今（27日）宣布臺灣微軟AI研發中心擴建落成，除了現場展示臺灣AI團隊的研發成果，像是應用於Windows 10的企業級人臉防偽辨識系統，以及可辨識反光、皺褶甚至潦草手寫的文字光學字元辨識（OCR）系統之外，臺灣微軟表示，AI研發中心將繼續發揮臺灣在電腦視覺的優勢外，也鎖定了使用者意圖認知和AI垂直產業應用領域，要瞄準行政院5＋2產業創新計畫中的智慧製造和智慧醫療，將AI技術帶進這些產業，以及中小企業。

微軟雲端計算與人工智慧事業部全球資深副總裁郭昱廷表示，微軟十分看重電腦視覺領域的研究，去年，微軟在臺成立AI研發中心，臺灣團隊短短一年就拿下了微軟總部的核心AI研發專案，包括人臉防偽辨識、文字OCR等電腦視覺應用，並交出漂亮成績單，「特別是收據OCR，不到半年就開發出令人驚豔的辨識模組，總部也相當肯定，認為全球沒有其他軟體能夠媲美。」也因為臺灣團隊表現優異，微軟總部決定擴大在臺AI研發中心的規模，要吸引更多人才來開發、優化更多微軟全球性的服務。

人臉辨識防偽達企業級水準，收據OCR連皺褶、反光和手寫都難不倒

今日，臺灣微軟AI研發中心首席研發總監暨清大資工系教授賴尚宏也與同仁在現場展示研究成果，首先是應用於微軟Windows 10的人臉辨識解鎖系統Windows Hello。他解釋，這套辨識系統由紅外線3D深度感測相機與深度學習模型打造，其中的相機模組，是由微軟與臺灣廠商共同設計、生產，而深度學習模型則由臺灣團隊開發，主要是要讓使用者可安全、快速登入系統。

為展示辨識系統的辨識精準度，賴尚宏也利用同仁的彩色大頭照、高解析度大頭照做成的人臉面具，以及大尺寸、由電子墨水列印的黑白大頭照來測試登入系統。如果系統辨識為同仁本人（真人），就會出現綠色框，反之則為紅色框。結果顯示，不論是彩色大頭照還是黑白大頭照，都難以騙過系統（如下圖），能夠達到身分認證的安全性要求。微軟表示，3D人臉防偽技術適用於企業門禁、資訊安全管理方面。

不過，郭昱廷也強調，企圖破解人臉辨識系統的手法層出不窮，臺灣團隊也將持續優化系統，以因應新型態詐騙手段。

接下來則是文字OCR辨識功能。首先，臺灣微軟AI研發中心同仁拿出一包餅乾包裝袋，將其後方的營養成分表以手機拍下，再上傳到自家的社群協作平臺Microsoft Teams，使用內建的OCR辨識系統來偵測相片中的文字。

結果顯示，舉凡文字、數字、條碼，不論是否皺褶、反光，只要是照片中的營養成分表皆能辨識出，甚至連潦草的手寫文字也可以（如下圖）。

另一方面，AI研發中心同仁也拿了一張美國的英文收據來測試，同樣以手機拍照、上傳至Microsoft Teams，再交由系統辨識。由於美國收據沒有固定格式，每家店都可能有自己的格式，因此，微軟利用自家自然語言處理技術（NLP），來從中萃取資訊，並進行分類和檢索（如下圖）。

結果顯示，系統可順利辨識出店家名稱、地址、消費時間，甚至是手寫的消費金額，並將這些資訊自動歸類，降低手動分類的麻煩。

郭昱廷指出，這款文字OCR適用於名片、表格、文件、收據等，並已應用於微軟內部的報帳系統，另外，也在Azure平臺上提供預覽版本（Preview），供使用者下載。同時，這套收據OCR系統也持續擴增辨識語言，以供不同國家的企業使用。

微軟AI研發中心擴建，將鎖定電腦視覺、使用者意圖認知、AI垂直產業應用

隨著AI研發中心擴建，未來除了持續鎖定電腦視覺應用，還要發展使用者意圖認知和AI垂直產業應用。使用者意圖認知是要打造精準的使用者偏好模型，來開發更多貼近使用者行為的應用。郭昱廷表示，臺灣AI研發中心團隊目前進行的專案中，其中之一就是關於使用者意圖認知的Bing廣告預測。

而AI垂直產業應用則是臺灣微軟AI研發中心的長期目標。施立成提到，有別於針對對AI投資規模最大的金融業，這次臺灣微軟要鎖定行政院5＋2產業創新計畫中的智慧製造、智慧醫療，發展工業4.0，同時也要結合臺灣硬體產業，發展AI生態圈。

總統蔡英文也在席中表示，過去，只有專家才能接觸AI，而現在則大量應用於生活中，像是健康助理、商業分析等。她也指出，AI的發展除了靠技術，還靠想像力，而民主自由的臺灣人才，滿足這個條件。她期許微軟臺灣AI研發中心可成為下一世代的關鍵技術的重要推手。文◎王若樸

在我們身邊已經被視為理所當然的連網設施，若是潛藏漏洞，駭客便能用來為所欲為，用來做為進一步攻擊的跳板。在今年首度舉辦的DEVCORE Conference大會上的最後一場議程，是由戴夫寇爾資安研究員Orange Tsai（蔡政達）揭露了中華電信網路數據設備中，因配置不當而能被濫用的漏洞，經通報後，該電信業者已經透過韌體更新的方式，完成修補。該公司的情資中心於7月底，偵測到大量使用者的電腦都開啟了3097連接埠，而引起他們的注意。

怪異的是，上述的連接埠，只能接受從外部連入，而無法從內部網路存取，因此他們認為，這個現象來自電信業者於數據機上的配置所致。根據戴夫寇爾的統計，總共至少有25,000臺網路數據機存在同樣的漏洞，Orange Tsai表示，這還是他們在上班時段檢測的結果，由於許多人下班回到家才會上網，因此實際上受到影響的設備數量，應該遠遠超過這個數字。經過Orange Tsai的研究，找出了能夠下達任意指令的漏洞，搭配預設Root採用弱密碼等環節，攻擊者便能藉此控制網路數據機，進而滲透到內部網路，從中發動攻擊。

