Alphabet周一（10/28）公布了該公司今年第三季財報，顯示該季創下405億美元的營收，比去年同期成長20%，淨收入為70.7億美元，下滑23%。營收成長，獲利卻下滑源自於Google持續大規模投資其雲端業務，同時員工數也從去年的9.4萬名，增加到11.4萬名。

Google依舊是Alphabet的主要營收來源，在該季貢獻了403億美元的營收，其中有339億美元屬於廣告營收，64億美元為其它營收，其它營收包括了Pixel手機等硬體裝置的銷售，以及Google雲端服務。

除了Google業務之外，Alphabet的另一個營收類別為新創事業（Other Bets），在該季創下1.55億美元的營收，高於去年同期的1.46億美元，但新創事業虧損了9.41億美元，亦高於去年的7.27億美元。

儘管營收成長，但Alphabet的各項成本都高於去年同期，從營收成本、研發成本、行銷費用到行政開支等，也讓Alphabet今年第三季的營業成本高達313億美元，比去年同期增加25%，也造成Alphabet的獲利縮水。

Google執行長Sundar Pichai則說，其實該公司在第三季有許多進步，像是搜尋與量子運算的突破，而營收的成長則是由行動搜尋、YouTube與Cloud所帶動。

Alphabet財務長Ruth Porat表示，他們繼續投資基礎設施與人才，以用來支撐未來的成長，特別是在雲端與機器學習上。

根據Gartner去年針對全球基礎設施即服務（IaaS）市場的調查，前五大業者依序是Amazon（47.8%）、微軟（15.5%）、阿里巴巴（7.7%）、Google（4.0%）與IBM（1.8%），透露出Google需要再加把勁才能擠進前三名。

季報結果讓Alphabet周一的盤後股價下滑了1.4%，股價為1,272美元。

微軟威脅情報中心（Threat Intelligence Center）本周揭露，就在2020年東京奧運的前夕，他們偵測到來自APT28駭客集團的新一波網路攻擊行動，駭客鎖定了全球16個運動及反禁藥組織展開攻擊，但只有少數組織被成功入侵。

APT28又被稱為Fancy Bear或Strontium，多家資安業者相信它是由俄羅斯軍事情報機構GRU所主導的駭客集團，主要的攻擊對象為各國政府、軍事及安全組織，受害者遍布全球，從德國議會、法國電視台TV5Monde、美國白宮、北約組織到介入法國總統大選等。

此外，APT28在2016年也曾攻擊世界反禁藥組織（World Anti-Doping Agency，WADA），據說是為了報復WADA踢爆俄羅斯政府指導該國運動員使用禁藥一事，WADA還要求國際奧委會（IOC）對俄羅斯選手作出全面禁賽的處分。當時APT28存取了WADA資料庫中的機密資訊，並公布了奧運選手的個人機密資料。

微軟表示，APT28新一波的攻擊始於9月16日，目標涵蓋了全球三大洲的16個國家或國際運動及反禁藥組織，大多數的攻擊是失敗的，只有少數成功達陣，採用的方法與過去一致，包括魚叉式網釣攻擊、密碼噴濺、開採連結網路的各式裝置，而且同時使用客製化與開源惡意程式。

有鑑於之前的經驗，微軟固定會採取適當措施來避免APT28使用偽造的微軟網域展開攻擊，也會從駭客的攻擊行動中，學到如何改善微軟產品及服務的安全性，並改造安全功能來因應。

微軟建議企業及個人都應啟用雙因素認證來保護帳號，也應學習辨識與防範網釣攻擊，且要造訪可疑網站時，最好開啟連結及檔案的安全警告通知。

趨勢科技（Trend Micro）本周宣布，旗下的Zero Day Initiative（ZDI）將在明年1月下旬伴隨著於邁阿密舉行的S4安全會議，舉行鎖定工業控制系統（Industrial Control System，ICS）的Pwn2Own駭客競賽。

S4為全球最大的工業控制系統與操作型科技系統（Operation Technology，OT）的安全會議，明年的會議時間為1月21日到23日。

Pwn2Own駭客競賽的範疇已從瀏覽器、虛擬軟體、企業應用、行動裝置、連網裝置，一直擴張到工業控制系統。ZDI表示，對於要針對ICS領域舉辦Pwn2Own競賽已商討多年，現在已克服了多項難題，包括決定正確的抓漏分類與產品，也感謝Rockwell Automation提供比賽用的產品與虛擬機器。

