全球知名的運動品牌Nike本周宣布,已延攬曾擔任eBay、ServiceNow執行長的John Donahoe擔任Nike總裁暨執行長,準備藉由Donahoe在科技產業的經驗帶領Nike進行數位轉型,Donahoe預計在明年1月1日走馬上任。
ServiceNow為美國的雲端運算供應商,也在紐約股市掛牌,目前Donahoe仍為ServiceNow執行長,要等交接完成後才會離開。
現任的Nike執行長Mark Parker表示,Donahoe在電子商務、技術、全球策略及領導能力上的專長,讓他成為協助Nike加速數位化轉型的不二人選。Parker在交棒給Donahoe之後,將擔任Nike董事長一職。
59歲的Donahoe不僅曾擔任管理顧問公司Bain & Company的執行長,也曾是全球最大拍賣網站eBay的執行長,現在還是PayPal的董事長,並於2017年加入ServiceNow。
其實浸淫科技圈數十年的Donahoe,在過去並非與Nike全無交集,他在2014年就進入了Nike董事會,一直到現在。
Google於在秋天釋出Android 10,但前一版的Android 9安裝率還不及25%,但Google說,Project Treble推出後,已經大幅提升最新版本普及程度。
Google於9月初釋出Android 10,但將近2個月後Google還沒能給出最新版Android的安裝率資訊,只有去年8月初釋出的Android 9(Pie)資料。根據Google周三提供的報告,截自8月底,Android 9的安裝比例僅為22.6%,不過Google表示,這已是所有版本中比例最大,相較於Android 8.0在釋出一年後的成績(8.9%)好很多。Google歸功於2017年推行的Project Treble。
Project Treble的變革核心就是將廠商實作(主要由晶片廠商撰寫、依硬體而異的低階軟體)和Android OS 框架切開,做法就是在兩者之間新加入一層廠商介面。Android中和特定硬體有關的部份可以直接存取廠商介面,裝置廠商想把新版Android部署到用戶端時,只要更新Android OS框架就完成了,不用動到晶片程式碼。
Google表示Project Treble效果,首先展現在更多裝置已經可以跑Android。去年Android 9 Pie Beta版釋出時,除了Google Pixel之外,只有7家品牌商支援Android 9 Pie Beta。到了Android 10時支援,Pixel以外的裝置已增加到18款。
Google也提供安裝Android 8(Oreo)、8.1(Oreo MR1)及Android 9 Pie的裝置數量報告。在釋出400天後,跑Android 8、8.1的裝置各約為300萬支。但到了Android 9時,已經翻了一倍,達到600多萬支。
Google也和晶片廠商合作把複雜的底層工作做掉,以加速硬體升級Android的速度。Google說硬體業者從Android 8.0到9 Pie平均升級時間縮短了超過3個月,預期Android 9到Android 10還會再更短。
為了推廣Android 10,Google今年還分別宣布動態系統更新(Dynamic System Upgrades,DSU)及Project Mainline。前者讓使用者在Android 10手機安裝Google簽發的Generic System Images,不用動到手機記憶體即可啟用,先試用新版Android(11)之後再安裝。Project Mainline則讓用戶可以透過Play Store,直接下載安裝新版Android。
雖然Project Treble已見成效,但從Google推廣最新版Android效果和投注心力的比例來看,相較於蘋果可以說相當辛苦。根據蘋果公佈的資料,9月20日釋出正式版本的iOS 13已經跑在55%的iOS裝置上,超過跑前一版本iOS 12的裝置比例(38%)。再之前的所有版本總和比例只剩7%。
日本一家連鎖飯店的陪伴機器人雖然噱頭十足,但是被一名安全研究人員爆料有軟體漏洞,讓任何人都可以駭入用以遠端偷窺未來入住的房客。
Lance R. Vick指出,日本H. I. S.集團下的怪奇Hotel(Henn na Hotel)連鎖飯店置於床邊的機器人Tapia,可能會被植入未知來源的程式,使機器人的攝影機和麥克風,可被用來遠端監看未來入住同間房的住客。他在上個月警告飯店一星期沒有接到回應,於是發動攻擊,以NFC裝置在機器人系統植入了「未簽發的程式碼」並且昭告天下,要大家知道這家飯店對安全和隱私的輕率。
這種機器人類似Google/Nest Home,具有對話能力、可報氣象、行程,還支援臉部辨識、視訊會議、連結物網裝置。位於東京灣近迪士尼的舞濱區的怪奇飯店,導入了100台的Tapia。除了蛋形的Tapia,為了2020年東京奧運,怪奇飯店還打算在所有10家飯店導入各種機器人,包括站櫃台的恐龍和人形機器人。
H.I.S上周證實此事,也表示已經修補好安全漏洞,並加入防止未授權存取的措施。
由Google科學家所打造的54量子位元處理器Sycamore,在本周登上了《自然》(Nature)期刊,指稱Sycamore在200秒內所執行的運算量,若是以全球最快的超級電腦來執行,必須要耗費1萬年。打造全球最快超級電腦Summit的IBM很快就出面反駁,表示傳統系統其實只需要2.5天,就能完成Sycamore任務。
即使Google在多個描述此一Sycamore研究的部落格中,都未提及Summit,試圖不引起戰火,且IBM也未以Summit對號入座。但《自然》上的論文的確是以Summit作為比較的對象。以Summit作為目標並不難理解,畢竟它是目前全球最快的超級電腦,運算效能達148.6 petaflop/s。
IBM說,量子霸權(Quantum Supremacy)一詞,是在描述量子電腦終有一天會達到傳統電腦無法到達的境界,它指的應該是執行一個隨機的量子電路,且沒有任何一台傳統電腦能夠模擬其電路規模,但現在的量子運算並未達到此一門檻。
IBM指出,Google的實驗展現了量子電腦獨有的資源,像是直接存取糾纏與疊加,但傳統電腦也有自己的資源,包括記憶體階層、硬體中的高精度運算、各種的軟體資產,以及大量的演算法知識等,因此,當把量子電腦與傳統電腦相提並論時,應該要考慮傳統電腦的所有能力。
有鑑於此,IBM認為,若把同樣的量子運算任務移到傳統系統上,大概只要2.5天就能完成,且運算的保真度更佳,而且這是在最壞狀況下的保守預估,若進一步微調還能降低成本。
德州大學奧斯丁分校的電腦科學榮譽教授、也是量子運算及運算複雜度理論專家的Scott Aaronson,也支持IBM的說法,他認為Google的科學家忽略了傳統系統的優勢,而「量子霸權」並不會具備像人類首次登月般的里程碑意義,它可能會在某個時刻擊敗傳統運算,但在某段時間內,傳統運算仍會有反擊的能力。