戴夫寇爾發現，開啟3097埠的TCP網路連線，只能由外部存取，而無法從內部網路使用。（攝影／周峻佑）

從黑箱抽絲撥繭，發現能濫用命令注入的漏洞

在找出能夠被濫用漏洞的過程中，Orange Tsai說，由於他並不曉得中華電信開啟這個連接埠的真正用途，因此從黑箱測試開始做起。首先，他連線到自己家裡的網路數據機，發現管理介面提供了名為SCRIPT的指令，能讀取設備裡的任意檔案，進而找到ROOT帳號的密碼。附帶一提的是，這組密碼極為容易被猜到，Orange Tsai表示，字串組合的複雜程度極低，類似一般人經常會使用的懶人密碼123456。

得知能夠取得本地端網路數據機控制權的方法後，接下來就是要找出能從遠端存取的管道，Orange Tsai指出，他試圖找出設備3097埠介面上的弱點。透過NETSTAT指令，他找出開通3097埠服務的應用程式OMCIMAIN。想要反組譯卻發現，這個執行檔案大小接近5MB，而且採用的是MIPS精簡指令集架構，Orange Tsai說，由於最為常用的工具IDA Pro並不支援MIPS，他只能看組合語言了解實作細節，並且從功能實作的層面，尋找可能會被利用的漏洞。

最後，Orange Tsai從整個執行檔的工作流程裡，找到名為FALLBACK的功能，這是OMCIMAIN對於不支援的指令進行處理的專用模組。而他發現，經由這個模組的命令注入（Command Injection）漏洞，攻擊者能夠下達任何指令──只要輸入不受系統支援的指令，再搭配？和＆字元，接上真正想要下達的命令，就能進行遠端控制。

攻擊者想要遠端存取數據機3097連接埠的方法，利用的是命令注入攻擊手法，如圖所示的示範指令中，前面的nonexistent是不受管理介面支援的指令，並接上問號和2個＆符號，後方則是攻擊者想要窺探設備密碼資訊的惡意指令。（攝影／周峻佑）

Oragne Tsai也展示了概念性驗證攻擊──先從批踢踢實業坊的使用者名單中，取得受害者的IP位址，並確認其3097埠能否存取，一旦發現可以連線，就下達指令，進而得到網路數據機的ROOT密碼，以及有多少設備透過這臺網路數據機，存取網際網路。他也指出，經由這樣的漏洞，一般人鮮少會留意的網路數據機設備，變成駭客進入家中內部網路環境的管道，因此這樣的威脅，相當值得採用相關設備的業者，加以留意。

而他們經由TWCERT/CC通報中華電信之後，該公司8月底就修補大部分的網路數據機，並在最近全數處理完成。Orange Tsai認為，這樣的因應速度可說是相當迅速，值得贊許。

財金Open API開發平臺亮相

臺灣的開放銀行（Open Banking）有新進展，三階段的開放措施中，首先推動的第一階段是「公開資料查詢」預計9月底正式上線。這個階段以非交易金融資訊為主，且不涉及消費者個人資料。例如，外幣匯率、信用卡產品、分行據點等資訊。至於第二階段「消費者資訊查詢」標準，將有申請產品資訊與帳戶資訊。例如，帳戶開戶與附屬業務申請、信用卡及附屬業務申請、消費者個人資料查詢、消費者帳戶資訊等，預計今年12月，要完成第二階段的技術與資安標準制定。不過，正式上路時間還要依主管機關而定。更多內容

卷積神經網路之父Yann LeCun：自監督式學習能突破目前DL發展侷限

攝影_洪政偉

臉書AI研究院首席科學家、同時被譽為卷積神經網路之父的Yann LeCun，今年更獲得素有電腦界諾貝爾獎之稱的2018年圖靈獎（Turing Award）殊榮，終於在睽違兩年後，今天再度來臺，在匯聚全球頂尖人才的全球影像處理會議（ICIP大會）上，發表自監督學習（Self-supervised Learning，SSL）在深度學習領域的發展，不僅能用來預測文字片段，也已經初步應用在影片未來動態的預測，比如自駕車先預測周遭車輛的行駛軌跡，再決定接下來的行駛方向。更多內容

圖資料庫查詢語言GQL變成國際標準

圖片來源_Neo4j

積極推動GQL標準制定，同時也是圖資料庫（Graph Database）管理系統供應商Neo4j宣布，經過國際SQL標準委員會投票表決，決定將圖查詢語言（Graph Query Language）納為一種新的資料庫查詢語言，因此現在GQL已經成為屬性圖（Property Graph）國際標準宣告查詢語言。

GQL主要來自Neo4j的圖查詢語言Cypher，GQL的倡議是在2018年5月首次被提出來，而經過一年後，包括美國、德國和英國等10個國家，已經投票贊成GQL成為標準，其中7個國家承諾，會由國家專家積極參與專案。參與企業除了Neo4j，還有Redis Labs、SAP和IBM等。Neo4j提到，GQL作為下一代存取資料的技術標準，建立在SQL基礎，確保SQL和GQL的相容與互通性。更多內容

遠傳用AI讓每月詐騙電話數銳減9成

在去年被警政署告知165反詐騙平臺統計的詐騙電話中，幾乎都是遠傳預付卡用戶後，為了防治詐騙分子利用預付卡進行電信詐欺，遠傳電信透過分析通話記錄以打造AI偵測模型，即時察覺用戶通聯異常行為，降低詐騙電話數量。更多內容

中國社會信用系統的監管對象從民眾蔓延到企業了

圖片來源_ Hanny Naibaho on unsplash

根據顧問公司Sinolytics與紐約時報的報導，中國正在將原本鎖定境內14億人民的社會信用體系，擴展至境內企業，這代表在中國活動的企業，不管是本土或外商，也有專屬的「企業社會信用體系」，只要不遵守規則，就會受到懲處。