負責漏洞研究的趨勢科技總監Brian Gorenc表示，隨著IT與OT融合到工業4.0與數位轉型，他們看見了相關的安全落差，駭客可透過被忽視的漏洞破壞關鍵的生產流程並竊取知識產權，希望可藉由Pwn2Own Miami競賽，來喚醒人們對相關環境的重視，也能協助ICS供應商與客戶改善安全性。

ZDI定位為白帽駭客與企業之間的橋梁，向研究人員購買漏洞細節，再與企業合作修補，去年該公司所購買ICS軟體零時差漏洞數量，就比2017年多了224%，且今年所購買的漏洞數量亦呈成長狀態。

Pwn2Own Miami競賽將分為五大類，分別是控制伺服器、OPC UA伺服器、DNP3 Gateway、人機介面/操作者工作站，以及工程工作站軟體。ZDI準備提供25萬美元的獎金，給予成功發現漏洞並完成攻擊的研究人員。

微軟於去年春天公佈IoT晶片及安全服務Azure Sphere，本周在IoT解決方案世界大會上，微軟宣佈這項晶片安全專案將於2020年2月全面推出。

Azure Sphere是一個物聯網（IoT）安全生態系，包含三項元素：由微軟設計整合Pluton晶片安全技術的微控制器（MCU）、以Linux為核心開發的Azure Sphere作業系統，以及結合Azure雲端的安全雲服務Azure Sphere。它旨在管理所有採用Azure Sphere認證MCU的裝置，提供裝置安全威脅監控與軟體更新。

第一顆通過Azure Sphere認證的MCU，是微軟和聯發科合作的MT3620，已在去年推出。微軟Azure Sphere部門主管Galen Hunt指出，自去年問世以來已有數種產業的客戶，包括安富利（AVNet）、矽递科技（Seeed Studio）、環旭電子（USI）及愛聯科技（AI-Link）用這顆MCU，來生產消費端與製造業設備，以及可接在關鍵任務設備確保安全連網的「守護者模組（guardian module）」。

微軟說，今年以來半導體業者陸續加入生產Azure Sphere認證晶片，包括NXP今年6月發表的下一代高效能應用處理器 i.MX 8，將用於AI、繪圖和豐富UI，10月高通也公佈了第一款Azure Sphere認證的省電行動連網晶片。

另外，今年4月微軟買下即時作業ThreadX RTOS系統開發商Express Logic，可望協助微軟壯大IoT版圖並與Azure Sphere互補。昨天微軟也宣佈ThreadX RTOS改名為Azure RTOS，而半導體業者瑞薩電子（Renesas）也宣佈將把Azure RTOS整合到其RA、Synergy微控制器（MCU）系列。現在Azure RTOS已經整合到瑞薩電子的Synergy Software Package，接下來也會整合進RA Flexible Software Package中。

蘋果在本周發表了全新的AirPods Pro無線耳機，比起原本的AirPods，它新增了主動降噪功能，可隔絕環境噪音，亦可切換至通透模式（Transparency Mode）來引入外界聲音，同時也改善了音質與配戴的舒適度，訂價為249美元（7,990元新台幣），即日起於部份國家的線上蘋果商店開賣，預計10月底即會登上蘋果門市。

根據蘋果官網上的AirPods Pro與AirPods的比較表，AirPods Pro主要新增主動式降噪與防汗抗水功能，但所謂的防汗抗水也只支援非水上的運動與活動，也警告用戶不應替潮溼的AirPods Pro充電。

蘋果說明，AirPods Pro的主動降噪，是利用兩個麥克風及軟體進行持續性的聲音調整，其中一個麥克風是對外的，可用來偵測並分析外部環境的噪音，並在聲音傳達至耳朵之前，建立等效的抗噪聲，第二個對內的麥克風，則能用來消除剩餘的噪音，讓傳到使用者耳裡的聲音更為無瑕。

此外，AirPods Pro標榜利用自適應等化器（Adaptive EQ），以自動將聲音調整為適合使用者耳朵形狀的音質，替每個使用者帶來個人化且沈浸式的聲音體驗。

