使用者提供間單的控制選項，方便控制應用程式使用的資料。

過去Android使用者在位置權限上只有兩種選擇，允許或是拒絕應用程式存取裝置位置，這包括了使用中以及未使用應用程式的情況，而從Android Q開始，使用者將會多一個新選項，可以選擇只在使用應用程式期間，也就是應用程式在前臺的時候，開放裝置位置給應用程式存取使用。

Android將跟iOS一樣，為使用者提供三種位置權限控制選項，分別是位置資訊總是可用（All the time），代表應用程式可以在任何時間存取位置資訊；應用程式使用中（While in use）可用，就只有使用者在使用應用程式的時候，應用程式才能存取位置資訊；拒絕（Deny）則是應用程式無法使用位置資訊。

Google表示，部分應用程式功能只有在使用的時候，才需要位置資訊，像是當使用者要搜尋附近餐廳，應用程式就只需要在使用者打開應用程式的時候，知道使用者的位置就可以了，但也有一些應用程式是在應用程式未開啟，但仍然需要持續進行定位，像是自動追蹤汽車行駛距離的應用。新的位置控制選項讓使用者可以決定與應用程式分享位置資訊的時機，並阻止應用程式擷取不需要的位置資訊。

有鑒於這項位置資料使用政策的變更，可能衝擊開發者的應用程式，因此Google在第一個Android Q的測試版本就發布，提供開發人員更多的時間對應用程式進行必要更新。當應用程式需要於所有時間持續地使用位置資訊，在Android Q中，開發者必須要在Manifest檔案中加入ACCESS_BACKGROUND_LOCATION權限。而在Android 9或是更低版本，當應用程式請求ACCESS_FINE_LOCATION或ACCESS_COARSE_LOCATION權限時，系統則會自動增加ACCESS_BACKGROUND_LOCATION權限。

Google提醒開發者，由於使用者可隨時在設定中隨時更改位置權限，為了保持良好的使用者體驗，開發者應該良好的設計應用程式，以應付沒有背景位置權限或是沒有任何權限使用位置資訊的情況。使用者在了解應用程式需要位置資訊的目的後，也會比較願意開放位置權限，Google建議，開發者可以考慮在使用者啟動應用程式需要位置資訊功能時，再跳出提示要求權限許可，並且切勿要求過多不需要的權限。

03/02~03/15精選AR‧VR新聞

 Google   擴增實境  

Google的YouTube Stories限時動態短片服務，現在也加入AR功能了

Google近日為自家 YouTube Stories影片製作服務加入AR特效功能，YouTube Stories是去年Google推出限時動態的短片製作服務，讓 YouTuber創作者可以製作一個最長15秒的短片與粉絲互動，現在也能結合AR功能，讓創作者自行替短片中的人臉加入動態面具、眼鏡、虛擬帽子等AR效果。甚至，Google還採用機器學習技術，來準確追蹤臉部表情變化，如微笑、皺眉或傻笑等各種不同的動態表面幾何形狀，以便於讓AR動畫呈現效果可以表現更好。

臉書    VR  

瞄準企業應用市場，臉書Oculus今年也將推出VR獨立裝置企業版

除了已經推出兩款VR獨立裝置Oculus Go與Oculus Quest外，臉書旗下VR設備開發商Oculus VR近日被人發現，正在開發企業用VR獨立裝置。有國外媒體發現，Oculus最近在Linkedin徵才平臺刊登一則Oculus Shell軟體工程師的招募訊息中，提及該VR研發團隊正在研發企業版Oculus Go與Oculus Quest，甚至更進一步預告這兩個企業用VR裝置將在今年內推出。並且還提到未來求職者錄取的職務將負責包含軟、硬體整合、建立企業開發人員生態系統，以及SDK開發與SLA服務協議等事項。不過，目前該職缺已不再接受應徵，但從這個求職召募的刊登，也反映出，臉書今年將擴大VR業務，不只消費型市場，未來更要搶攻VR在企業應用市場的商機。

微軟    Kinect體感裝置  

微軟Azure Kinect體感裝置開發套件將於6月正式出貨，售價399美元

去年6月，微軟在自家Build大會上介紹一款結合Kinect體感偵測技術與智慧邊緣裝置的Azure Kinect開發裝置，可以讓企業或開發者用它自行開發結合手勢或體感控制的新應用。微軟前不久也宣布，Azure Kinect的開發套件將在今年6月底正式出貨，目前也已開放預訂，每個售價399美元。該套件包含了一個100萬畫素深度感測攝影鏡頭、7個麥克陣列、單個1200萬畫素RGB攝影機，以及能用於空間與方向追蹤的慣性感測器等。並也整合了微軟Azure IoT Edge邊緣運算服務，讓開發者可以在裝置上利用Azure機器學習、或認知等服務，打造更多結合AI與動作追蹤的智慧邊緣應用。

混合實境    跨平臺  

微軟釋出Azure Spatial Anchors，讓開發者打造跨平臺協作混合實境應用

微軟日前推出一款混合實境空間錨點服務Azure Spatial Anchors，讓開發者能使用混合實境平臺感知空間，精確地指定興趣點，並從支援的裝置回覆這些興趣點，而這些精確的興趣點便被稱為空間錨點。開發者可以利用這個服務在這些空間錨點上附加媒體內容，或是定義錨點的關係，以建構可協作且跨平臺的空間感知應用程式。該服務不只支援自家混合實境裝置HoloLens，亦同樣能在ARKit的iOS裝置，以及ARCore的Android裝置上執行，另外，開發者也能使用Unity或其他原生SDK建置應用程式，透過統一通用空間座標框架，以用來共享混合實境體驗。