IBM也是量子運算的先驅之一,亦開發了具備53量子位元的系統,IBM雖然反駁了Google對傳統運算的看法,但同時也說對Sycamore的成就印象深刻,如同Aaronson所說的,雖然這是件奇怪的糾紛,但Google與IBM在量子運算領域的貢獻,都非常值得讚賞。
微軟本周公布了截至今年9月底的2020財年第一季財報,指出該季創下331億美元的營收,成長14%,淨營收為107億美元,成長21%,而Azure仍是所有微軟業務中成長最快的,增加了59%。
根據微軟的部門與營收分類,生產力與業務流程(Productivity and Business Processes)創造了111億美元的營收,成長13%,且Office 365的消費者訂閱數量達到3,560萬;而智慧雲端(Intelligent Cloud)的營收亦達到108億美元,成長27%,其中光是Azure營收就比去年同期增加了59%;更多個人運算(More Personal Computing)則貢獻111億美元營收,成長4%,當中最受矚目的是Windows商業產品與雲端服務營收增加了26%,而Surface營收則下滑了4%。
雖然微軟的雲端服務散布在上述三大部門,但微軟財務長Amy Hood表示,微軟在新財年有個強勁的開始,該季的商業雲端(Amy Hood)服務締造了116億美元的營收,成長36%。被微軟歸類為商業雲端的服務涵蓋了Azure、Office 365、Dynamics 365與Enterprise Mobility + Security Suite(EMS)。
若將成長最快的微軟產品或服務進行排序,那麼前三名依序是Azure的59%、Dynamics 365的41%與伺服器產品及雲端服務的30%。只是,Azure的成長速度已不如以往,該服務的營收在上一季成長了64%,上上季成長了73%。
根據PwC在今年所公布的《全球百大市值企業排名》(PwC’s Global Top 100),微軟已經擊敗了在排行榜上蟬連8屆冠軍的蘋果,榮登全球市值最高企業,大部份應歸功於在2014年接掌微軟執行長的Satya Nadella,也讓微軟今年替Nadella加薪了66%。PwC所計算的是2018年3月到2019年3月間的企業市值變化。
目前全球市值最高的前四名企業皆為科技業,但排行有所消長,以10月23日的收盤價來看,市值最高的是蘋果的1.1兆美元,微軟為1.06兆美元,Alphabet為8,725億美元,Amazon則是8,717億美元。
覺得現代科技太冰冷嗎?法國一名博士生發展出一種人工皮材質,可讓智慧型手機等科技更「有血有肉」。
巴黎高等電信學校(Télécom ParisTech)博士生Marc Teyssier為首的團隊,研發出名為Skin-On的介面,具有類似人體皮膚的柔軟度。Teyssier解釋,當人們面對面互動時,可用接觸來表現情感,輔助語言表達。但現代科技如智慧型手機中介下的溝通行為少了觸覺元素。Skin-On就是希望能為現有科技,包括手機或機器人補足缺失的觸覺。
研究人員的重點在讓人工皮的顏色及厚度、觸感類似真實皮膚,還研究手勢如何表現於皮膚上,設計出多點觸控、按壓及戳、拉、搓揉等複雜手勢,並且需要製造出具人皮空間敏感度的感測層,來追蹤自然手勢。之後,為了模仿人皮三層結構(表皮、真皮及皮下結締組織),研究團隊利用特效化妝常用的矽膠、下面舖設導電織線、加入仿造皮膚厚度的膠質,最後將各層黏合、上色成Skin-On。
過程中研究人員也使用了Arduino開發板,並撰寫簡化Arduino及Unity通訊的Unity plugin,名為Uduino。
作為一個研究專案,Skin-On略顯粗糙,也沒有提及感測精準度。Teyssier表示,擬人機器人的人工皮強調複製觸覺靈敏度及感測能力,但Skin-On還能提供豐富手勢,像是捏、掐,更具互動性、真實感和變化。例如可以點壓人工皮來和app互動,或是捏一下手機背來調整音量,也能加在滑鼠、錶帶或遊戲搖桿上。
Google預告明年即將到來的Chrome 80,將會正式啟用新的Cookie安全模型,未來開發者想要跨網站存取Cookie,必須要明確的使用SameSite=None語法,當沒有特別指定的時候,Chrome將預設拒絕Cookie被跨網域存取。Mozilla確認會支援新的Cookie分類模型,並在Firefox實作SameSite=None,而微軟將在Edge 80開始實驗性測試。
網站通常由廣告、內容推薦、第三方小工具以及社交平臺嵌入等各種外部服務共同組成,當使用者瀏覽網頁的時候,這些外部服務可能會在瀏覽器中儲存Cookie,並在之後透過這些Cookie來個人化使用者瀏覽體驗,或是量測受眾的參與度。
Cookie的使用分為跨網站(Cross-Site)與同網站(Same-Site)上下文,每個Cookie都有一個相關聯的網域,當Cookie關聯的網域和瀏覽器網址列中的網域不相同,則視為跨網站上下文(下圖),反之,當Cookie關聯的網域和瀏覽器網址列中網域相同,則會被視為同網站上下文,通常同網站Cookie是用來登入個別網站、記錄使用者偏好,並支援網站分析之用。
.png)
去年主要瀏覽器都支援了SameSite這個屬性,讓開發者增加Cookie存取限制,避免被意料之外的外部服務存取,以提高Cookie安全性,但由於需要額外增加設定,限制才會生效,因此現在Google決定讓預設從嚴。
主要的瀏覽器在去年都為Cookie加入了SameSite屬性,當開發人員使用SameSite=Lax或是SameSite=Strict,就能防止網站Cookie被外部服務存取,但是目前仍只有很少的開發人員遵循這個推薦實作,而大量同網站的Cookie仍對外暴露,產生跨站請求偽造攻擊的威脅。
因此為了保護更多的網站和用戶,Chrome將採用新的安全模型,預設保護所有的Cookie,除非進行額外設定,否則瀏覽器會拒絕外部存取同網站Cookie。開發者可以使用新的Cookie設定SameSite=None,來指定Cookie允許跨網站存取,而使用這個新設定還有額外的安全限制,外部只能透過HTTPS連接存取。如此,瀏覽器也能為用戶增加額外的控制功能,讓使用者自己決定哪些Cookie接受外部存取,以增加安全性與透明度。
這項新的Cookie安全模型將會在2020年2月發布的Chrome 80開始實施,Cookie沒有指定SameSite值都會被視作SameSite=Lax,而使用SameSite=None且使用安全連接,才會允許外部存取。由於這項改變對影響不少網站的正常功能,Google建議開發者應該儘早開始測試,而且許多函式庫和語言都還沒有支援SameSite=None,因此開發者應該直接設定Cookie標頭。