新的通透模式則允許使用者在聆聽音樂的同時，也能接收環境的聲音，像是跑步時可注意車流，或是在車站可聽見重要的廣播等。

AirPods Pro還強調配戴的舒適度，利用創新的通風系統來平衡壓力，以減少入耳式耳機常見的不適感。

除了上述之外，AirPods Pro的電池續航力為4.5個小時，比AirPods少了0.5個小時。

AirPods Pro直接配備無線充電盒，售價為249美元（7,990元新台幣），AirPods則有搭配一般充電盒或無線充電盒的選項，售價分別是159美元（5,290元新台幣）與199美元（6,490元新台幣），目前台灣蘋果官網尚未開賣AirPods Pro。

Gogoro日前將共享機車服務GoShare推向臺北市，掀起國內共享機車服務另一波新戰火，而3年前從臺北市出發的WeMo Scooter今發表營運成果，預告明年會員數將翻倍成長，並將投車上萬輛機車，迎接其他挑戰者的競爭。

WeMo Scooter今年先將共享電動機車服務擴大至新北市，涵蓋板橋、中和、三重等地區，稍早更在10月宣布開始進軍高雄，讓高雄的民眾也能租用WeMo Scooter電動機車，目前WeMo已在臺北、新北、高雄三大都會區投車近5000輛，明年將投車上萬輛車，以更多的機車投入服務地區，提升用戶租車的體驗，不過，WeMo並未透露接下來服務將擴展至哪個縣市。

投入共享機車三年時間，WeMo Scooter也公布了營運成績單，在會員與騎乘數方面，2019年較前一年同期成長5倍，活躍用戶也比去年同期成長2倍。過去一年共累積超過500萬次租借，每輛WeMo Scooter共享機車使用率是私有機車的3倍，預估年底會員數將會增加至近30萬，明年更將挑戰50到60萬會員。

和更多停車場合作、推出Chatbot、翻新App使用體驗

至於WeMo Scooter現行隨租隨還的無站點租車服務模式也會略調整，WeMo Scooter提出了智慧停車解決方案，未來打算和公私有停車場合作，讓用戶可以在App上一鍵進場，免取停車票幣，進入專屬停車格，而租車的用戶也不需繳交停車費就能直接出場。

目前WeMo Scooter已在臺北市政府前停車場、臺北車站停車場共20個室內機車停車位進行測試，創下半年內1萬次使用，顯示共享機車的停車需求，WeMo預期智慧停車應用明年將可以進入雙北地區1000個室內外停車場，以滿足更多用戶的停車需要。

另外，WeMo Scooter也更新App，以更直覺、簡單操作為設計，翻新App使用者介面，提升系統反應速度，讓租借車輛的流程更快速、流暢。同時，在24小時電話客服外，WeMo Scooter採用昕力資訊的AI技術推出Chatbot「威威」，整合語音分析、快速回覆，可以簡易回覆用戶的問題，或是判別轉接真人客服。

而上週Line在年度活動中宣佈將推出Line Spot，根據Line用戶的位置提供各種線上線下的虛實整合服務，其中合作的第三方服務業者中，WeMo Scooter名列其中，預計在明年第一季登上Line Spot。

對於和Line的合作，WeMo Scooter技術長鄭捷透露，未來用戶將可以透過Line找到附近哪裡有機車可以租用，未來甚至可能透過語音的方式，請Chatbot代訂車輛。

WeMo也在日前慶祝進軍高雄，祭出月租99元優惠，用戶每月可騎乘WeMo Scooter電動機車125分鐘，相當於每分鐘收費不到0.8元，較現行每分鐘2.5元便宜不少。其他供選擇的月租方案，還有每月299元、499元、999元到1299元不等，可騎乘從125分鐘到最高610分鐘。

相較之下，Gogoro的共享機車服務GoShare日前進軍臺北市時，同樣以每分鐘2.5元作為租車收費依據，但為了吸引用戶祭出了租車優惠，前三天祭出租車15分鐘以內收費0元，11月底前也有6分鐘以內0元，吸引不少人使用。

對於GoShare共享機車服務進軍臺北市，WeMo Scooter創辦人暨執行長吳昕霈表示，三年前WeMo Scooter開始在臺北市推出共享機車服務，便是著眼於300至500萬輛使用率低的私有機車規模，目前共享機車市場仍在成長中，他樂見其他業者加入，一起推廣以租代買的共享機車服務。

對於競爭對手以騎乘金鼓勵用戶協助換電，WeMo Scooter主動為用戶更換電池的做法成本偏高，是否也可能採取換電的營運模式，吳昕霈回應目前共享機車服務以人工換電為主，雖然人工換電的成本較高，但WeMo Scooter的目標是提供用戶最好的體驗，且根據用戶回饋，超過8成6表達沒有換電的意願，且派遣人員主動為機車換電可以掌握每輛車的狀況，因此目前沒有換電的想法。