由中國政府所打造的社會信用體系是為了規範民眾行為所建立，每個人都會有自己的信用分數，若曾偽造車票、強佔座位、挪用公款，或是未繳社會保險費，即可能被禁搭大眾運輸。

專注於分析中國市場的Sinolytics則說，中國政府已著手建立企業社會信用體系，提出逾30類的信用評鑑標準，涉及數百項要求，且該系統的數據基礎設施已經開始運作，已有不少公司的資訊在該平臺上被公開。更多內容

甲骨文以上千臺樹莓派組成超級電腦叢集

圖片來源_臺灣樹莓派

在OpenWorld 2019大會上，甲骨文連結了1,060臺Raspberry Pi裝置成一臺超級電腦叢集，並宣稱這是全世界最大的Raspberry Pi叢集，共具備4,240顆核心。以Raspberry Pi 3 B+每個35美元計算，這臺超級電腦光是板子的價格為37,100美元，當然還不含網路交換器、機架、甲骨文特別3D列印的Raspberry Pi 3外殼、電源、以及電源線、網路線等其他元件。此外，還搭配了甲骨文自家的Supermicro 1U Xeon伺服器作為資料儲存設備。不過和動輒數百萬美元的超級電腦相比，造價仍然十分便宜。

以Raspberry Pi 3 B+作為大型運算並不實用，也不太可能上市。甲骨文此舉主要是為了展示自家作業系統Oracle Autonomous Linux。更多內容

白俄羅斯成首個強制ISP提供IPv6服務的國家

白俄羅斯總統魯卡申柯發布一份名為「關於國家網路區段功能」的行政命令，在網路服務供應商（ISP）部份，該命令除了要求ISP應提供充足網路儲存服務、保障用戶資訊安全及隱私外，並規定為回應網路用戶之需求，提供網路資訊系統及資源的ISP，應從2020年1月1日起完整支援IPv6裝置，所有連線都可跑在IPv6上。此外，所有用戶都會配給IPv4和IPv6兩種IP位址。成為首位將IPv6納入強制政策的國家元首。

根據IPv6-Test的測試統計，目前白俄羅斯的IPv6整體支援率約在13%至40%之間，低於俄羅斯和東歐資訊大國愛沙尼亞的4成以上。

IPv4網址枯竭問題已經發生。2011年APNIC先宣告亞太區IPv4位址即將用罄，目前全球僅剩主管非洲的AFRINIC，預計2019年會發放完所有的IPv4位址。更多內容

Amazon大整30家AI語音平臺，但排除蘋果和谷歌

近期Amazon和微軟、Salesforce、百度等30多家廠商共同宣布AI語音相容計畫（Voice Interoperability Initiative），讓不同廠商的語音服務在同一臺裝置上互通，並使語音產品可支援以多種喚醒關鍵詞啟動。只是不包含Google、蘋果的AI語音助理。

這項合作有四大重點任務。首先是發展能彼此互通、確保用戶安全與隱私的語音服務。其次是打造同時支援多種、同時喚醒關鍵詞的聲控裝置。他們也將發表可將多種語音服務整合在單一臺產品上的技術，以加速語音學習及對話式AI研究發展，提升語音服務的品質及相容性。

透過這項相容合作，Alexa未來將能和微軟Cortana、Salesforce的Einstein、或百度的小度、Orange的Djingo互通，或在同一臺裝置上使用多種語音助理。這批合作的業者名單顯然缺了蘋果、Google、臉書、三星及阿里巴巴，畢竟他們都有打造自有軟、硬生態體系的實力，其中又以Google最強大。更多內容

歐盟法院：谷歌搜尋被遺忘權，只需適用歐盟網域

日前歐盟法院針對法國政府和Google的「被遺忘的權利」官司做出判決，Google僅需在歐盟會員國內，應使用者要求移除連結，不需要擴大推行到全球的搜尋引擎上。更多內容

微軟開源程式碼專用的等寬字型Cascadia Code

微軟今年發表全新的Windows終端機，同時也開發出Cascadia Code字型，開發者可用於終端機，以及其他像是Visual Studio等文字編輯器，因為Cascadia Code支援程式連字（Programming Ligatures），當字型是由組合字符組成，則程式連字功能，將能更方便開發者撰寫程式碼，也能讓程式碼更好閱讀。更多內容

半導體資安標準即將推出草案

自去年9月，工研院與台積電聯手，帶頭成立資安標準工作小組後，其中最為重要的里程碑，就是在今年4月時，取得新標準提案表單（SNARF）的正式案號6506，現在小組成員積極討論與撰寫草案，預計年底送交全球會員投票，進而領先美國和日本，成為全球業界推動資安標準的領頭羊。更多內容

傳統汽車製造商如何實踐數位轉型

中國老牌汽車公司中國第一汽車集團，積極導入數位分身，以虛擬工廠模擬真實的生產線，結合系統資訊流打通整合，推動汽車製造的數位轉型。更多內容

臉書發布了最新的平臺事實查核政策，未來臉書將不會依靠第三方事實查核組織，來審核政治人物言論的正確性，包括貼文以及其發布的廣告，原因是臉書不想影響政治人物的政治言論，並且再次強調臉書只是內容平臺，對於政治人物使用平臺的方式，他們無從干涉。

臉書一直透過第三方事實查核組織來減少虛假新聞，以及其他錯誤訊息的病毒式傳播，像是迷因（meme）或是變造過的影片或圖片。但臉書通訊副總裁Nick Clegg提到，第三方事實查核組織的審查，會成為政治人物辯論的裁判，而他們覺得這樣是不恰當的，臉書不應該阻擋政治人物的言論接觸到他的聽眾。

為此臉書將開始在第三方事實查核程序中豁免政治人物，臉書不會把政治人物所產生的自然內容或廣告，發送給合作的第三方事實查核組織審查，不過當政治人物分享造假內容的連結、影片和照片，臉書計畫降級該內容的顯示，並拒絕將其包含在廣告中。

從2016年以來，當貼文的公眾利益大於傷害的風險，臉書政策便允許這些違反社群標準的貼文在平臺存留，而現在臉書認為政治人物的言論有其新聞價值，Nick Clegg提到，臉書評估言論的公共利益與危害風險，來決定政治人物的貼文具新聞價值，並將考量特定國家情況而定，像是可能處在選舉或是戰爭狀態，另外，各國政治結構也會影響這項政策，包括該國是否具有新聞自由等條件。