另外,未支援SameSite=None的瀏覽器,包含部分版本的Chrome和Safari等瀏覽器,可能會以意想不到的方式執行SameSite=None,開發人員應該為這些瀏覽器撰寫例外程式碼。
美國聯邦調查局(FBI)本周發布了一篇文章,警告舉凡在網路上提供線上支付機制的美國中、小企業或政府機構,應該要留意駭客的線上盜錄(e-skimming)行為。
所謂的線上盜錄是駭客在網站上注入惡意程式碼,以竊取使用者的支付卡資訊或個人身分資訊。FBI說明,駭客也許是藉由網釣攻擊,或是透過第三方服務供應商的安全漏洞而進駐受害網站,在利用惡意程式即時捕獲消費者所輸入的資料之後,再於暗網中銷售,或以這些支付卡資料進行消費。
FBI建議各網站或政府機關應該要定期更新軟體;不使用預設的系統憑證,也應建立強大且獨一無二的密碼;啟用多因素認證機制;不要點選來路不明的連結,小心郵件中的附加檔案;並且適當隔離網路與功能。
迄今歷史最悠久的線上盜錄集團之一為Magecart,資安業者RiskIQ最早在2010年就曾發現Magecart的蹤跡,Magecart的手法可能是直接於目標網站上或是藉由供應鏈攻擊,在支付網頁上植入惡意的JavaScript,以竊取消費者的支付卡資訊。
根據RiskIQ今年的統計,全球已有超過1.8萬個主機遭到Magecart入侵,在所有的惡意廣告中,就有17%含有Magecart盜錄程式,分散在全球的Magecart命令暨控制伺服器則有573個。
Google上周剛發表全新Pixel 4系列手機,今天(10/24)正式在臺灣上市,並首次從線上走到線下,和台灣大哥大合作銷售,並可搭配電信資費以較低的價格購買手機。
Google是在10月15日向全球發表Pixel 4(5.7吋FHD+ OLED螢幕)與Pixel 4 XL(6.3吋QHD+ OLED螢幕),均採用高通Snapdragon 855處理器,後方相機為1600萬畫素及1220萬畫素的雙鏡頭,Pixel 4內建2800mAh電池,而Pixel 4 XL則是3700mAh,均內建6GB記憶體,容量分別有64GB及128GB兩種,Pixel 4售價24600元起,Pixel 4 XL則從29550元起。
這次Pixel 4在臺上市,Google首次和台灣大哥大合作,一改過去消費者只能在Google Store網站購買空機且無法實機體驗的缺點,民眾可在台北信義區台灣大哥大旗艦店、三創旗艦店等門市的Google手機專區開放實機體驗,除了Pixel 4、Pixel 4 XL外,還有上一代的Pixel 3a手機。
Google硬體副總裁彭昱鈞表示,過去對Pixel手機感興趣的消費者,可能因為僅能在Google商店線上購買而卻步,這次和台灣大哥大合作,在門市展售Pixel手機,提供了消費者實際體驗手機的機會。
而過去民眾只能向Google線上購買空機,現在台灣大哥大用戶可搭配電信資費,以較低的價格入手Pixel 4及Pixel 3a,台灣大哥也祭出24、30、36個月的綁約資費,以Pixel 4選擇綁約36個月為例,月租費999到最高的2699元,Pixel 4 XL綁約後手機優惠價為20900元到0元,Pixel 4則是15900元到0元。
Google Pixel手機由線上銷售走到線下銷售,台灣大哥大威秀門市除了展售手機,一旁也有Pixel手機相關配件區:
Pixel 4(5.7吋FHD+ OLED螢幕)與Pixel 4 XL(6.3吋QHD+ OLED螢幕),均採用高通Snapdragon 855處理器,後方相機為1600萬畫素及1220萬畫素的雙鏡頭,Pixel 4內建2800mAh電池,而Pixel 4 XL則是3700mAh,內建6GB記憶體,容量分別有64GB及128GB兩種,Pixel 4售價24600元起,Pixel 4 XL則從29550元起。
相較於前一代手機Pixel 3內建Pixel Visual Core晶片,專門用於影像處理,Pixel 4搭載一顆名為Pixel Neural Core晶片,導入神經網路技術,Google也強調Pixel Neural Core是專為Pixel 4打造的引擎,以執行Motion Sense、人臉解鎖、Google助理,還有絕佳臉孔、常見面孔等相機功能。另外,手機也內建Titan M安全晶片,以保護重要資料及Google服務使用安全。
手勢感應更方便、相機更強大
新一代Pixel手機的亮點之一為Motion Sense手勢感應功能,手機內建微型雷達感測器,可偵測手機前方的手勢動作,當你使用YouTube音樂功能時,手掌在手機前方向左右滑動便能切換上一首/下一首,也能關閉鬧鐘或是將手機來電轉為靜音。手勢感應適合在不方便用手碰觸手機的情形下,例如開車、在廚房烹煮料理時使用,但並不是所有功能都能透過手勢感應控制。
為了讓消費者體驗Pixel 4的手勢感應特色,Google在北市信義區台灣大旗艦店及威秀影城商圈內,設置幾臺特殊的夾娃娃機,與傳統夾娃娃機用搖桿控制不同,這些娃娃機利用Pixel 4的手勢感應取代搖桿控制夾子移動、抓取物品。
至於一直以來在Pixel手機上,一直頗獲好評的相機功能,這次Pixel 4升級了夜視拍攝功能,使其可以拍攝較佳的夜晚星空影像。
彭昱鈞指出,Pixel 4的夜視拍攝功能背後結合了多項技術,除了高階的相機硬體,還有強大人工智慧演算法,辨識拍攝的多張影像,再予以疊加合成為最佳的影像。
許多手機拍照經常碰到背光場景,例如想要拍攝夕陽下的城市大樓,夕陽和大樓的明暗對比太高,導致不理想的拍照效果,不少相機提供了HDR動態範圍拍攝功能,由相機自動平衡亮部和暗部的曝光效果,但Pixel 4新增了雙重曝光,相機自動辨識影像中的亮部及暗部兩區域,使用者可自行手動控制亮部、暗部區域各自的曝光程度,調整出自己想要的曝光效果,並且在拍照前就能預覽調整的效果。
除了Pixel 4正式開賣,Google和台灣大哥大也預告智慧喇叭產品,第二代Google Nest Mini將在年底前進入臺灣,售價為1785元。這是Google在臺灣首次推出的智慧喇叭,Nest Mini的Google助理將符合國人的說話習慣,而通過認證的週邊產品、中文內容服務也可望一起登臺。
中華電信最近與凱基銀行聯手進行的金融監理沙盒實驗,也就是透過手機號碼作為身分評等驗證,來申辦凱基銀行信用卡或貸款服務,取代傳統徵信的信用評等。中華電信大數據處總監楊秀一昨(23日)揭露了設計這項服務背後的關鍵作法。
楊秀一指出,這個實驗鎖定有小額貸款或信用卡需求、但沒有足夠金融信用紀錄的民眾,比如社會新鮮人、學生,要來提供一個有別於徵信機構評等的方法。團隊認為,這些民眾雖然信用紀錄不足,但應有足夠的電信使用紀錄,而電信業者原本就利用這些資料來了解客戶行為,比如消費、訂購、繳款等,進而建立電信客戶評價機制。楊秀一表示,這個機制在電信業可行,應當也可作為金融業務的徵信評等標準。