首揭用戶使用行為洞察，共享機車成大眾運輸的第一哩、最後一哩

投入共享機車服務三年，WeMo Scooter也在今天公布首份智慧交通白皮書「WeMo Scooter智慧車聯網-新交通移動洞察報告」，揭露了共享機車服務使用行為洞察。

WeMo Scooter用戶以男性居多，男性使用者佔63%，而女性逐漸增加，目前也達到37%，使用者的年齡分布，25到34歲佔了37%，而18到24歲也佔34%，35到44歲也有19%。共享機車服務的使用，除了上午時段以通勤族為主，下午則是採購族/跑業務，下班後晚間時段是另一波高鋒，深夜時段則然使用率較低，但仍有夜貓族的使用。

WeMo Scooter服務使用熱點大致和捷運高運量相符合，共享機車租還熱點集中於捷運沿線，以捷運沿線騎乘20分鐘內的距離最為熱門，大眾運輸周邊的租車密度是其他地區的兩倍，顯示WeMo Scooter發揮了短程轉乘的角色，扮演大眾運輸工具的第一哩、最後一哩。吳昕霈認為WeMo Scooter並非取代大眾運輸工具，反而扮演相輔相乘的角色。

以營運三年之久的臺北市為例，租車最多的三大行政區為大安區、中山區、內湖區，不同的行政區租借行為各有其特色，以成長最快的內湖為例，大多是早上前往內湖科學園區的單向租借為主，假日則以大賣場為主，而第二季開放新北市，跨區騎乘佔整體約3成，以文山、中正、大安為租還車熱點。

再進一步看，學區、商圈也是共享機車的租借熱點，如台北市東區、通化夜市、公館商圈，而特殊活動或節日也會衝高租借率，以今年的大稻埕煙火為例，租還數比平日超過3倍。

對於保護個人資訊和隱私，近年各國政府在相關法令與法規的要求，已經變得越來越普遍，例如歐盟GDPR、臺灣個資法等，對此，國際標準組織（ISO）在今年8月，新公布了國際隱私資訊管理標準ISO 27701，希望在既有的資訊安全管理系統（ISMS）上，也能擴展對於個資管理系統（PIMS）的要求與實施。近期，國內開始有政府機關為提升個資與隱私保護的要求，導入這項管理制度，並透過第三方驗證單位，來檢驗相關機制的有效性，特別的是，這次通過驗證的並非一般行政單位，而是警政單位－－新北市警察局。

關於ISO/IEC 27701，是以ISO/IEC 27001為基礎的隱私擴展標準，並以ISO/IEC 27002為指導，今年8月6日正式發布，成為首個隱私保護與個資管理的ISO標準。

新北市警察局表示，為了確保刑案監錄影像偵辦過程中，提高民眾個人資料的隱私保護，他們是在今年9月，通過第三方驗證公司環奧國際（TCIC）的稽核認證。當時，他們重新驗證了2項證書，包括資訊安全管理標準ISO 27001，以及個人可識別資訊保護實務標準ISO 29151，同時，他們也新取得了ISO/IEC 27701：2019證書。

為何導入這項新的標準？新北市警察局指出，他們是在之前與奧地利、維也納的城市交流過程，體認到國際上對隱私與個資的重視程度，足以借鏡。對此，我們進一步詢問該局的具體考量為何？他們說明，例如，奧地利官員在各項資料運用中，有關個資的部分都會遵循歐盟GDPR保護條款，且各項實際做法均會適時告知人民，取得民眾信任。在臺灣雖有個資法，只是，大多數組織雖有意識，卻不知如何保護，像是個資安盤點後沒有下一步，或是過度解讀問題，像是在非辦案期間或非辦案人員調閱非屬案件資料。因此，他們參考城市交流所得到的部分作法，以及經驗，希望讓偵辦各項刑事案件的作業過程，可以有更好的個資隱私保護與管理。

新北市警察局之所以推動相關認證的另一原因，是希望在面對外籍人士的個資處理時，都有一套共通依循標準。隨著各國觀光、商務人士往來頻繁，以及國內個資法是否適用外籍人士尚有疑慮，而GDPR應可更廣泛適用於外籍人士，而在導入這項隱私標準後，也將能從標準中附錄D，直接對照GDPR各條款進行實作。因此，在刑案偵辦過程中，也將有對外籍人士個資保護的準則依據。