在臺灣，查核政治人物言論真實性的工作，現在由多家媒體聯手進行。面對政治人物本身可能就是虛假訊息製造者的現況，由Readr發起了2020年總統候選人之事實查核計畫，與iThome、Right Plus 多多益善研究站、上下游News&Market、公視P# 新聞實驗室、公視新聞、未來城市＠天下、沃草、華視、環境資訊中心、鏡週刊、關鍵評論網及新興科技媒體中心多家媒體合作。

這項計畫首先會以群眾參與的方法，將總統候選人的發言影片轉成逐字稿，在二次驗證逐字稿的正確性後，經訓練的志工標記逐字稿的屬性，最後由各家媒體針對需要驗證的項目進行驗證。針對總統候選人的發言內容進行事實查核，可以幫助選民更深入了解這些言論的真假，並期望解決候選人過度吹捧自己，或是以不實訊息攻擊對手等問題。

混沌工程工具廠商Gremlin現推出，可以模擬實際環境資源缺乏的工具Scenarios，以測試應用程式面對這些資源匱乏的反應，Scenarios的特點在於，能讓用戶以簡單的方式，進行多個資源短缺的模擬。

過去Gremlin提供狀態、資源和網路等各式故障模式，使得用戶能夠測試應用程式的可靠度，而Gremlin現在推出Scenarios解決方案，以簡化測試程序並方便用戶追蹤實驗。Scenarios可以把多種故障模擬串連在一起，並隨著時間擴大影響的範圍，而當這些模擬實驗被創建之後，便會成為資源，團隊可以為其命名，加入描述、假設和觀察。

目前的Scenarios版本推薦了6個測試方案，用戶可以直接複製並開始使用，推薦的測試方案會指導用戶進行混沌工程實驗，並確保應用程式可以抵抗資源限制、不穩定的網路，以及在中斷相依資源之後的反應，進而避免這些故障在未來影響用戶的服務甚至是業務。

Scenarios用戶可以先以較小的故障開始測試系統，像是少量主機的CPU過載，透過創建並串接多種故障情況，慢慢擴大影響的範圍以及程度。官方提到，在使用Scenario進行故障模擬，使用者可以比較實際發生的狀況與預期是否相符，更甚者可能在過程中發現預料之外的事件，用戶以此著手改善，將能有效提高應用程式的可靠性。

Google更新其在GitHub市集中的Cloud Build應用程式，全面強化CI/CD功能，現在用戶可以自定義拉取請求、分支和標籤事件以觸發建置工作，也能在GitHub中檢視建置狀態，甚至還能程式化地創建和管理建置觸發器。

藉由應用程式與GitHub整合，開發者現在可以新增建置觸發器，並自定義在特定儲存庫事件上觸發建置工作，像是可以設定在拉取請求、推送到主分支或是發布標籤時進行建置，開發者也可以為每個觸發器設定不同的建置配置，根據修改的分支、標籤和拉取請求配置建置步驟。

還能夠根據已經修改的檔案，設定是否要觸發建置工作，這個功能可以用來忽略對README檔案的修改，或是只有當特定子目錄中的檔案更改時，才會觸發建置。另外，新加入的拉取請求功能，管理者可以要求拉取請求上帶有註解，才能觸發建置。

而透過應用程式觸發的建置工作，會使用GitHub Checks API自動將狀態丟回GitHub，由於建置回饋直接整合到了GitHub開發人員工作流程中，因此能減少各種頁面的切換。發布到GitHub的更新包括了建置狀態、建置持續時間、錯誤訊息以及建置日誌細節的連結。

在這次的Cloud Build GitHub應用程式更新，也讓開發者可以利用Cloud Build API和Cloud SDK來配置建置觸發器，也就是說開發者可以程式化建置工作，只要透過API請求，或是在json和yaml檔案編寫腳本，就可以程式化創建、更新和刪除GitHub觸發器。

這些Cloud Build和GitHub間的CI/CD功能整合，可以讓開發者更快且更頻繁的驗證拉取請求，並建立基於git的CI/CD工作流程。

Uber本周宣布，正在測試中的新程式將定位為「人們日常生活的作業系統」，準備整合叫車、外送、未來的其它服務與安全功能，亦會新增911簡訊功能。

Uber表示，雖然該公司一開始推出的是共乘服務，但已擴充到食物外送、電動腳踏車到滑板車，也將大眾運輸或直升機整合到Uber程式中，新一代的Uber程式將讓使用者可存取及體驗日益成長的服務類別，包括Uber Rides與Uber Eats，並已在數百個美國與國際城市展開測試。

除了整合各式服務之外，Uber也規畫了多項安全功能，包括為了確定所搭乘的是正確的車輛，乘客可選擇接收4位數的PIN碼以與司機核對；在車上就能回報安全意外；在既有的911按鍵以外，也允許乘客傳送文字簡訊至911，且簡訊上會自動附上旅程細節，包括汽車型號、車牌號碼與位置；除了自拍照之外，也會藉由其它司機的動作，包括眨眼或笑容等方式來驗證司機身分；若乘客下車處鄰近自行車道，也會在下車前收到提醒。

另一方面，Uber將提供司機營收預估、載客需求地圖，以及回程載客請求等功能，以期擴大司機收益。

儘管Uber虧損連連，且正陸續調整組織結構並裁撤員工，但Uber平台目前連結了全球1億名消費者，與超過400萬名的司機及外送員，2014年上線的食物外送服務Uber Eats迄今則已累積超過10億張訂單。

微軟上周宣布，除了支援既有的Cortana與Alexa以外，Xbox One遊戲機用戶將可利用Google Assistant執行語音命令，此一功能目前仍為測試版，且只支援英文，正式版與其它語言預計會在今年秋天出爐。

微軟並非是在Xbox One遊戲機上直接嵌入數位語音助理，不管是要使用Cortana、Alexa或Google Assistant，都必須透過另一個裝置連結，像是Windows 10電腦，或是安裝了上述數位語音助理程式的Android或iOS手機，或是支援上述語音助理的聲控喇叭。