AR    焊接  

美技職學校焊接課程也試用AR，訓練學生手眼協調提升焊接工藝技巧

美國一間技職學校Jefferson County JVS近來也開始推廣擴增實境（Augmented Reality）在實驗教學上的使用。該校在一項焊接實驗課程中，開始試用配備AR技術的焊接設備，來幫助學生模擬實際焊接工具的使用。學生只要戴上AR焊接面罩，眼前就能看到各種疊加的虛擬焊接材料，如鋼材或其他材料等，讓他們能在不浪費材料的情況之下，可以反覆練習如何更準確地焊接不同材料，磨練自己的手眼協調能力，以提升焊接工藝技巧，等到熟練到一定程度後，再實際上機來操作。

VR   醫院  

安撫病童有新招，美兒童醫院開始試用VR轉移兒童注意力，讓手術更順利完成

不只是AR，現在VR在醫療上的應用也不少，例如溫哥華一家兒童醫院BC Children's Hospital，近日也開始將虛擬實境技 （Virtual Reality）引進醫院，做為在手術或治療期間，轉移兒童注意力的新手段。該家醫院在這個月已經配置20副VR頭戴裝置，提供給負責各兒科單位使用，希望透過VR裝置與醫療的結合，能夠讓這些兒童患者，專注在與虛擬世界的互動，以便分散他們的注意力，不會因為手術或治療而顯得過於緊張，或痛苦程度得以減輕，讓整個醫療過程，可以更順利完成。責任編輯／余至浩

Google    AR應用  

體驗宇宙大爆炸的奧妙，Google聯合歐洲CERN推出能觀看宇宙誕生的擴增實境App

Google最近與歐洲核子研究組織（CERN）合作，推出一款行動AR應用，這款App，名叫「Big Bang AR」，顧名思議，就是讓使用者能夠以AR體驗方式，來觀看宇宙起源與誕生的過程，包含了宇宙大爆炸、恆星誕生與太陽系形成等，甚至，使用者還可以從各個角度，來欣賞地球隨時間演變發展的過程，並且也能透過手勢與其互動，例如將地球放置手掌上等，還能將互動過程拍下上傳與好友分享。不過，該App目前僅能夠從官網下載，並未正式上架Android和iOS平臺上。

蘋果    AR眼鏡  

傳蘋果AR眼鏡將在今年內投產，最快明年中問世

蘋果AR眼鏡傳聞許久，最近更有資深蘋果分析師透露，蘋果AR眼境預計將在今年第4季投產，最快明年Q2就會正式發布。蘋果要推出自家AR眼鏡，其實早有跡可循，早在今年CES大會就被人發現，它與多家零件供應商接洽，外界猜測就是為了AR眼鏡生產積極布局，甚至距今兩年多前，蘋果執行長Tim Cook就曾透露對於AR應用抱持濃厚興趣，並且也有多個相關AR研究在進行，才催生出後來的ARKit開發工具，將AR帶進行動iOS平臺。隨著明年蘋果AR眼鏡的推出，也將掀起新一波的AR頭戴裝置應用熱潮。責任編輯／余至浩

圖片來源／Google、微軟、HTC、Movable Ink、Philips

 更多AR‧VR動態 

1.Oculus Unity外掛程式現在也能通過SteamVR支援Windows MR裝置了

2.Nintendo Switch推出專用Labo VR套件，預計今年4月上市

3.VR遊戲平臺Steam母公司Valve證實裁員訊息，開除VR硬體部門相關員工

資料來源：iThome整理，2019年03月

美國物聯網軟體商Wind River近日揭露今年在臺的邊緣運算布局，該公司工業應用解決方案全球副總裁Rickyr Watts指出，今年將鎖定機器人應用產業，以協助臺灣業者發展可用於工業應用的協作機器人(Cobot)，來加快實現智慧工廠。

「協作機器人就是個很實用的邊緣運算例子。」Rickyr Watts進一步說明，以往工業機器人系統，大多是單一任務，由一個機器手臂獨自將某個零件從原先位置搬起，再移到另一個地方放置，或是執行一個焊接或組裝動作，過程中沒有人為插手，全由機器人獨自完成。但是下一代機器人系統，將變成是人機協作系統，也就是，需要由人類和機器人緊密的協同合作，才能完成整個產線生產作業，「而要做到這件事，就得靠邊緣運算，才有辦法達成。」他說。

Rickyr Watts指出，當機器人要與人類一起工作時，首先，機器人作業速度，要能跟上作業人員的動作，因此，機器人身上的攝影機，需要在非常短的時間處理完影像，才能很快知道下一步動作該怎麼執行，但是如果每一個動作，都得先上傳雲端做影像處理再回傳，機器人再依據分析結果來執行動作，速度會太慢，「所以運算和影像處理，得就近在本地端的邊緣運算網路（Edge of Network）上執行，動作反應才會快。」

再者，不像傳統機器人作業，未來機器人工作需要近距離與作業員協同合作，甚至彼此就坐在隔壁，例如機器手臂裝完一個IC晶片，作業員再接著裝上其他配件，因此，人機作業安全也十分重要，一臺Cobot協作機器人，除了攝影機外，還會裝上多達上百個感測器，如壓力感測器，來確保整個人機作業流程的安全，他更表示，這裡面的每一種感測器，都可視為是一個獨立裝置，負責特定的安全應用，並且跑在邊緣運算網路環境上。