而在驗證範圍方面，該局這次三項驗證的標的是「刑案監視器影像查詢系統」，驗證組織共15個單位，包括資訊室、刑事警察大隊、海山、板橋、中和、新店、新莊、土城、蘆洲、三峽、林口、汐止、永和、三重與樹林分局。他們預計，明年將以ISO/CNS 27001並延伸驗證ISO/IEC 27701，並增加淡水、金山及瑞芳分局，如此一來，可讓全部的分局納入驗證範圍。至於ISO/IEC 29151，由於已經涵蓋於其中，將無須再延伸驗證。

對於企業與組織而言，為了實現個資管理與隱私保護，ISO/IEC 27701將是一大參考指標，並可藉由第三方驗證制度，檢驗自身是否真能落實並盡到適當防護，以展現組織對於個資管理與隱私保護的符合性與有效性。而在新北市政府警察局之外，我們也聽聞國內有企業正計畫導入這項新的ISO標準。例如，近期搭上財金開放API平臺的麻布記帳，他們正計畫導入ISO/IEC 27001與ISO/IEC 27701，方便日後與銀行業者打交道。

對於ISO/IEC 27701：2019的導入，新北市警察局在10月23日公布獲頒證書，後續他們也提供了更完整的回覆。根據他們的說明，這項標準是基於資訊安全標準ISO/IEC 27001所延伸的個資保護標準，而其擴充要求條款，則是基於資訊安全實作指引ISO/IEC27002。

基本上，以ISO/IEC 27001而言，它是目前國際公認的資訊安全管理體系，如同基礎一般，因此，組織必須先落實ISO/IEC 27001的所有事項，才能進而落實ISO/IEC 27701：2019。

而在ISO/IEC 27701：2019之中，將能與另外4項個資保護標準進行對照。例如，可依據這項標準當中的附錄A個資控制者，以及附錄 B個資處理者擇其一角色，建立適用聲明（SOA），並對映至附錄C的ISO/IEC 29100資訊安全技術隱私框架標準內容，以及附錄E的ISO/IEC 27018作為公有雲中個人資料保護的行為準則，與ISO/IEC 29151個人識別資訊保護的行為準則。而且，對於ISO/IEC 27018與ISO/IEC 29151的的控制措施與擴充指引，將會依據ISO/IEC27002資訊安全實作指引為基礎，再增強具有個資議題的事項。另外，關於GDPR的遵循，他們也有說明，將從ISO/IEC 27701：2019的附錄D直接對映GDPR各條款，以進行實作。

為了滿足智慧助理需要執行越來越多複雜任務的需求，Google釋出了最新的架構引導對話（Schema-Guided Dialogue，SGD）資料集，以擴展智慧助理模型，使其有能力處理多重領域的任務。

現在的智慧助理可以完成的任務越來越多，包括預定餐廳或是擷取網路訊息等，Google提到，像是Google助理這類智慧助理整合了眾多領域的服務，每個服務可能由不同領域的服務疊加而成。為了適應這樣的發展，讓智慧助理能夠支援更多的新服務，而不需要收集額外的資料或是重新訓練模型，降低維護成本。因此Google釋出SGD資料集，來填補訓練智慧助理處理複雜與大規模任務所需要的資料集空缺。

SGD資料集是目前最大的任務導向對話語料庫，Google使用綠野仙蹤（Wizard of Oz）方法產生人類與助理的對話，共包含跨17個領域18,000個對話，並附加了不同的註解。這些對話涉及與服務和API的互動，包括銀行服務、事件、日曆甚至是天氣等17個領域，而在多數的領域，SGD資料集包含多個不同的API，不少API介面不同但是功能重複，以反應實際的狀況。

Google表示，SGD資料集是第一個涵蓋這麼多領域，會為每個領域都提供多個API的資料集，而且為了量化模型對API介面更新或是新API的強健性，評估資料集包含了許多在訓練資料集中，所沒有的新服務。

用戶使用SGD資料集，可以訓練智慧助理支援網頁的多元服務，Google提到，要達成這個目的，通常需要一個大型的主要架構（Master Schema），羅列所有支援的功能和參數，但實際上，要開發適合所有使用案例的主架構非常困難，而且即便克服了這項障礙，主架構也可能會讓新的或是小型服務的整合變得複雜，進而增加智慧助理的維護成本。