支援更多元的數位語音助理技術，將使Xbox One用戶更容易選擇自己熟悉的語音命令工具來執行功能，從開／關機、音量的調整、暫停、播放、尋找遊戲、連結控制器、切換頻道、登入／登出、截取螢幕畫面到錄製遊戲短片等。

微軟與Amazon在2017年便宣布結盟，以讓彼此的數位語音助理能夠互動，例如可在Windows 10裝置上呼叫Amazon的Alexa，或者是在Amazon的Echo裝置上呼叫Cortana。

至於蘋果的Siri與Google Assistant目前仍然維持各自獨立的狀態。日前Amazon、微軟及百度等超過30家業者共同發表了<a href="https://www.ithome.com.tw/news/133251">AI語音相容性計畫（Voice Interoperability Initiative）</a>，以讓不同業者的語音服務能在同一裝置上互通，而蘋果與Google都未加入該計畫。

昨日週六（28日）早上，蘋果日報的App與網站驚傳網站異常，疑似遭到駭客入侵，在當日11點34分，香港蘋果日報在粉絲專頁上發布訊息，也公開說明了這項消息，指出「蘋果動新聞」手機App與網站疑遭受外來攻擊，導致部分讀者無法登入。

關於這次網站登入服務中斷的事件，發生在28日的早上7點10分到10點30分之間，在臺灣「蘋果新聞網」與香港蘋果日報的粉絲專頁上，都以公開形式發布相關訊息，指出蘋果新聞網App與香港蘋果動新聞都遭受攻擊，像是說明登入系統出現不穩定情況，並且也導致一些用戶無法登入的情況。另外，網路上也傳出這些服務的選單與網站內容有被竄改的狀況發生。

目前這些服務已經復原，不過，他們尚未對外公布遭駭的原因與入侵管道，以及影響範圍，而這也影響到蘋果付費用戶的權益。不僅是網站安全的議題，由於正逢反集權運動與傘運5周年，這起網路攻擊事件也格外受到外界關注。

在蘋果新聞網的臉書粉絲專頁上，昨日也已經表示登入問題已經修復。

美國參議院在上周通過了由Rob Portman與Maggie Hassan兩名參議員在今年初所提出的《國土安全部網路狩獵與資安事件應變法案》（Department of Homeland Security (DHS) Cyber Hunt and Incident Response Teams Act），將要求DHS的資安團隊協助政府及其它私人企業避免網路攻擊，也應在這些組織遭到攻擊時協助緩解。

DHS原本就有許多與網路安全相關的任務，新法案要求DHS必須設立網路狩獵與網路事件應變兩個安全團隊，以永久協助政府機關、重大基礎設施與私人企業來對抗網路攻擊，也要求相關團隊必須廣邀私人企業的安全專家，以提供非政府角度的專業意見。

而不管是地方政府或是非聯邦政府的組織都能在網路攻擊事件中，請求相關團隊提供協助。

Portman與Hassan表示，隨著網路威脅變得更普遍，讓地方政府到聯邦政府都能夠取得強化其網路安全的資源，是非常重要的；該法案將可協助組織降低網路風險，並協助網路架構從攻擊中復原。

另一名參議員Chuck Schumer則進一步提及了近來困擾美國地方政府與各級學校的勒索軟體攻擊，指出當電腦感染勒索軟體時，除非支付贖金，否則便得耗費龐大的成本來復原，讓駭客得以挾持電腦系統來勒索企業、個人或組織。

該法案將等待眾議院的表決通過之後才會送交川普總統簽署。

上周安全公司AdaptiveMobile發現可讓駭客傳送惡意簡訊追蹤用戶位置目的的SIMJacker攻擊手法。另一家安全公司Ginno Security Labs又發現類似的攻擊手法，這次是針對另一種SIM卡軟體Wireless Internet Browser (WIB)而來。

在新發現的攻擊下，駭客可傳送惡意簡訊開採WIB SIM瀏覽器的漏洞取得受害手機的遠端控制權，執行各種惡意行為，像是傳送簡訊、撥打電話、追蹤用戶所在位置、IMEI碼或啟動其他瀏覽器（WAP瀏覽器）等。

至於什麼是WIB，Ginno Security Labs首席研究員Pivi Lakatos解釋，相較於使用固定預安裝選單的SIM工具組app，有的電信業者採用動態SIM工具組，它的選單和使用者對話框都是根據電信業者中央伺服器提供的資訊產生，支援WIB的SIM上所儲存的選單，也是透過電信公司無線更新（Over the Air，OTA）服務來更新。這類功能的app通常稱為SIM瀏覽器或µ-瀏覽器，目前市面上有兩種主要SIM瀏覽器，其中又以SmartTrust公司的WIB最為知名。

歐、亞、美、澳洲有多家行動電信業者，包括Vodafone UK、Cingular Wireless、中國移動等使用SmartTrust技術提供動態漫遊引導（Dynamic Roaming Steering）等進階簡訊服務、控制手機app和管理SIM卡/USIM卡的生命周期。

和上周揭露的SIMjacker攻擊類似，WIBattack也是藉由傳送包含惡意OTA簡訊在SIM上執行SIM工具組（STK）指令的攻擊行動。研究人員發現，手機基頻OS接到這些OTA簡訊後，會直接將簡訊中的指令直接傳給WIB瀏覽器，由於全部過程都在基頻OS發生，Android、iOS、Blackberry等手機作業系統皆不會獲得通知，用戶手機不論是功能手機或智慧型手機，也都不會發出OTA簡訊的通知。這些指令可能包括撥話、傳送簡訊、提供地點資訊、傳送USSD（Unstructured Supplementary Service Data）呼叫、以特定URL開啟瀏覽器、在手機上顯示文字或播放某段音樂等。

所幸和SIMjacker不同的是，研究人員尚未發現到WIBattack實際攻擊。

Ginnoslab研究人員已經向GSM協會通報該漏洞。同時間Lakatos也和Security Research Lab的Luca Melette合作開發SIMtester工具供用戶下載檢查SIM卡是否有WIB漏洞，但是在GSM協會修補完成前，他只能建議消費者購買能提供100%保障的SIM卡，以免用戶在漫遊到其他網路上時遭到攻擊。