Rickyr Watts也提到，未來軟體世界將逐漸朝向更靠近裝置端的Edge化的軟體發展，甚至他認為，未來每一個Edge執行軟體都要具備3個功能，包括立即反應（Real Time）、功能安全（Safety），以及資安（ Security）的功能要求，才能夠建立更高可靠、可信賴的邊緣運算作業環境。這也是Wind River未來想要朝向發展的新目標，例如Wind Rive近日也在臺推出最新一套整合雲端管理的邊緣運算平臺Wind River Helix Virtualization Platform等。

論及關鍵基礎設施，許多人可能會先想到與民生需求相關部分，像是供應油、水、電力的單位，一旦遭受攻擊，便會嚴重影響社會整體功能的運作，並且造成人民的財產損失，甚至是重大傷亡。然而，不只有形的關鍵基礎設施受到駭客覬覦，對於一般民眾獲得重大資訊的管道，也成為攻擊者下手的主要目標。趨勢科技資安研究群核心技術部資深協理張裕敏（Ziv）認為，接下來的2年內，散播假消息或是假新聞的攻擊手法，將會更加氾濫，因此，在2019臺灣資安大會之前，該公司於3月18日舉辦的媒體團訪中，張裕敏特別以關鍵基礎設施遭受攻擊為題，探討所帶來的影響與因應之道。

到底關鍵基礎設施遭受攻擊會帶來的影響會有多嚴重？張裕敏以最近傳出疑似遭受網路攻擊導致大停電的委內瑞拉為例，供應該國8成電力的古里（Guri）水力發電廠出現異常，使得委內瑞拉全國頓時陷入了大停電，但至今原因仍然不明。

委內瑞拉大停電發生之後，隨之而來的是公部門與醫療院所停擺，民眾也因馬達無法運作，導致沒有水可用；再者，冰箱內的食物只能任其腐敗，但即使當地居民想要購買食物，由於收銀機不能使用，商店交易竟要求以美金交易，上述的情況，隨著該國一個多星期電力時好時壞，變得更加惡化，嚴重影響該國人民的民生。此外，該國總統馬杜洛（Nicolas Maduro）直指反對派與美國是主謀，這起停電還引發美國和中國之間的政治角力。

攻防不對等，駭客攻擊關鍵基礎設施門檻極低

張裕敏指出，光是水利設施遭受攻擊，自西元2000年至今，可說是不斷發生，他也舉出了近年來多起發電廠、石油公司等，被駭或是遭到控制的事件。

然而，一如現今的資安情勢攻防不對等，張裕敏說，無論駭客需要作案工具、攻擊手法、可利用的漏洞，乃至於尋找目標，都有現成的資源可用。

以作案工具而言，駭客在GitHub上，就能取得Industrial Exploitation Framework等軟體；而攻擊手法的部分，ICS ATT&CK Matrix則提供了各式能運用的方式；由於許多關鍵基礎設施裡的設備缺乏定期安裝修補軟體，駭客可以從美國的ICS-CERT，找到已經被公開的漏洞；最後是攻擊目標的部分，攻擊者可從物聯網搜尋引擎Shodan找尋，甚至這個搜尋引擎還分門別類，能讓駭客尋找指定廠牌的設備下手。

媒體、金融、網路基礎設施成攻擊者的新目標

針對關鍵基礎設施的範圍，張裕敏說，其實相當的廣泛。他引用了我國行政院《國家關鍵基礎設施安全防護計畫指導綱要》的定義，不光是水資源和能源，還包含了政府機關、高科技園區、金融單位、醫療院所、交通，以及通訊傳播等方面。因此，雖然許多能源設施受到駭客攻擊，是與工業控制的操作科技（OT）安全有關，但其實與大眾「知」有關的通訊傳播，也同樣面臨嚴重的威脅。

上述的8大類型關鍵基礎設施中，通訊媒體與其他型態所面臨的攻擊，相當不同。張裕敏指出，針對這種類型的關鍵基礎設施攻擊，駭客可能會針對電視臺、網路媒體，以及社群媒體下手之外，其實最容易聽到的，莫過於所謂的假新聞、假資訊，藉由資料再加工的作法－－例如張冠李戴、過度解讀等，進而操控特定資訊，不只可能會導致錯誤決策，還會造成大眾的恐慌，甚至是引發民眾對政府的不信任危機，換言之，後續帶來影響程度最廣泛的，其實是這種通訊傳播基礎設施威脅。近期影響最大的事件之一，就是2016年美國總統大選期間，出現了大量濫發假消息的推特帳號。

由於這種攻擊會摧毀人民對於政府的信任，因此包含臺灣在內的許多國家，都打算祭出相關的法規，但張裕敏說，由於新聞和社群網路又牽涉到言論自由，各國政府想要加以管制就變得更加困難。

再者，張裕敏指出，金流與網路基礎設施，也是駭客近期下手的重要目標。前者駭客可鎖定後端的資訊系統或ATM，使得無法正常交易；由於現代人幾乎不能沒有網路，因此從DNS、路由器、無線網路、4G或5G網路下手，也成為駭客入侵、竊取隱私，或是進行詐騙的管道。