而且不少服務之間使用相似的概念，像是訂票服務，電影票、機票和演奏會門票邏輯都相似，但使用主架構的方法，就會不方便對這類概念進行連結建模，除非以手動的方式定義之間的映射。

Google提出了一個新的架構引導方法解決這些問題，這個新方法不需要為智慧助理定義一個主架構，而是為每個服務或是API，提供功能與相關屬性列表的自然語言描述，這些描述可以用於學習一個架構的分散式語意表達，為對話系統提供額外的輸入，並將對話系統以單個統一的模型實作，這個統一模型為不同服務提供相似概念的表示，並透過架構的分散式表達，使得新服務可以不需要事先有訓練資料就能運作。

Google為此還以架構引導方法創建了一個智慧助理，在所有服務和領域使用單一模型，沒有設定各領域的專門參數，就能處理各式任務，Google開源了用於對話狀態追蹤的模型，可以在新服務和API沒有訓練資料的情況下，同時保有與常規設定相同的能力。

資安公司Lookout偵測到新一波釣魚攻擊，目標是針對全球非政府組織，包括聯合國兒童基金會等各種人道救援組織，Lookout向執法單位回報的當下，釣魚攻擊行動仍在進行中。這波攻擊活動是從今年3月開始，其中111.90.142.105與111.90.142.91這兩個IP，與託管釣魚內容的網域相關聯，而這兩個IP的自治系統過去曾託管惡意軟體，本身就信譽不佳。

這些釣魚網站的Javascript程式碼會偵測頁面是否在行動裝置上載入，並且為行動裝置提供專屬的內容（下圖），而且因為行動裝置上的瀏覽器，會顯示縮短的網址，而使得釣魚網址更難被發現。Lookout發現在釣魚頁面的密碼欄位，被嵌入密碼側錄功能，即便用戶最後沒有點擊登入按鈕完成登入動作，但只要輸入密碼，這些資料就會被送回C2（Command and Control）伺服器。

由於目前主要瀏覽器都會以清楚的視覺效果，提示用戶網站SSL憑證的有效性，因此使用者幾乎不可能在SSL憑證過期的網站執行登入動作，因此Lookout便可根據釣魚網站上的SSL憑證，來判斷攻擊的時間。釣魚網站所使用的SSL憑證，主要有兩個有效時間，分別為2019年5月5日到8月3日，以及2019年6月5日至9月3日，目前仍有6個憑證未過期，因此釣魚攻擊可能正在進行中。

Lookout提到，由於企業的BYOD策略，讓個人裝置與企業網路的界線更加模糊，行動裝置又存在許多可被攻擊的表面，而這波網路釣魚攻擊演示了針對行動裝置的攻擊，使行動裝置成為企業另一個安全風險的來源。

假若你的網站使用PHP開發，並以Nginx建置網頁伺服器，而且開啟了PHP-FPM（FastCGI Process Manager）處理網頁存取的請求，請注意是否存在漏洞CVE-2019-11043。PHP官方團隊在接獲通報之後，於10月24日推出修補版本7.1.33、7.2.24，以及7.3.11，網路威脅情報公司Bad Packets也於26日向媒體ZDNet表示，已有濫用漏洞的攻擊事件出現。

之所以發現這項漏洞，緣自Wallarm公司的資安研究員Andrew Danau於9月中旬參與Capture the Flag（CTF）競賽，他在解題時，偶然找到PHP腳本不尋常的處理行為──如果在網址列上輸入%0a（代表換到新的一行），所連上的網站伺服器會回應比預期還要多的資料。雖然當時並未因此成功找到出題者的答案，但Andrew Danau與組隊的兩名隊友，也就是Emil Lerner和Omar Ganior，決定進一步探討背後的原因，隨後他們找到濫用的途徑，並且能夠用來進行遠端程式碼執行（RCE）攻擊，Emil Lerner與Omar Ganiev兩人在9月24日也公開概念驗證（PoC）攻擊程式。

Andrew Danau表示，攻擊者若要濫用這個PHP臭蟲，必須要傳送一個特別的封包，裡面包含具有fastcgi_split_path參數的Nginx組態檔案，因此，並非所有使用PHP的網站都會受害，而是需要同時具備2個條件。