上周三蘋果發出安全公告，一項在iOS 13.1來不及修補的iOS漏洞可能使第三方鍵盤app取得手機完整存取權。周末蘋果緊急釋出最新的iOS 13.1.1。

上周三蘋果警告，iOS 13及iPadOS中一項臭蟲可讓連網的第三方鍵盤app取得完整的裝置存取權，即使用戶沒有許可，意謂著iPhone或iPad上的資訊可能從網路洩露出去。

iOS 13.1.1除了修補第三方鍵盤相關的安全漏洞外，還解決了iOS 13.0、13.1的其他惱人問題。包括電池耗電過快、iPhone 11/11 Pro/11 Pro Max上Siri聽不懂指令、Safari搜尋建議關了又自動開啟、提醒功能同步太慢等問題。

不過有媒體報導iOS 13.1.1似乎尚未解決iOS 13即使在訊號滿格情況下，仍會掉資料的問題。

此外，iPhone周末又爆出一個影響舊款iPhone的「無法修補的」漏洞。一個名為checkm8的漏洞存在iPhone晶片遠端啟動服務（bootrom）中，影響所有採用A12晶片以前的iPhone機種。因為本漏洞無法以任何iOS更新修補，使手機永久存在被越獄的風險。

一名代號為Axi0mX的安全研究人員上周對外宣布，他在蘋果所打造的晶片組上發現了Bootrom漏洞，將允許駭客取得iOS裝置的控制權，該漏洞波及A5到A11的晶片組，等於是從iPhone 4S到iPhone X都受到影響，且只有變更硬體才能修補，意謂著它將能形成永久的越獄行為。

被蘋果稱為SecureROM的Bootrom為iOS裝置上的安全啟動程式，它是唯讀的，每當開啟iOS裝置時，處理器第一個執行的就是Bootrom。Bootrom是在晶片製造過程中就被嵌入的，它含有蘋果的根權限，得以用來驗證下一階段所載入的內容。

資安業者Malwarebytes Labs則說，不只是iPhone，採用同樣晶片組的iPad、Apple Watch、Apple TV與iPod Touch也都受到Bootrom漏洞的影響。

Axi0mX亦釋出了基於Bootrom漏洞的checkm8攻擊程式，checkm8現階段只能用來開採Bootrom漏洞，並非是個完整的越獄程式，同時也只能於本地端進行開採，並不支援遠端開採。

儘管checkm8不是個越獄程式，但它將讓越獄變得更容易，讓駭客取得裝置的最高權限，安裝任意程式，或是自沙箱逃逸等。

值得注意的是，Bootrom是個硬體漏洞，只有變更硬體才能修補，這使得蘋果無法像過去一樣：在發現越獄漏洞之後，就透過軟體更新解決。

資安專家認為，這對蘋果與iOS來說是個嚴重的問題，迄今checkm8只代表著潛在的風險，未來它可能造就更多的越獄程式，也可能只是曇花一現地引起注意，或是讓更多的安全研究人員與蘋果能夠進一步改善iOS及其裝置的安全性。

你是不是才安裝Windows 10 1903版？不過下一版更新版即將釋出。1909版在功能性、硬體管理及安全功能上多所強化，而1903版用戶更將可享受到安裝干擾最小化的好處。

微軟於上周五將Windows 10 19H2 Build 19H2 Build 18363.387釋出給Windows Insiders測試方案的Release Preview通道開發人員。加入測試的開發人員可以透過開啟「設定」、「更新＆安全」、「Windows Update」下載試用。這表示代號19H2的Windows 10 1909版更新，將在10月釋出。

微軟對1909版釋出時程始終未鬆口。由於微軟預定於美國時間的10月2日舉行Surface Pro 7產品發表大會，甚至有媒體猜測，1909版最快本周就會正式釋出。

事實上，1909版與其說是Windows 10更新版，更像是一個較大型的累積功能更新或Service Pack。Windows 10 1909最大特色之一是減低更新的干擾性。如果用戶電腦已安裝Windows 1903，則安裝1909版就等於平常透過Windows Update安裝Patch Tuesday的功能更新、安全修補一樣簡單，用戶不必去除舊版Windows、及重新安裝Windows 10。但如果電腦上只有之前（Windows 101803或1809）更新版本的話，就必須重新安裝整個Windows 10。

此外，1909版本在使用性上有多項更新。像是檔案總管加入搜尋功能，讓用戶除了可搜尋本機檔案，也能搜尋自有OneDrive帳號下的雲端檔案，按右鍵就能直接開啟檔案所在資料夾。此外，使用者將能從工具列（taskbar）點入「時間和日期」開啟行事曆，直接建立行程或提醒事項。系統通知設定方面，新版Windows 10中預設以最近日期排列顯示通知，而非寄發者名稱，也加入關閉或管理通知的功能。用戶滑鼠移到「開始」選單時，它的導覽視窗（navigation pane）會自動放大方便用戶找到需要的功能。Windows 10也將允許第三方語音助理如Alexa在鎖定螢幕上顯示，並執行使用者的聲控指令。

1909 版Windows 10 容器將要求主機和容器版本相符，防止Windows 容器支援不同版本的container pods，並加入rotation 政策，可讓運算作業適當分配到CPU偏好的核心確保穩定性和效能。針對硬體廠商，Windows 10 1909也強化搭載特定處理器PC的電池與省電功能、加入新款Intel 處理器的除錯功能，並允許OEM根據不同硬體降低繪圖書寫（inking）的延遲性。

在安全功能方面，1909版加入Windows Defender Credential Guard功能，將支援ARM64裝置，以防這些裝置上的憑證遭竊取。此外，微軟也在這版允許Windows 10 S模式下，以Windows Intune執行Win32 app，以及加入Azure AD裝置上回復密碼的金鑰輪換（key rotation）或key rolling功能，可在Intune控管或每次用戶解鎖BitLocker磁碟後更新密碼，防止用戶回復密碼時不小心曝光。