至於因應這樣的情勢，張裕敏則提出了心法，包含了關鍵基礎設施單位與一般民眾的層面，針對上述的單位而言，他認為要參考各國所制訂的綱要、指引文件，還有防護的措施，並且尋求資安公司的協助等；而對於一般民眾而言，若是能在發現不尋常的現象時，提高警覺，並進行通報，或許可以阻止一場攻擊關鍵基礎設施的事件。

張裕敏舉例，像是臺北市的智慧公車站中，可能預備了提供維護所用的USB埠，若是發現有不明人士連接了USB隨身碟，民眾通報警方到場關切，很可能就避免了這類交通系統遭受入侵的情況。

臺北市資訊局長呂新科在今年1月11日加入市府團隊，擔任臺北市政府機關的資訊舵手，今天首次公開和媒體茶敘，揭露他如何帶動臺北市政府數位轉型的發展策略，他表示，未來將以藍圖式的規劃，將架構性工法帶進專案發展，協助將北市打造為宜居永續的智慧城市。

呂新科為臺灣大學資訊管理研究所博士，曾任文化大學推廣教育部教育長、文化大學資訊管理研究所所長、臺灣大專校院推廣教育協會理事長、電腦教育協會理事等，教育界工作經歷逾20年，今年1月接下李維斌的棒子，成為臺北市新任資訊局長。上任後他首次公開和媒體座談，對於外界好奇他加入市府團隊和以往的工作有什麼不同，他打趣的說，就像參加自由行和旅行團的差別，以往有比較高的自主性，現在則和市長每天早上7點半都有晨間會議。

接下臺北市資訊部門主管，談到如何協助臺北市轉型朝向智慧城市、智慧政府發展，他認為城市都會歷經智慧轉型的過程，資訊局未來希望能以有秩序演進方式，帶動臺北市向Smart Taipei, One City（智慧臺北、共享城市），最終的目標在打造一個宜居永續的智慧城市，而實現這些願景，有賴於底層以數位治理的核心業務系統、政務整合系統、市府共通系統來達成。

他以城市發展的過程為例，每個階段都有需要解決的問題，若是根據個別的都市區塊的需求去發展，最後容易變成疊床架屋、沒有規劃的老舊社區，難以梳理且缺乏結構化。他希望未來市府的資訊系統發展，能夠如同都市更新發展，依據整體的藍圖規劃，根據不同階段的個別需求去慢慢發展、堆疊起來，既能符合結構化，又滿足個別的發展需求。

「以藍圖引導的都市發展過程，是我們希望借鏡到資訊系統的總體發展及梳理的過程」，呂新科表示。

他點出過去各自發展的資訊專案，堆疊出的獨立系統及專案，按照單一的需求最佳化發展，這樣堆疊的系統，不論在前端、應用端、資料庫或網路基礎端都是單一目的的結合，造成以後整合上的困難，也是數位轉型上會遇到的挑戰。以整合性的架構，將框架定義好後，讓業務架構、資料架構、應用架構、技術架構整合為總體的架構，建立起以藍圖驅動的開發模式。

將藍圖驅動的架構工法導入臺北市的e化發展中，就是讓轉型過程以更有秩序的方式演進。呂新科指出讓個別專案的發展按藍圖規劃，由架構導引的發展模式，解決過去單一專案累積的系統開發，所造成的冗餘、整合的問題或重覆預算投資等問題，形成有序演進的系統發展方式。這種以藍圖、有架構方式帶動的發展，和美國政府數位化轉型參考的聯邦企業架構（Federal Enterprise Architecture）概念相似，美國的白宮管理預算辦公室也要求，IT專案需列出的資訊，不只是預算及執行時間，還必需說明專案的應用架構，以及和既有系統的對應關係。

呂新科以都市中某個區塊要做總體開發，應該包括的不僅是區塊內的建築群如何建設，還應該包括該區塊的開發和週邊環境的對應關係，將這個概念借鏡到資訊專案，專案經過統合、評估後才能形成，他相信對將現有臺北市已進行的內部機制作微調、強化，在北市府未來轉型過程中會更為優越，更朝向架構驅動的發展方式。

類似的概念也被運用於臺北市的智慧城市發展目標上，呂新科指出，市府將扮演平臺的角色，建立起框架，讓不同的業者依循框架在城市場域中進行POC驗證，經過驗證測試，促成城市的智慧發展。

由iThome主辦，臺灣趨勢科技以及臺灣駭客協會共同主辦的「臺灣資安大會」，今年邁入第五屆，除了報名人數突破6,500人之外，總統蔡英文在揭櫫「資安即國安」的政策方針下，更首度蒞臨「臺灣資安大會」現場致詞，並且，為了鼓勵許多投入資安研發的臺灣業者，更參觀由30多家臺灣業者組成的臺灣資安館。此外，資安神人IBM Resilient技術長暨IBM資安事業部特別顧問Bruce Schneier也擔任大會主講人，針對萬物聯網、自動化當道的時代，應該如何面對越來越複雜的資安風險發表演說。

連續四年獲得最受歡迎主講人的趨勢科技全球核心技術部資深協理張裕敏也再度分享，當各種關鍵基礎設施都連網的同時，所面臨的資安風險就超越以往單純封閉網路所面臨的危險性，舉例而言，下班時候的塞車，或者是加油一公升卻被計算成二公升費用時，除了系統錯誤，也可能是駭客小試身手。而從烏克蘭電廠遭駭到美國FBI公開說明，美國至少有12個核電相關公司遭受駭客攻擊，我們不禁懷疑，目前各國的關鍵基礎建設相關防護，在駭客眼中是否彈指可破？