而中華電信和凱基銀行也早在2016年下半年,就開始進行討論。但礙於法規限制,直到2018年金融沙盒法案推出後,團隊才開始申請沙盒、進行實驗。
實驗的第一步,就是思考電信評等機制如何對應到金融徵信評等。在團隊仔細挑選測試樣本後,便設計了專門的Clean House實驗室,不僅「無實體連外網路,人員也都配有單獨門禁與監視器,」來嚴格把關個資不外洩。在實驗室中,團隊進行了樣本資料去識別化、比對各項數據,建立信用評等模型,並產出研究分析報告,更在離開實驗室時,「銷毀所有資料,」只將最終的報告帶走。
「這份研究給了我們相當的信服力,說明在特定條件之下,電信評等確實能作為金融評等的依據。」不只如此,電信評等也能辨識申請人身分,可在申請人授權之下,將電信對申請人的評等資訊,轉交給銀行業者來進行核貸、發卡。
這項沙盒實驗日前已順利過關,凱基銀行更在本月初,推出手機號碼辦貸款和信用卡的服務,申請人只要持有中華電信門號6個月以上、正常繳費,就能使用該服務,號稱只要3分鐘就能申辦完成。
楊秀一指出,這個經驗告訴他,行動身分認證可作為創新應用,只要客戶授權自願將電信資料提供給第三方服務商,就能帶動跨產業創新服務發展的契機。
除了提供對外數據分析服務,中華電信大數據處也執行了許多對內的數據分析應用。其實,早在大數據處成立前,中華電信就已擁有20多年資料倉儲經驗,資料探勘作業10多年來也未停歇過。現在,更進一步發展為資料驅動業務,在對內業務上,鎖定了客戶精準行銷、網路精準建設、門市推薦,以及營運成本節降等面向。
對中華電信來說,大數據分析也是營運決策的重要參考指標。楊秀一舉例,業務單位常與大數據處資料科學家合作,從數據洞察中得到支持論點,作為業務推動的參考。不只如此,「中華電信營運長也在每周會議上,運用大數據處提供的分析結果,與各行銷業務主管討論、制定新策略,」要使營運管理更加精準。文◎王若樸
近年來,司法院持續改革IT建設與資訊系統,推動對內外服務的電子化。司法院資訊處長王金龍表示,司法院下轄了所有法院的IT建設,凡是有軟硬體建設的需求,都得由司法院統一採購或開發;各法院的資安防護系統也均串連到司法院,由中央直接監控,甚至各法院資訊室主任人事調動權限,也由中央一條鞭控管。
因此,司法院資訊團隊在做決策時,需要考量到轄下所有法院的需求,依據各需求的急迫性與重要性來安排建設的優先順序,將預算花在刀口上;而且,在推動IT決策時,為了不受來自法官的壓力,也需要一位資深法官做為資訊團隊的靠山,來建立一套內部對話機制,這也是歷任資訊處長均為資深法官的原因。
而具有26年法官經歷的王金龍,也揭露了上任兩年多來的IT建設,其中一項新上線的對外服務,是今年5月底開始試辦的「民事強制執行線上聲請」,已經正式在8月上線,這也代表,法院一年收件超過100萬件的民執聲請,不必再紙本遞狀了。王金龍表示,若線上申請成效佳,就能減少法院收取不同格式的聲請表後,再人力登打進電腦欄位的成本。
這項服務,先由台新、日盛、凱基、富邦銀行來試辦,這是因為,民執案件的聲請者9成來自金融機構。為此,司法院提供了民執聲請狀的格式,讓金融機構能串接API來線上聲請,只要文件格式設定相同,就能直接對接欄位、大批匯入資料,再進行人工複查即可,能減少人工登打的作業量。「而且金融機構需要用工商憑證登入,留下紀錄後就不能否認遞狀。」王金龍表示,這也讓聲請者的身份認定較無疑慮。
民執聲請也是電子訴訟的其中一項申辦業務。電子訴訟是司法院在104年推出的便民服務,提供民眾線上申請收容事件、智財行政、稅務行政及民事等四種訴訟案,能省去紙本遞狀的郵寄成本,也能線上繳交訴訟費。僅管如此,電子訴訟上線以來總案件申請量不超過一萬。除了法律無強制規範,一般民眾也少有訴訟的機會,遇到糾紛多是直接紙本遞狀,再加上申辦電子訴訟需要自然人憑證,硬體門檻過高導致使用人數更少。
相較之下,民執線上聲請試辦至今4個月,就已經收件超過400件。王金龍表示:「民執聲請跟民事訴訟有很大的不同,民事訴訟起訴者是民眾,推廣電子訴訟的難度高,但要推廣民執線上聲請,可以向金融機構宣導、進行教育訓練,來提升使用比例。」
而對外服務的下一步,則是要在外網建立一個判決書下載平臺。雖然現行開放的判決書資料也可以下載引用,但存在一個風險,是在於部分判決書可能因系統或人為疏失,誤將須屏蔽的內容公開,僅管被發現就會立即更新,但現行的作法無法確保是否已有民眾誤用。
因此,將來建設判決書下載平臺後,民眾可以透過帳號來下載判決文本,所有操作均會留下紀錄,若遇到文本更新的情形,系統將自動來信通知,以免民眾誤觸個資法問題。
司法院積極升級對內服務,其中一項重要建設,是在去年6月完成第三代審判系統的開發。這一年多來,司法院除了在各地方法院推廣建置,更積極針對各項業務需求,來開發系統內的新服務,比如建置中的律師線上閱卷平臺等。而這套三代系統推廣到各法院之後,也會透過虛擬機來運行,「我們目前幾乎都已經朝向主機虛擬化的方式來提供服務。」王金龍說明。
目前,司法院內有自建機房,也有向中華電信租用機房,比如二代審判系統就是部署在自建機房中,而外網的電子訴訟則因為需要24小時不間斷提供服務,因此部署在安全性更高的中華電信機房中。此外,隨著司法院決定建立中央資料庫,來集中管理與存儲電子化的卷證,異地備援機房的建置也更顯重要,「我們的備援機房預計會在距離這裡30公里的地方,目前還在規劃當中。」
除了主機虛擬化,司法院近年來每年也均汰換4000多臺電腦,將不敷使用的硬體設備更新。且為了維護資訊安全,目前所有Windows XP系統的電腦均已終止使用,部分還用於特定功能的電腦也都禁絕連網,而明年Windows 7終止支援後,未更新到Windows 10的電腦也將逐漸汰換。
在軟體功能的開發,王金龍也根據從前擔任法官的經驗,提出一個想法,要將審判系統與戶役政資料庫串接。這是因為,過去法院要寄送出庭通知書等文件給被告時,被告可能為了避免文件合法送達,會不斷搬家、變更戶籍地址,等法院收到退回文件再去查詢被告住址,又會耗費許多時間。
因此,透過兩系統的串接,未來當被告戶籍地址變更、身分證號變更甚至死亡時,系統將主動通知承審法官,哪個案件的當事人基本資料已更改,讓法官更容易掌握案件情況。目前,該服務已經部分建置完成,正在測試中,而未來,也初步規劃要與監獄、看守所的名籍股資料串接,若被告被監禁,那文件送達地址也需更改。
儘管要推動司法資訊體系的數位轉型並非易事,司法院還是在王金龍的帶領下,在去年啟動了5年14項數位計畫,除了軟硬體設備持續整合升級,司法院也開始導入新興科技如AI、區塊鏈,在傳統司法領域尋找創新服務的可能,比如法庭語音辨識計畫,就是想建構司法專用的語音辨識模型,來取代書記官的文字聽打作業,並縮短開庭時間。