美國司法部（DOJ）上周公布了鑑識遺傳族譜（forensic genetic genealogy，FGG）的過渡政策，限制警方使用公開DNA資料庫的手法，以在破案及維護民眾隱私與自由之間取得平衡，此一過渡政策預計在今年11月1日實施，正式的政策則可望於明年出爐。

FGG是一個新興的辦案手法，它結合了傳統的族譜研究與新興的DNA分析技術，族譜網站讓民眾自願提交自己的DNA或輸入自己的族譜，以期建立家族史並找到散落在各地的親人，或維持與親族的聯繫。

另一方面，假設警方在犯罪現場發現的DNA無法與FBI的DNA資料庫匹配，警方可能會轉向族譜網站，把犯罪現場取得的DNA上傳至族譜網站，再與公開的DNA資料庫進行比對，也許會找到嫌犯的家族而成為破案的關鍵。

根據估計，美國警方透過FGG辦案手法已逮捕與至少60個懸案有關的嫌犯。

但這類的作法引發了隱私爭議，例如那些上傳DNA的使用者並未同意警方比對他們的生物特徵，或者是沒有上傳DNA的使用者也會因此受到牽連。

於是，在此一政策中，司法部規定警方不得只因為在族譜網站上找到匹配的對象，就採取逮捕行動；而且FGG只能適用於謀殺或強暴等暴力犯罪；而且也應該先使用所有傳統的調查方法，無效後才能採用FGG；禁止警方上傳假的個人檔案以企圖誘拐嫌犯的族人出面；族譜網站也必須向使用者表達會遭到警方搜尋的可能性。

事實上，在察覺警方的行動之後，已有些免費及公開的族譜網站把允許搜尋的預設值從開啟切換成關閉，來保護該站使用者的隱私。

微軟推出雲端原生安全資訊和事件管理（Security Information and Event Management，SIEM）服務Azure Sentinel正式版，讓企業可以在不同規模的工作負載上，進行智慧安全分析。

雲端與傳統本地端SIEM的差異之一在於靈活性，本地端SIEM需要企業自己維護基礎設施以及軟體，而雲端SIEM則沒有這些困擾，且用戶可以依需求擴展使用規模以及儲存容量。微軟在今年二月的時候，釋出了Azure Sentinel預覽版，而在之後收到了12,000個用戶回饋，為此微軟更新了Azure Sentinel並加入了許多新功能，現在釋出正式版本。

Azure Sentinel內建了許多微軟與非微軟的安全資料，用戶只要透過點擊就可以啟用這些內建的資料，增加Azure Sentinel的安全防護能力，而第三方連接器列表現加入更多的微軟服務連接器，讓Azure Sentinel用戶可以跨數位資產，更完整地收集與分析資料。工作簿能以視覺化管理資料，用戶可以直接使用或是修改既存的工作簿，或是自己重新創建。

用戶可以直接使用Azure Sentinel內建的100多個警報規則，來過濾安全威脅，或是使用新的警報引導精靈來創建自己的警報規則，警報規則可以由單個事件觸發，或是基於閾值、關聯不同資料集，甚至是內建的機器學習演算法來觸發。

正式版Azure Sentinel增加了兩種新的機器學習方法，讓用戶不需要擁有機器學習的知識，就可以使用現成的機器學習模型，來辨識微軟身份驗證服務中的可疑登入行為，發現惡意的SSH存取，這個機器學習模型，是微軟使用現有的機器模型，並結合遷移學習技術，讓Azure Sentinel能以單一資料集訓練模型，就能獲得偵測異常行為能力。

另外，微軟還使用融合機器學習技術連接多個來源的資料，像是Azure AD異常登入和可疑的Office 365活動等資料，以偵測散布在服務鏈上不同威脅。

微軟還強化了Azure Sentinel掌握安全威脅的能力，新添加的調查圖（Investigation Graph），用戶可以視覺化並走訪各實體，包括帳戶、資產、應用程式或是URL，以及其相關的活動，像是登入、資料轉移或是應用程式使用，以快速了解安全事故的影響範圍。

Azure Sentinel新增行動和劇本功能，使用了Azure Logic Apps服務，簡化事故自動化和修補的程序，用戶可以發送電子郵件以驗證行動，並封鎖可疑的帳戶，或隔離Windows的機器。

聚集全球駭客的資安會議DEFCON今年8月再度舉辦了Voting Village活動，邀請與會者開採上百款美國正在使用的投票機器，發現每款機器都可被攻陷，並呼籲業者及美國政府應該在明年美國大選前，正視相關的安全問題。

Voting Village所蒐集的投票機器涵蓋了直接紀錄投票機（direct-recording electronic voting machines，DRE），用來審查及維護選民登記資訊的電子版選民登記書（electronic pollbook），以及觸控式電子投票機（ballot marking devices，BMD），它們皆來自Election Systems & Software、Dominion Voting Systems與Hart InterCivic等三大投票設備製造商，也都是正在使用的版本。

結果這些機器在兩天半的Voting Village活動中，全數被與會人員攻陷，DEFCON也在上周出版了相關的研究報告。

要攻陷這些投票機器並不難，事實上，研究人員發現這些機器含有許多非常基本的安全瑕疵，例如傳輸埠完全沒保護，缺乏密碼保護或是使用預設密碼，就算具備安全功能但也沒啟用或甚至被關閉；有些選票掃描機具備網路連結功能，讓駭客可自遠端竄改記憶卡內容；還有些機器上的漏洞已存在超過10年都沒修補；有些選舉裝置先前即曾被踢爆含有漏洞，但修補後一樣出現新的安全漏洞。

安全社群則批評，相關的製造商對於白帽駭客的行徑並未展現出熱情，也未正式參與Voting Village，唯一值得慶幸的是，它們已開始執行協調性的漏洞披露程序。

有鑑於俄羅斯駭客在美國2016年的大選前，就曾駭進美國某些城市的選民資料庫，有理由相信不管是俄羅斯或其它國家的駭客都有可能在明年舉行的美國大選中，再度企圖入侵投票機器。