 而思科總工程師（Principal Engineer）Sunil Amin也首度來臺分享「數位轉型，安全至上：著眼全局應變多雲時代新威脅」，主要是當越來越多的企業開始朝向數位轉型的同時，也必須要審慎全面的面對各種安全議題，唯有著眼全局，才能夠戰勝威脅。

而上述三位大會主講人的現場演講，也會在iThome臉書專頁同步直播。

隨著企業操作科技（OT）自動化的程度越來越高，原先封閉的環境可能為此與IT環境和網際網路連接，再加上駭客攻擊的門檻已並非高不可攀，在這樣的態勢下，趨勢科技資深威脅研究員Philippe Lin指出，工業環境中已經存在長達十幾年以上的無線電（RF）遙控器，便曝露在可能會受到竄改訊號與惡意配對等危險之中。他在趨勢科技於3月18日所舉行的媒體團訪裡，先行透露即將於2019臺灣資安大會所演講的內容，希望喚起大家對於工業用物聯網裝置（IIoT）安全的重視。

這些操作科技環境的裝置，當時所提供的安全措施，主要是防範操作不當所衍生的危險，然而，時至今日，這些裝置由於缺乏資安防護機制，難以因應惡意攻擊，一旦攻擊者取得控制，便可能因此導致工安意外。例如，操作員會在機臺停機後才進場檢查設備，以免受傷，但駭客要是從中竄改可供識別機臺設備的狀態，讓操作員誤以為已經停止運作，進入廠房，便會面臨遭受攻擊的危險，因此，遙控器的資安問題，很可能演變成工安問題。

工業用無線電遙控器應用範圍觸及各式製造流程

而這裡所提到的無線電遙控器，在全球廣泛應用在天車、移重式升降機、水泥幫浦、農業自動化耕作、自動化碼頭、採礦，以及工業自動化等環境中。Philippe Lin說，他們粗估工業用的無線電遙控器，每年約有至少2,000萬美元的市場，若是被駭客盯上，發動相關攻擊，影響的範圍便難以估計。

Philippe Lin表示，由於過往開發工業用的硬體設備成本極高，駭客想要攻擊的成本所費不貲，然而，這幾年的發展下來，從有了軟體定義無線電（SDR）設備之後，開始出現顯著的變化，像是提供研究無線電專用的USB裝置YardStick1，只需要99美元就能取得，相較於20年前所需的硬體要價480美元，可說是僅要五分之一的成本。因此，在Philippe Lin所屬研究團隊的實驗裡，他們發現，即使是重放攻擊這種聽起來不甚複雜的攻擊手法，卻能帶來非常大的影響。

這裡所提到的重放攻擊，就是駭客將遙控器所發出的訊號複製，再用來對被控端下達命令。Philippe Lin說，理論上編碼器會將無線電訊號以滾碼的方式加密，換言之，遙控器雖然下達了多次相同的指令，但實際上每組電波的封包內容都會不同，假如駭客側錄其中一次的訊號，日後想要用來重放攻擊，由於與接收器認知應該收到的訊號不同，攻擊者便無法操作被控端。然而，在他們取得的7個廠牌遙控器中，竟全部都能濫用重放攻擊手法，向被控端下達特定的命令。

除了重放攻擊，對於擁有前述滾碼防護機制的遙控器設備，駭客也可能進一步逆向工程破解，偽造出指令訊號；若是結合這兩種型態的攻擊手法，則可以不斷發送緊急停止的命令，演變成阻斷服務（DoS）攻擊。另外，遙控器與接收器的配對，同樣有機會被拿來濫用（惡意配對），進而成為另一種攻擊的管道。

但上述的4種攻擊，最大的限制還是要在廠房附近發動，但要變成遠端操作的網路攻擊並不難，Philippe Lin指出，若是駭客使用極為不起眼的小型4G路由器，就可以在遠端進行攻擊，而且在工廠或是工地裡，這種路由器難以被發現。

再者，間接透過燒錄自訂韌體的電腦，可導致供應鏈攻擊，駭客入侵後，甚至使得設備更新韌體之後，有可能變得錯亂而無法運作。

防治弱點有待從開發就將資安納入為設備的一部分

針對上述所提及的攻擊，Philippe Lin說，重放攻擊與緊急停止的阻斷服務攻擊，可透過更新具有滾碼機制的韌體解決，尤其是一般市面上的汽車鑰匙或是鐵捲門控制器，都提供這種機制，他認為，廠商要在遙控器韌體加入相關功能的難度並不高。不過，由於必須一臺一臺更新，因此真正的困難之處，恐怕是在執行遙控器更新韌體的作業。

而對於駭客偽造指令和惡意配對的手法，則是因為遙控器加密的強度不足，甚至是缺乏有關機制，理論上也是要升級韌體，但Philippe Lin指出，有些設備本身沒有提供加密演算法所需的運算晶片，因此連帶也要升級硬體，導致成本大幅增加。

至於供應鏈攻擊，除了要保護修改韌體的電腦（端點防護），也牽涉韌體有關的安全性（嵌入式韌體安全），以及最終的目標，Philippe Lin希望，要從設備的設計之初就納入考量，因此廠商和客戶的資安意識就很重要。