NLP 微軟 UniLM
自然語言生成新成就!微軟UniLM更勝BERT達SOTA等級
微軟研究院日前在GitHub上釋出一套自然語言處理(NLP)預訓練模型UniLM,它在NLP基準測試如SQuAD 2.0和CoQA問答任務方面皆優於BERT,而且在5項自然語言生成(NLG)資料集上達到SOTA等級,包括摘要生成、問題生成和回答問題等。
研究團隊指出,目前NLP預訓練技術已有許多新進展,但Google BERT透過左右雙向來預測詞意的方法,難以勝任NLG任務。因此,團隊提出一套預訓練模型UniLM,可完成單向、雙向和序列至序列(Sequence-to-sequence)預測,並可針對自然語言理解(NLU)和NLG來微調。UniLM是一個多層類神經網路,由數個經大量文本預訓練而成的Transformer AI模型組成。團隊表示,UniLM與BERT相似,都可微調,來適應下游的多元任務。但與BERT不同,UniLM可使用不同的自我注意力遮罩來設置,以匯總不同語言模型的語境(Context)。此外,由於預訓練的統一性,Transformer網路可共享參數,讓學習到的文本特徵更加通用,來減輕單一任務過度學習(Overfitting)的狀況。(詳全文)
Nvidia Aerial OpenShift
Nvidia推出5G訊號處理SDK Aerial
看好5G和邊緣運算發展,Nvidia在剛揭幕的洛杉磯世界行動通訊大會MWC上發表可處理5G訊號的軟體開發套件Ariel,由自家邊緣運算平臺Nvidia EGX支援,可助電信業者建立完全虛擬化的5G無線接取網路(5G vRAN)。
Aerial包括了2個關鍵SDK:CUDA虛擬化網路功能(cuVNF)和CUDA基頻(cuBB),其中,cuVNF提供了優化的輸入/輸出和封包(Packet)處理功能,可直接將5G封包傳送到GPU來處理。而cuBB則提供了GPU加速的5G訊號處理工作流程,來提高吞吐量和處理效率。Aerial除了能在EGX上執行,Nvidia也與紅帽合作,讓紅帽的Kubernetes容器平臺OpenShift可管理和自動化執行Aerial 5G RAN、容器網路功能和其他邊緣運算新服務,要提供電信業者大規模部署和管理現代化基礎架構的服務。(詳全文)
Ubuntu K8s AI開發
Ubuntu 19.10版終於釋出!聚焦K8s邊緣功能、AI整合開發
歷經25周開發,開源作業系統Ubuntu 19.10版近日終於釋出,亮點包括了新增的Kubernetes邊緣功能、AI開發整合體驗,以及號稱最快速的GNOME桌面環境效能。首先,新版本對MicroK8s的限制更嚴格,來提供完全隔離、高度安全的K8s環境。MicroK8s一個較輕量的K8s,可在終端工作站或邊緣裝置執行,而新版Ubuntu可透過單一指令,在邊緣裝置部署MicroK8s的附加元件,像是Istio、Knative、CoreDNS、Prometheus和Jaeger等。
至於AI部署方面,在Ubuntu 19.10中,K8s的機器學習套件Kubeflow可作為MicroK8s的附加元件來使用,讓開發者在幾分鐘內就能建立環境、開發、測試和擴展AI模型。此外,新版搭配的GNOME 3.34桌面環境大幅提高執行速度,就算在舊硬體上執行,也能享有新性能。此外,使用者現在還可試用ZFS檔案系統支援。(詳全文)
國網中心 智慧醫療建模平臺 生醫資料庫
國網中心整合軟硬體資源與生醫資料庫,12月要推出智慧醫療建模平臺
國網中心自今年開始提供臺灣AI雲(TWCC)服務後,為降低生醫領域跨足AI應用的門檻,也著手整合各類生醫資料庫與軟體技術,結合TWCC的運算資源推出智慧醫療建模平臺,預計12月開放學研和產業界申請使用。
智慧醫療建模平臺整合了多項服務,在軟體技術部份整合了國網中心與各大醫院、學校合作的成果,包括與長庚醫院合作開發的睡眠呼吸中止症評估平臺、與臺大獸醫系的數位病理標記與分享系統等。在資料庫整合方面,國網中心建置國網生科雲LIONS,串接各類生醫研究常用資料庫的API,讓研究人員可同時查詢多種資料庫。由於智慧醫療建模平臺建立於超級電腦臺灣杉一號的雲服務上,使用者可運用LIONS的資料庫來建模、執行AI運算,再下載模型、透過網頁或App來提供服務;而國網中心也會提供常用的模型,並協助訓練模型、調整參數達到最佳化。(詳全文)
SOTA AI模型評估 Sotabench
想評測GitHub上SOTA等級模型,就來Sotabench網站
機器學習資源網站Paper with Code日前發布一個免費網站Sotabench,專門用來評估和測試GitHub上達SOTA等級的模型。Sotabench團隊已建立了8個基準測試,包括了ImageNet 影像分類、COCO Minival物件偵測、WMT2014和WMT2019英文-德文機器翻譯、WMT2014英文-法文機器翻譯、WikiText-103語言模型、SQuAD1.1 dev和SQuAD2.0 dev問答能力等。每個基準測試頁面都有一個排行榜,來總結現有模型的排名,此外還有一列清單,顯示Paper with Code上現有但未經測試的模型。
另一方面,團隊也鼓勵大家貢獻更多基準測試,貢獻者可免費使用GPU資源來進行開放的模型基準測試,並可將測試結果與研究論文結果比較,以實現可重複性。(詳全文)
Delta Lake 資料湖 Linux
開源資料湖專案Delta Lake將交由Linux基金會管理
由Apache Spark技術團隊所創立的資料科學公司Databricks宣布,旗下開源資料湖專案Delta Lake將由Linux基金會託管。Databricks 4月時開源了Delta Lake,受到廣泛的使用,為進一步擴大社群,Databricks與Linux基金會合作,透過Linux基金會的影響力來發展開源專案。
此外,Databricks也與阿里巴巴、Booz Allen Hamilton、英特爾和Starburst合作,讓Delta Lake不僅能支援Apache Spark,還能同時支援Apache Hive、Apache Nifi和Presto。接下來,Delta Lake會採取開放治理的模式,鼓勵社群參與和貢獻技術,藉由長期管理框架,建立Delta Lake社群生態系,並發展資料湖中資料儲存的開放標準,確保Delta Lake的資料保持開放且可存取。(詳全文)
Deepfake 臉書 AWS
臉書、微軟打擊Deepfake影片活動啟動,AWS加盟贊助