因此，在此一Voting Village報告中，研究人員即建議，美國應該要全面部署投票後的風險限制審查；也應該要部署紙張投票系統，以最小化風險及再度確認投票結果；並大幅增加預算與資源，來幫助地方投票官員來保護他們的IT架構，否則可能會在2020年的選舉中看到嚴重後果：被攻擊、不安全，以及不信任。

Rust團隊釋出最新的Rust 1.38，支援工作管線編譯（Pipelined Compilation），提升了平行化處理的能力，也為巨集擴充了#[deprecated]屬性，並且會為錯誤使用mem::{uninitialized, zeroed}語法的用例發出警告。

由於在編譯Crate的時候，編譯器不需要完整的相依項目就可以進行建置，其需要的資訊僅是類型、相依項目以及輸出等元資料，而這些元資料都在編譯過程的初期產生，因此從Rust 1.38版本開始，Cargo將在元資料準備就緒之後，自動開始建置Crate。

開發者不需要更動任何程式碼，就能夠使用這項新功能，官方提到，這項更改對於單個Crate的建置沒有任何影響，但是測試實驗顯示，部分Crate圖（Graph）的建置，可以提高10到20％的編譯速度，對於其他編譯工作則改進幅度不大，速度提升的程度取決於執行建置所使用的硬體。

Rust團隊在Rust 1.36版本釋出時提到，由於根本的原因，開發者不可能安全地使用std::mem::uninitialized語法，因此開發者應該以MaybeUninit<T>代替，且避免使用std::mem::uninitialized，不過現在Rust終究尚未棄用mem::uninitialized，因此rustc現在會為mem :: uninitialized或mem :: zeroed初始化錯誤提供Linting功能。

部分類型當包含全零位元模式的行為未被定義時，由於這些類型所代表的類指標物件不可為null，因此當使用mem::uninitialized和mem::zeroed初始化這些類型時，便會出現錯誤，而新的Lint現在會發出警告。不過，由於Rust中仍有許多不為零的類型，因此開發者還是可以使用mem::uninitialized和mem::zeroe，來初始化這些結構。Rust團隊提到，這些檢查並不會針對所有使用mem::uninitialized和mem::zeroed的情況，只會辨識確定會出現錯誤的程式碼。

Rust在1.9版本的時候，加入了#[deprecated]屬性，讓Crate作者可以知會使用者，Crate中即將要棄用的項目，而在Rust 1.38中擴充了這個屬性，現在開發者可以使用std::any::type_name新函式，以獲取類型的名字，像是在執行期間，查看實例化類型參數的具體類型。

官方表示，這是一個除錯用的標準函式庫函式，不能保證字串的明確內容和格式，回傳的值只是該類型的最佳描述，多個類型可能共用相同的type_name值，而這個值在未來編譯器版本可能會變更。

GitHub釋出了CodeSearchNet語料庫以及CodeSearchNet挑戰賽，以推動用自然語言搜尋程式碼的技術發展。CodeSearchNet語料庫是一個龐大的程式碼和自然語言註解資料集，讓研究人員可以用來訓練機器學習模型，並在CodeSearchNet挑戰排行榜上競爭模型的精準度。

搜尋程式碼以重複使用、呼叫或是查看其他人撰寫程式碼的方式，是開發者的日常之一，但是目前程式碼搜尋引擎的表現，與網頁搜尋引擎還有一大段距離，程式碼搜尋引擎還無法良好地理解使用者想要搜尋的目標，而GitHub也提到，當他們使用機器學習技術改善程式碼搜尋時，發現目前沒有標準來衡量改善結果的進展，不像是自然語言處理有GLUE基準，程式碼搜尋缺乏標準資料集來評估結果。

因此GitHub與機器學習新創公司Weights & Biases合作，發布了一個大型的資料集，以幫助資料科學家訓練模型，也推出CodeSearchNet挑戰賽的評估環境與排行榜，同時還附加了幾個用來展示目前技術水準的基準模型。

CodeSearchNet釋出的語料庫，來自GitHub自家平臺的開源專案，他們收集大量以Go、Java、JavaScript、PHP、Python和Ruby程式語言撰寫的函式資料集，以及其說明文件，官方使用解析器TreeSitter作為基礎架構，並發布了資料預處理工作管線，作為其他研究人員在程式碼中應用機器學習的起點。官方提到，雖然這項資料與程式碼搜尋沒有直接相關，但是可用來訓練模型，將程式碼與相關的自然語言描述配對起來。

完整經過預處理的CodeSearchNet語料庫，總共包含600萬種方法，其中200萬是具有文件字串或JavaDoc等相關說明文件，另外還有指向資料原始位置，像是儲存庫或是行數的元資料。GitHub將語義程式碼搜尋上的進展，發布成一系列基準模型，幫助研究人員開始程式碼搜尋研究工作。

而與CodeSearchNet語料庫搭配的是CodeSearchNet挑戰賽，CodeSearchNet挑戰賽的排行榜則使用帶有註解的資料集，來評估程式碼搜尋工具的品質，為此，GitHub收集了一組初始的程式碼搜尋查詢集，並由專業人員註解結果與查詢的相關性。

GitHub從Bing搜尋引擎收集了一般搜尋查詢具較高點擊率的程式碼，並與StaQC（Stack Overflow Question-Code）結合，產生99個針對程式碼相關概念的查詢，並使用基準模型從CodeSearchNet語料庫為每個查詢找出10個可能的結果，最後要求開發者、資料科學家和機器學習研究人員，為這些查詢的結果的相關性進行評分。

這些資料集和工具都在GitHub平臺上對外開放，而GitHub接下來會繼續擴展資料集，包括更多的程式語言、查詢以及註解，為下一個CodeSearchNet挑戰賽做準備。

臉書在今年7月的時候，也公開了自家自然語言程式碼搜尋工具NCS（Neural Code Search），同樣使用了GitHub儲存庫和熱門開發者論壇Stack Overflow上的資料，產生用作訓練模型的資料集，讓使用者可以直接搜尋「如何隱藏Android螢幕鍵盤？」這樣的問題，而模型會回傳相符的程式碼。