0314-0320一定要看的資安新聞

＃軟體漏洞　＃WinRAR

WinRAR漏洞被揭露的第一周就有超過100種攻擊

在今年2月20日，資安業者Check Point揭露壓縮軟體WinRAR含有超過10年的重大漏洞。最近McAfee更是指出，在相關漏洞被公布的第一周，坊間就出現了超過100種不同的攻擊行動，而且數量還在持續增加。在其中一個攻擊案例中，駭客利用美國歌手Ariana Grande最新專輯《Thank U, NexT》的壓縮檔來當作誘餌，一般人下載該檔案，在解壓縮後可取得音樂檔，但木馬程式也偷偷解壓縮到啟動資料夾，當系統重開機時，此一惡意程式便會自動執行。更多內容

＃臺灣資安大會　＃資安即國安

2019 臺灣資安大會擴大登場，以資安週再創臺灣資安新高峰

由iThome主辦，臺灣趨勢科技以及臺灣駭客協會共同主辦的「臺灣資安大會」，今年邁入第五屆，於3月19日～21日假世貿國際會議中心（TICC），以及世貿一館舉行，共有超過20國、8千人報名參加，逾200家資安廠商與社群組織共襄盛舉，總統蔡英文也將首度於3月19日臺灣資安大會開幕中上臺致詞，並邀請多位國際資安大師演講，同時，備受各界期待的第二屆臺灣資安館，也於本日正式揭開展覽序幕，讓臺灣資安產品能夠順利擴大連結亞洲市場。更多內容

＃PoS安全　＃DMSniff

PoS惡意程式鎖定中小企業，潛藏至少4年

安全廠商Flashpoint近日發現，有一支名為DMSniff的PoS惡意程式已衍生出11隻變種，專門攻擊中小企業竊取信用卡資料，他們認為，可能從2016年起，就被大量用來攻擊餐廳、電影院等休閒娛樂業，但直到最近才被發現，流傳至今已4年之久。

根據分析，DMSniff是藉由暴力破解SSH連線，或是掃描漏洞後並加以成功利用，而植入這些企業的PoS機器中。之後它會持續觀察PoS機的交易，發現「目標」即開始爬梳終端機的記憶體，以尋找該筆資料的信用卡號，再將這些資料連同周遭記憶體打包後，傳送給外部C&C伺服器。更多內容

＃行動安全　＃Android

中國業者利用Android程式竊取使用者通訊錄

資安業者Check Point揭露中國業者Hangzhou Shun Wang Technologies所主導的「順手牽羊行動」，他們藉由在12款Android行動程式中，嵌入該公司所打造的SWAnalytics SDK，來蒐集手機用戶的通訊錄，由於這些程式頗受歡迎且散布在不同的Android程式市集，估計至少已蒐集全中國1/3人口的姓名與電話號碼，所幸這些App尚未滲透到Google Play。更多內容

圖片來源／Check Point

＃Android防毒　＃假冒App

研究：Android防毒軟體只有3成有效，更有2成5反而不安全

圖片來源／AV-Comparatives

國際獨立測試機構AV-Comparatives在今年1月，針對Google Play這個市集的250款反惡意程式App，做了測試，讓所有App在同樣條件下偵測新近2000隻惡意程式樣本。

結果發現，有80款App對惡意app偵測率超過30%，包括MalwareBytes、AVG、Avast、Avira、Bitdefender、Qihoo、ESET、F-Secure、Sophos、TrendMicro、卡巴斯基、McAfee以及Google Play Protect等。但是，除此之外的App若不是偽造程式，就是沒什麼效果，更有24%屬於不安全的程式。更多內容

＃電子投票系統　＃滲透測試　＃Scytl

瑞士電子投票系統漏洞可能遭竄改票數

研究人員近期發現，瑞士準備推行的電子投票系統有漏洞，可能讓駭客竄改選票數字。這是瑞士郵政總局（SwissPost）針對西班牙廠商Scytl為其開發的電子投票系統，徵求外界協助滲透測試所得到的結果。這支由澳洲、瑞士及比利時研究人員組成的團隊，分析該電子投票系統之後，認為它用於確保選票數完整性的系統防護不足，以致於能接觸投票系統的有心人士，得以竄改選票數字。更多內容

＃網站安全　＃臺灣第一

2018年度十大網站攻擊技法出爐，臺灣資安專家研究再獲全球肯定，連續兩年蟬聯第一

圖片來源／擷取自PortSwigger網站

去年的年度網站攻擊技術的前十名，已經於2月底正式公布，共有59項提名，歷經兩個月的社群投票活動，產生去年最值得關注的新研究。這項活動不僅是讓滲透測試的安全人員，可以從中獲得啟發，而網站安全人員，也能關注到最新的攻擊趨勢。同樣值得關注的是，獲得2018年度這項活動第一名的網站攻擊技術──「打破解析器邏輯，繞過路徑正規化並發現零時差漏洞」，是由臺灣的安全研究人員蔡政達（Orange Tsai）提出，連續兩年獲得社群青睞與肯定，達成二連霸。更多內容

＃GPU漏洞

英特爾修補19個Windows繪圖驅動程式的安全漏洞

英特爾發布公告，共修補19個基於Windows平臺的繪圖驅動程式漏洞，相關漏洞可能帶來權限擴張、阻斷服務與資訊揭露等風險。雖然所有的漏洞都需透過本地端存取才能開採，但其中有兩個被列為高度風險，分別是CVE-2018-12214與CVE-2018-12216，均存在於Windows繪圖驅動程式的核心模式驅動程式（Kernel Mode Driver）中，將允許駭客執行任意程式。更多內容