臉書、微軟發起Deepfake影片辨識技術創新大賽將於12月正式啟動,近日雲端大廠AWS也表態加盟並贊助運算資源給參賽隊伍。這場Deepfakes Detection Challenge比賽,旨在邀集各方好手來開發能辨識AI技術造假影片的技術。臉書和合作廠商發布數萬個包含真實未處理和利用AI產出的Deepfake影片、音訊及其他檔案,讓參賽者用這批資料集,來設計能辨識資料真偽的演算法,這些演算法會再以另一批祕密測試資料集來評估,最後再評選出最優秀的模型。
AWS也將釋出自家平臺資源來贊助這項活動。AWS S3雲端服務將代管估計超過4 petabytes的所有比賽影音資料集,未來2年也預計提供100萬美元等值的AWS點數,供參賽者開發、測試演算法。每一隊最初都能要求最少1000美元的AWS點數,表現優異的計畫之後還能申請高達1萬美元的點數。該公司將派出Amazon機器學習解決方案實驗室專家,在參賽隊伍競賽期間提供協助。(詳全文)
圖片來源/Linux、Ubuntu
AI趨勢近期新聞
1. GoShare共享機車進駐臺北,能用AI分析用戶行為來推薦用車、找停車位
2. Adobe發表新AI演算法,可修復受損照片或影片
3. Alphabet Wing推出全美首個無人機快遞服務
4. Google將更新Pixel 4人臉解鎖功能,可設定只在睜眼時解鎖
資料來源:iThome整理,2019年10月
近來屢次發生和桌機軟體不相容、而造成電腦當機的賽門鐵克,本周又出問題了,這次是和剛釋出的Chrome 78。
本周有許多Google用戶反映電腦升級到Chrome 78後,發生和賽門鐵克終端防護(Symantec Endpoint Protection,SEP)衝突,以致Chrome出現「糟糕!顯示本網頁時出現異常」的錯誤訊息,無法載入任何網頁。即使重新啟動電腦、重新安裝Chrome都沒有用。從留言篇數來看情況十分普遍。
賽門鐵克周四表示這個情況發生在Windows Server 2012、2016及Windows 10 RS1上,具有應用控制(Application Control)功能的任何版本SEP。除了Chrome 78,採用Chromium核心的Microsoft Edge Chromium 78.0.x,也會在開啟時顯示「網頁無法顯示」的訊息。原因是應用控制功能和Chrome/Chromium中來自微軟的「程式碼完整性(Code Integrity)」安全功能不相容,造成當機。
此外,任何安裝SEP 14.2以前版本的作業系統上,所有Chrome、Chromium瀏覽器,也全部都會出現錯誤訊息。
賽門鐵克尚未釋出更新版SEP解決問題,在此之前僅建議用戶自行設定讓Chrome(或Edge Chromium) 排除在SEP防護外,或是到瀏覽器設定中,關閉程式碼完整性的防護功能。
ZDNet 報導,早在8月間Chrome 78還在早期測試版時,就已有開發人員反映這項臭蟲。
這是賽門鐵克桌機安全軟體近日最新一次造成用戶電腦當機。今年8月及上周分別傳出SEP與Windows SHA-2憑證及Windows衝突,造成Windows電腦凍結及進入藍色死亡畫面。
10/17~10/24精選容器新聞
最近彰化銀行資訊處處長陳顯龍透露,百年歷史的彰化銀行,最近正在思考銀行架構的大改造,不只要展開銀行核心系統大升級,為了更快速反應市場變化,陳顯龍還計畫,引進最夯的微服務架構、容器技術、商用Kubernetes產品等,來優化現有的系統。他希望改用「服務」來取代過去以業務為導向的功能模組,打造一套可以彈性組合和擴充的新一代分行端末系統。陳顯龍早在多年前就推動過一波彰銀IT集中化架構的改造,可以做到全球全行一日結帳。相比自己過去熟悉的VM、SOA架構,他認為,容器和微服務架構的核心概念其實也很類似,開始導入這些技術時,銀行IT團隊仍然大概可以知道該如何進行。但是,「沒有踩進去,就無法知道前置作業得準備到什麼程度才夠,做過一次就知道。」他坦言:「第一次不見得能做好,就算這次失敗,下次就可以調校得更棒。」所以,趁著核心系統升級之際,他打算先從分行端末系統開始擁抱容器技術和微服務,讓IT團隊練手。
華南銀行近年也全力推動數位轉型,華南銀行營運管理事業群副總經理許柏林指出,數位金融的時代來了,各家銀行也都逐漸走向這種可以因應不同需求的新架構。尤其,「前端需求越來越多元,不同時間點的需求也不同,銀行需要一套更容易調度資源的新架構。」因此,華南銀行在幾個月前,也展開了銀行中臺系統的大改造。目前華南計畫擁抱微服務架構和容器技術,許柏林比喻,過去的應用系統是大型單體應用,要跨大服務容量,得複製全套系統來建立新主機才行,但是改用微服務架構後,可以針對其中一項功能性服務來進行擴充。例如遇到大型活動,需要大量轉帳交易時,就可以直接擴充負責轉帳交易的那一組微服務,來滿足臨時暴增的需求。不過,華南銀行還需要一段時間,才能完成這個中臺架構大改造。
現在Docker Hub開始支援雙因素驗證,官方採用了比SMS更強的基於時間的一次性密碼(Time-Based One-Time Password,TOTP)身分驗證,使用者可以在帳戶設定的安全選項中啟用,而在啟用雙因素驗證後,Docker CLI將要求使用個人存取令牌而非密碼登入。目前雙因素驗證功能仍在Beta測試階段,在不久之後將會正式發布,之後官方計畫增加其他身分驗證控制,包括對WebAuthn的支援,讓用戶可以使用支援WebAuthn的安全金鑰和瀏覽器執行雙因素驗證,之後也會提供強制組織使用雙因素驗證的控制選項,讓組織管理員可以強制要求所有成員使用雙因素驗證,並對無法使用的人提供額外的支援方法。
微軟近日發表了新的開源專案Dapr,它的全名為分散式應用程式執行環境(Distributed Application Runtime),目的在於協助開發人員更容易建置微服務應用程式。Dapr是由一套建置區塊所組成,可透過標準的HTTP或gRPC APIs來存取,每個區塊都是獨立的,可在應用程式中選用全部或其中幾個,同時微軟也歡迎開源社群貢獻更多的區塊與元件。目前的Dapr專案處於alpha階段,因此僅提供最常用的建置區塊,像是服務調用、狀態管理、服務之間的出版與訂閱通訊、事件驅動的資源綁定、虛擬模型,以及服務之間的分散式追蹤。開發人員已可藉由GitHub存取Dapr程式碼與範例,微軟亦替Dapr建立了專屬網站以供開發人員交流。
資安公司Palo Alto Networks威脅情報小組Unit 42發現一種新型的Graboid挖礦綁架蠕蟲,目前已知這個蠕蟲已經感染了超過2,000臺不安全的Docker主機,用於挖掘Monero加密貨幣,研究人員提醒,雖然這個挖礦綁架蠕蟲沒有複雜技術或是程序,但是由於他有能力從C2(Command and Control)伺服器下載新腳本,因此可以簡單地轉換成勒索軟體或是任何惡意軟體,企業應提高保護自家Docker主機的能力。研究團隊分析了蠕蟲使用的主機列表,其中包含2,034臺易受攻擊的主機,57.4%的IP來自中國,而13%位於美國,在Graboid使用的15臺C2伺服器中,主機列表中列了其中的14臺,這表示攻擊者會控制易受感染主機的Docker守護行程,在上面安裝網頁伺服器容器,並將惡意載體放在上面。