＃雲端服務中斷

臉書、IG同時當機，只因變更伺服器配置

臉書與Instagram在3月13日同時發生大當機事件，許多用戶抱怨無法登入、行動程式無法使用，也無法上傳照片或是網站無法存取等狀況，而臉書公司隔天透過Twitter公布原委，因為他們變更了伺服器的配置。值得注意的是，不只是臉書，前一日Gmail與Google Drive全球也出狀況，臺灣、全球版與歐洲版的G Suite狀態，在3月13日呈現「發生問題」的橘色標誌，另外，蘋果iCloud 也在15日出現大當機的狀況。更多內容

＃App購物車漏洞　＃屈臣氏

調查局公布偵破屈臣氏App網購漏洞一案

圖片來源／刑事警察局

警方在3月11日公布偵破一起網路犯罪事件，是知名外商App的購物車系統遭人利用，以0元購買了超過2,300件、價值1,500萬元的商品，估計有200萬元商品已經出貨，而根據刑事警察局的說明，該業者就是屈臣氏。

去年12月，刑事警察局接獲業者報案，因該業者發現App購物車出現多筆異常訂單，且結帳不符合網站標示金額，警方透過網路IP位址追查，在2月14日查獲2名嫌犯。警方指出，發現嫌犯手機內有屈臣氏的公測版App，主要係利用該APP挑選部分有問題的未標價商品，一旦放入購物車後，就會使商品全部標價都變0元，推測其內部開發管控有嚴重缺失，但目前仍也有一些地方未能釐清，例如，多半購物網站都有防止0元結帳的設計，為何該公司沒有這類防弊功能，或是被繞過，另外是否後端資料庫缺乏驗證等問題。更多內容

更多資安動態
德國提議修法讓暗網平臺供應商承擔刑事責任
微軟修補64個安全漏洞，當中兩個已遭開採
臺灣遭受惡意程式攻擊現況揭露，竟是Botnet攻擊最多國家
用MITRE ATT&CK框架識別攻擊鏈，讓入侵手法描述有一致標準
駭客攻擊門檻大幅降低，工業無線電資訊安全拉警報
假新聞等關鍵基礎設施攻擊將會更加氾濫，趨勢科技呼籲全民需提高發覺異常的意識
【拒絕郵件詐騙，從帳號安全與收信安全做起】2019使用者郵件安全指南
臺灣EDR崛起，AI普及帶來端點防護新局面
基於區塊鏈技術的身分驗證方興起，強調零信任與去識別化

蘋果與史丹佛醫學院（Stanford Medicine）在去年底展開全球規模最大的心率量測研究：蘋果心臟研究（Apple Heart Study），此一凝聚美國逾4萬名受試者的研究主要是比較以Apple Watch及心電圖（electrocardiography，ECG）貼片所偵測到的心律不整是否相符，研究結果顯示出自Apple Watch上收到心律不整（irregular heart rhythm）通知的用戶中，有71%也被ECG貼片發現心律不整的毛病。

早期Apple Watch內建的感應器可監控流過手腕的血液，從手腕上的4個點蒐集數據，再佐以強大的軟體演算法，來計算心臟跳動的頻率與節奏，臨床上最常見的心律不整為心房顫動（Atrial Fibrillation，AFib），而心房顫動又是造成中風的主因，Apple Watch即可在察覺異樣時通知用戶。

參與此一研究的條件是必須同時擁有iPhone及Apple Watch（前三代皆可），但並不包含已內建ECG的Apple Watch 4。總計有419,093名Apple Watch用戶下載了Apple Heart Study程式以參與該研究，當中只有0.5%的受試者收到Apple Watch的心律不整通知，並收到研究單位所寄出的可攜式ECG貼片。

當同時配戴Apple Watch與ECG貼片時，顯示出Apple Watch的脈博監控演算法有71%的陽性預測值（Positive Predictive Value，PPV），簡言之誤報率只有29%；若已被Apple Watch視為心律不整的用戶再收到一次通知，其準確度則會提高到84%。

不過，在這2,100名收到心律不整通知的Apple Watch用戶中，只有57%尋求醫療協助。

從醫學研究人員的觀點來看，僅有0.5%收到Apple Watch的心律不整通知顯示它並沒有過度通知的問題，且穿戴式裝置除了應用在心房顫動之外，應該也能用來避免其它疾病的發作。

招募足夠的專業IT人才，是企業能否順利推動數位轉型的重大關鍵，而這樣的趨勢也反映在IT人力的成長上。根據我們今年的調查結果顯示，臺灣企業IT人力達到43.4人，相較於去年，提升36％，而單就開發人力而言，企業今年擴充的比例是45％。

若以金融業而言，IT人力更是突破2百大關，今年增加的人力也提升到29人，比起去年多了7成。醫療業的部分，今年增加的人力提升到8.8人，比去年多1倍。

不過，從人力增減的角度來看，今年金融業和醫療業招募更多IT人力的幅度，都比去年增長超過一半。

若單就企業今年打算招募的IT人才類型來分析，10大熱門職缺的占比，絕大多數都提升。當中最讓人意外的部分在於，ERP工程師、Java開發人員、AI專才等類型的占比大幅提升。ERP工程師從第7名升至第4名，Java開發人員空降，挺進第6名，AI專才也從第10升至第7。

然而，先前相當受到關注的BigData人才，去年原本是第6名（15％），今年則降至第8名（11.5％）；而專案管理人才的部份，也從第8名（12.8％），下滑兩個名次（10.2％）。

iThome 2019年CIO大調查問卷執行說明

調查對象涵蓋了臺灣2千大企業，搭配iThome歷屆CIO大調查企業中的資訊部門最高主管，及政府一級機構、大專院校資訊主管和資安主管等，來進行線上問卷調查。調查從2019年1月21日到2月19日結束，回收488份問卷，有效問卷數382份。其中有76.7％填答者是企業IT部門最高主管。

 相關報導  【iThome 2019企業CIO大調查（上）】

數位轉型持續帶動IT投資，CIO目標轉向強化企業體質

企業IT預算平均首度破億，IoT投資超越上雲和AI

德國郵政DHL集團在臺成立多年的國際快遞公司DHL Express臺灣近日也首度揭露在臺智慧物流運送的最新應用情況，開始結合車聯網、大數據、機器學習技術，對車隊來做更有效的管理，要讓每天上萬件貨物指派作業，都能改用更有效率的方式來完成配送，未來更進一步還要加入路線推薦機制，來提高司機送貨效率。

目前，DHL臺灣在北、中、南各據點皆設有物流及服務中心，負責每日至少上萬件的貨物運送服務，包含郵件與各類包裹等。並交由全臺3百多人組成的運務車隊負責運送，並且針對每個區域會有各自負責的司機送貨。

然而，DHL Express臺灣運務處副總裁盧嘉棟表示，過去在貨物運送分配上，皆採人工作業，該中心收到客戶的貨件後，會依據送貨地址所屬的區域，再分發至負責該區域的運務車隊司機， 一一來送件到指定場所。光是每日要處理上萬件貨物運送指派作業，就耗費不少人力時間和成本。

用大數據與機器學習，優化每日上萬件貨物指派作業

直到去年，DHL Express在臺自行打造一套貨物自動指派系統，可以根據包裹上的收貨地址，自動比對過往運送歷史資料，找出曾由哪位運務人員遞送過，自動將該貨物指派給他來運送。盧嘉棟透露，該系統也結合了大數據分析與機器學習技術，蒐集了大量資料來分析，來訓練各種預測模型，這些資料有過去每天司機送貨記錄的資訊，包括有快遞需求的公司行號、寄送貨中文地址與快遞司機等，並交叉分析巨量資料，找出各個貨物運送與地域關聯性，在貨物辨識與指派作業上更引進ML，讓整個指派作業可以更快完成。

盧嘉棟指出，自今年上線至今，已有將近7成貨件分派處理，都改透過這套系統來自動指派給負責運務司機，大大的節省許多人工判斷時間，同時也簡化貨物配送的作業流程。

不只貨物指派重新經過優化，在貨物遞送過程中， DHL Express下一步還計畫加入路線推薦機制，讓所有司機送貨路線可以更優化，不再僅能依據每位駕駛的長年經驗自行安排送貨路線，甚至未來也能依據這些送貨地點分布，由系統自動建議適合運送的行駛路線，司機再依據這些路線來依續將貨物送達顧客手中，提高司機送貨的效率。

另外，在車隊管理上，DHL Express臺灣去年初開始整合車聯網通訊技術，來針對車隊進行更有效的管理，盧嘉棟表示，目前是先用車聯網技術來隨時掌握各車輛貨物派送的最新進度，也用在管理駕駛行為上，例如，開車有無急加速、急減速的動作，或是停車怠速不熄火等狀況。這些行車資訊都會透過車上一臺OBU車機回傳到後臺系統上，來做為駕駛行為管理與優化配送的參考依據。若以怠速駕駛行為為例，盧嘉棟指出，光是一整年下來，合計車隊車輛怠速次數足足減少了一半，不僅合乎環保，也因此減少了不少油耗的浪費。

盧嘉棟表示，目前全臺已有多達50輛運務車皆配備了車聯網的功能，占總車隊七分之一，未來也計畫全面在所有的運務車上導入這項功能。

新加坡衛生科學局（Health Sciences Authority，HSA）近日警告，其供應商置放在公開網路上的資料庫於今年1月4日到3月中旬之間，因缺乏適當的保護而允許非授權的存取，使得超過80萬名的捐血人個資曝光。

曝光的捐血人確切數量為808,201，包括他們的姓名、身分證、性別、捐血次數、最近3次的捐血日期，有些還有血型、身高及體重，但並無聯絡資訊或其它機密資訊。

至於負責保管該資料庫的則是Secur Solutions Group（SSG），諷刺的是，SSG宣稱自己是智慧卡發行設備與身分安全的領導業者。

HSA表示，這些資料是由HSA提供給SSG作為更新及測試使用，沒料到SSG竟然將它們擺放在公開網路上，幸好該資料庫是被一名網路安全專家發現，並直接通報新加坡的個人資料保護委員會（ Personal Data Protection Commission），初步調查顯示除了該名安全專家之外，並無其他人存取該資料庫，同時HSA已與他聯繫以要求他刪除資訊。

HSA已要求SSG保全該資料庫，並說SSG已經違反了雙方的合約，另也對外保證由HSA集中管理的血庫系統並未受到影響，未來將加強對供應商的監督及檢查，以確實保障捐血人的個資。