Google發起的網頁前端框架AMP專案,最近宣布將申請加入OpenJS基金會的孵育計畫,未來將成為OpenJS管理的計畫,不再由Google維護。Linux基金會旗下的OpenJS基金會是由Node.js基金會與JS基金會合併而成,主要以推動網頁開發技術為主的中立組織。不過,Google自己也是OpenJS基金會的成員,也可以繼續餐與AMP專案的維護,只是不再是主導者。去年底,AMP社群擔心這項專案與Google綁太緊,反而失去了擴大發展的機會,所以,Google決定放手,讓AMP專案改採開放治理模式,交給OpenJS基金會管理。未來將由OpenJS基金會的跨專案委員會負責。另外,AMP加入後,也需符合OpenJS今機會的準則,對所有廠商平等對待,不能有差別待遇。另外,目前AMP的runtime仍放置於Google環境中,未來將透過其他OpenJS基金會的管道來提供,類似jQury CND服務來釋出,不會只有Google一個來源。
開發者愛用的作業系統Ubuntu釋出了19.10版,這是一個短期支援的版本,不過,新增了不少開發者期待的功能。其中最受矚目的一項是過去得自行安裝的機器學習部署工具Kubeflow,現在直接成了Ubuntu內建的輕量型K8s套件MicroK8s的外掛之一,這意味著開發者可以快速透過MicroK8s來建立一個機器學習專用的大型K8s叢集,以執行各種Tensorflow任務。另外,這個版本也採用了LZ4壓縮技術,來加快開機速度,並實驗性地提供ZFS檔案格式的支援,這是源自Solaris作業系統的檔案格式,擅長用來建立一個大型邏輯磁碟管理,能整合數十臺實體硬碟的容量。
熱門的商用K8s管理平臺紅帽OpenShift最近推出了4.2新版,強化了與無伺服器技術的整合,主要有四大新功能。第一項是OpenShfit內建服務網格功能正式推出,可以成為K8s維運器之一,來快速部署新的服務網格。其次,OpenShift現在可以在本地端建立執行環境了,開發者可使用紅帽CodeReady容器映像檔,快速在自己的筆電上,建立一個OpenShift環境,進行各種測試或開發,不需像過去得使用雲端OpenShift環境來測試了。第三個新特色是開始支援無伺服器開發框架Knative,這是由Google主導的開放無伺服器運算框架,目前OpenShift可提供預覽版支援。最後一項新特色是支援K8s原生的CI/CD工具Tekton,這是一個可以快速建立CI/CD流程,來串接K8s資源和開發環境的工具。
責任編輯/王宏仁
更多Container相關動態
@資料來源:iThome整理,2019年8月
Amazon本周四(10/24)公布該公司今年第三季財報,顯示該季創下700億美元的營收,比去年同期成長24%,營業利潤(Operating income)與淨收入(Net income)分別為32億美元及21億美元,皆低於去年同期,也是Amazon自2017年6月以來,淨收入首度出現衰退,讓Amazon周四盤後股價下滑6.73%。
第三季Amazon的北美營收為426億美元,成長24%,營業利潤為12.8億美元,國際營收為183億美元,成長18%,營業虧損為3.9億美元。AWS的營收則是90億美元,成長35%,營業利潤為22.6億美元。其中,AWS的營收只占Amazon總營收的13%,但對營業利潤的貢獻卻高達71%。
不過,該季卻是Amazon的淨收入自2017年6月以來的首次衰退,分析師指出這是因為Amazon針對Prime會員所提供的一日到貨服務,以及日益擴大的行銷費用侵蝕了獲利所致。
上一季就有分析師警告Amazon在電子商務領域明顯處於投資模式,預期會招致更多的營運成本。
美國四大電信業者包括AT&T、Verizon、T-Mobile和Sprint周四宣佈將合資投入跨電信業者通訊計畫(Cross-Carrier Messaging Initiative,CCMI),以推動下世代通訊服務,包括以RCS(rich communication service)取代舊式文字簡訊(SMS)。
豐富通訊服務(RCS)是新式GSM標準,旨在取代過去的純文字簡訊(SMS)或多媒體訊息(MMS),能讓企業傳送給客戶的行銷及客戶關係管理的訊息,包含圖片、影片、URL、甚至執行影像通訊、群聊、互動、購買等功能,完全不用跳離訊息app。它是由電信業者發起,也獲得Google的參與力推,但是現行RCS苦於電信業者互不相通,以致於難以普及。
四大電信業者指出,CCMI旨在推行以RCS標準為基礎的通訊服務,提供C2C及B2C通訊。CCMI計畫在2020年推出跨電信網路的互通、安全性RCS通訊app,讓消費者可以彼此通訊,或用它叫車、付款或排定約會、及使用其他服務。除了美國電信業者,CMMI希望也能和全球其他電信業建立互通。
電信業者指出,初步規劃是推出Android版本。The Verge引述CCMI總經理Doug Garland說法,新app將支援所有RCS常見功能,包括顯示對方正在打字、高解析度附件或群組通訊,也會支援2016年制訂的GSMA Universal Profile標準。此外,也會和其他廠商確保服務相容性。尤其是Google,Google推動RCS 多年,雖然屢遭挫敗,去年還收掉Allo,不過Google仍不屈不撓,9月間和三星宣佈RCS的合作,使Android Messages和Samsung Message彼此互通。
不過現在消費者早有許多通訊選擇,包括蘋果iMessage、臉書的Facebook Messenger、WhatsApp、Line等等。
美國兩名參議員Chuck Schumer與Tom Cotton在本周去函美國國家情報局,要求當局評估抖音(TikTok)與其它源自中國的內容平台,是否會對美國的國家安全帶來威脅。
抖音是由中國的字節跳動所開發的短影片程式,讓使用者可建立15秒的對嘴音樂影片,再利用不同的特效打造個人風格,該程式光是在美國就有超過1.1億次的下載。
這兩名參議員表示,抖音的服務條款宣稱會蒐集使用者及裝置上的資料,包括使用者的內容與通訊、IP位址、位置、裝置ID、Cookie、元資料,以及其它個人資訊等,儘管字節跳動宣稱該公司並未在中國經營抖音,也把美國用戶的資料存放在美國,但字節跳動依然需要配合中國的法規。
此外,有許多安全專家對於中國在情報、國家安全及網路安全相關法令上的模糊拼湊有些擔憂,認為這些法令可能強迫中國業者支持與配合中國政府的情報工作。
Schumer及Cotton亦引用報導指出,抖音審查了中國共產黨所認定的政治敏感內容,從最近的香港民主運動、天安門事件、西藏、維吾爾族的遭遇到台灣獨立等,也可能會有國外影響力運動,企圖透過抖音來散布不實消息。
總之,他們希望美國情報局能夠正式評估,抖音對美國國家安全可能造成的威脅。
至於字節跳動則在隔天馬上發表了聲明,澄清抖音的美國用戶資料是存放在美國,備份則是在新加坡,資料中心完全沒放在中國,因此相關資料並不受中國法令的管控。
此外,字節跳動也強調並未移除任何對中國政府而言的敏感內容,中國政府亦從未要求該公司移除內容,就算中國政府提出了要求,字節跳動也不會遵守。
字節跳動表示,該公司在美國的審核小組,是依據美國法令來審核內容,並未受到任何其它國家的影響,包括中國在內,他們並沒有在中國經營抖音,未來亦無相關計畫。
行動資安業者Wandera本周揭露,他們在App Store上發現17款程式被植入「點擊木馬模組」(clicker trojan module),可於背景執行廣告詐騙活動,還可連結駭客所掌控的命令暨控制(C&C)伺服器,蘋果在收到通知之後已將相關程式全數下架。
Wandera指出,這17款iOS程式全是來自同一個開發商AppAspect Technologies,這是家印度公司,在App Store上總計出版了51款程式,其中有31款免費程式,並有17款感染了點擊木馬。
這17款程式有的是生產力工具,有些是公用程式,還有生活類型的程式,它們在未經使用者的互動下就能於背景持續開啟網頁或點擊連結,可能是為了創造廣告收益,或是用來消耗競爭對手的廣告預算。
此外,該點擊木馬還會連結遠端的C&C伺服器。儘管目前在這17款程式上只發現了廣告詐騙活動,但另一資安業者Dr. Web也曾在被嵌入點擊木馬模組的Android程式中發現它們使用了同一台C&C伺服器。
根據Dr. Web的分析,該C&C不但能指使受害裝置偷偷載入網頁,還能自遠端變更裝置的配置,例如有一名受害者在不知不覺之下便訂閱了昂貴的內容服務,同時它還能蒐集裝置上的各種資訊,包括裝置型號、使用者居住地區及各種配置的。
在收到Wandera的通知之後,蘋果已將這17款程式自App Store下架。
Gitlab在10月10日的時候,發布將更新服務條款的消息,其GitLab.com和專有自託管套件,將會加入追蹤用開源以及專有的Javascript程式碼片段,而此消息一出批評聲浪四起,而現在Gitlab緊急回退所有更新,表示會重新思考他們的作法。
為了改善功能體驗,Gitlab想要從用戶端收集更多使用GitLab的資料,因此開始要使用類似Google Analytics的技術,在使用者的瀏覽器中執行JavaScript程式碼,並傳送訊息回遙測服務。官方提到,雖然這些工具也有開源的解決方案,但是業界領先的技術通常是專有的程式碼,所以他們將會在服務中同時加入開源以及專有的遙測程式碼。
從GitLab 12.4開始,使用Gitlab專有產品,包括GitLab.com和企業版的自託管產品,使用者將會發現有額外的JavaScript程式碼,用來存取遙測服務。GitLab.com以及自託管產品,包括入門版、進階版和旗艦版套件,會包含開源和專有的程式碼,並且與GitLab本身或是第三方SaaS遙測服務Pendo互動。GitLab提到,他們將會在隱私政策揭露所有資料的使用方法,也會確保第三方遙測服務,至少擁有與GitLab相同的資料保護等級。
對GitLab.com使用者來說,在Gitlab發布這項更新的同時,必須接受新的服務提款之後,才能繼續存取網頁介面與API,整合API的服務將會被迫暫停,直到用戶登入網頁介面接收條款為止。而GitLab給了另外的選項,要是用戶不希望使用的服務中,含有非開源的程式,則可以選擇使用GitLab社群版,仍然可以滿足大部分程式碼管理與持續整合的需要。
而GitLab也提到,他們會採用瀏覽器中的不追蹤(DNT)機制,當用戶在瀏覽器中開啟請勿追蹤選項,則GitLab.com和自託管套件將不會載入追蹤用的JavaScript程式碼片段。儘管如此,GitLab的遙測服務仍引來了熱烈討論,在網路論壇Hacker News中,有網友認為GitLab這個行為會失去使用者推廣,而這是GitLab發展的重要力量之一,也有網友提到,在程式碼服務中加入第三方追蹤,在企業內使用會有安全上疑慮,因為第三方服務可能存在安全性漏洞。
網友不全是持反面的意見,也有網友認為GitLab先告知使用者,且採取適當的隱私保護措施。為此,有GitLab支援工程經理在討論過程,也跳出來回應網友,指出GitLab目前只是先在GitLab.com中加入,而企業內自託管的產品,他們還在尋找適合應用第三方遙測服務的情境。
不過,這個話題持續發酵了兩個星期,官方發出最新公告,提到他們傾聽各界的意見之後,目前撤銷服務條款的所有修改,並且重新思考他們的作法,而在他們完成計畫評估之前,不會在GitLab.com和自託管套件上啟動遙測服務。
資安業者ESET揭露Google Play上有42款程式,涉及大型的廣告軟體活動,它們會持續透過程式遞送廣告,但只要察覺到受害裝置的IP位址可能隸屬於Google,就會裝乖而不會觸動廣告機制。此外,ESET也肉搜了相關程式的開發者,發現他是一名越南的大學生,連他的個資都一併曝光。
這些程式的廣告活動大約維持了一年,總下載量超過800萬次,它們都具備程式所宣稱的各種功能,不過也都植入了Ashas廣告程式,在啟用後會先與遠端的C&C伺服器通訊,並傳送裝置型號、作業系統版本、語言、程式安裝數量、剩餘儲存空間、電池狀態、是否已被破解,或是否安裝臉書或Messenger等訊息至C&C伺服器。
程式也會自C&C伺服器接收配置資料,以用來呈現廣告或躲避追蹤。為了讓這些程式能夠持續待在使用者的裝置上,而不被察覺,駭客使用了許多的技倆,其中之一是會檢查裝置的IP位址,是否隸屬於Google伺服器,倘若答案是肯定的,那麼程式就不會觸發廣告酬載。
此外,這些程式還能客製化呈現廣告的間距,例如在裝置解鎖的24分鐘之後才出現廣告,以免使用者起疑;相關程式還會隱藏自己的圖示,並以捷徑代替,讓使用者難以刪除;且當使用者企圖確認廣告來源時,它會出現假冒的臉書或Google圖示;並將Ashas程式碼藏匿在com.google.xxx的資料夾,以閃避偵測。
ESET追蹤了這些程式與C&C伺服器,發現它們都來自同一個開發者,透過C&C伺服器的註冊資訊,找到了開發者的身分,證實了他是來自越南的一名大學生,不但查到了他所就讀的學校,還知道他的姓名、生日、電話號碼、學生證號碼、考試成績,也找到他的GitHub帳號、臉書帳號、YouTube頻道,並發現他所撰寫的程式也有iOS版本。
在收到ESET的通知之後,Google已經移除了所有相關程式。但ESET提醒,這些程式可能還在第三方的Android市集中流竄。