首先，是網站伺服器以Nginx架設，再者則是要啟用PHP裡面提供的PHP-FPM模組，而這個模組主要的用途，就是支援PHP網頁處理FastCGI協定。漏洞影響的範圍有多大？主要是PHP 7的所有版本，因為發動攻擊的過程中，需要使用FastCGI參數_fcgi_data_seg，這是PHP 7才開始提供的功能，因此，只能針對較新的PHP 7發動攻擊，而無法在終止支援的PHP 5上執行，但研究人員強調，攻擊者還是有可能透過其他的管道，於舊版PHP上濫用這個漏洞。

根據W3Techs網站的統計，目前全球的網站有30.6%採用Nginx網頁伺服器，33%網頁採用PHP 7，網站經營者很有可能同時採用上述兩者，再搭配PHP-FPM運作。因此這樣的漏洞，仍然相當值得管理者加以留意。

雖然PHP官方已推出新版本修補漏洞，但網站管理者若是無法更新PHP軟體，還是有一些緩解之道，像是Andrew Danau認為，可透過網頁應用程式防火牆（WAF），過濾%0a和%0d字串的網址請求（但可能會出現誤判的情況），而弱點管理業者Tenable則提出從網頁程式碼下手的做法，像是加入try_files指令，或是透過if宣告方式，如if (-f $uri)，驗證是否有網頁伺服器上的檔案能被直接存取。

蘋果於本周釋出了iOS 13.2，它新增了對新款無線耳機AirPods Pro的支援，另也新增了表情符號、AirPods訊息播報功能、HomeKit安全錄影與Siri隱私設定，並針對iPhone 11系列推出Deep Fusion進階影像處理系統，增強影像細節也減少低光源時所產生的雜訊，以及解決了許多臭蟲。

AirPods Pro為蘋果本周才發表的新無線耳機，具備主動降噪功能，售價為7,990元新台幣，最快會在本月底登上蘋果門市，台灣上市時間未定。

iOS 13.2也支援AirPods的訊息播報功能，允許配戴AirPods的使用者命令Siri朗讀所收到的訊息；HomeKit安全錄影則允許使用者存取監視器的加密影片，也能啟用HomeKit路由器，來控制HomeKit配件在網路上的通訊內容；新增Siri的隱私權設定，可控制蘋果能否存取使用者與Siri的互動；並新增超過70種表情符號。

而Deep Fusion則只適用於最新的iPhone 11/11 Pro/11 Pro Max，該技術利用A13仿生神經網路引擎，可擷取多張不同曝光度的影像，並逐一分析每個像素，選出最高畫質的部分再加以疊合，以成就一張可提升細節與畫質且降低雜訊的照片。

此外，iOS 13.2也允許iPhone 11系列用戶，直接從「相機」程式中變更影片的解析度。

iOS 13.2所解決的臭蟲則包括無法於第三方程式自動填寫密碼的問題、使用搜尋時無法顯示鍵盤的問題、解決iPhone X及之後機種上滑無法前往主畫面的問題、解決已儲存的備忘錄暫時消失的問題，也解決了訊息與聯絡人的顯示問題。

安全研究人員發現一隻纏人的Android木馬程式，一旦感染，不但安裝時難以發現，即使發現想刪掉或還原到出廠設定後還會自動重新安裝。6個月內已有4.5萬用戶遭到感染。

這隻名為xHelper的惡意程式先是在8月間，首次被安全業者Malwarebyte發現及分析，最近再度肆虐，眾多使用者上論壇反映Android裝置遭到感染，會在螢幕顯示跳出式廣告，但不論移除或以硬體還原到出廠設定後不久它都會再自我安裝，幾乎無法根除。

賽門鐵克評估，過去幾個月至少有4.5萬台裝置遭到感染，平均一個月感染2,400台。主要受害者分佈在印度、美國及俄羅斯，而且似乎特別偏好某些款式的手機。

xHelper有幾個特點讓它難以被移除。首先，xHelper具備隱密安裝能力，且有半隱密及全隱密模式。它安裝時不會建立捷徑或是圖示，使用者只可在手機系統通知或「應用程式資訊」頁面看見xHelper的蹤跡。

其次，xHelper一旦在手機上啟動即會註冊為前景服務（foreground service），以免在記憶體不足時被砍掉，一旦停止服務也會再啟動。最厲害的是，xHelper使用了什麼手法可以在刪除或系統重置後還能重新自我安裝，研究人員迄今還未完全找出原因。賽門鐵克僅發現，xHelper不像是系統預安裝程式，而且它無法手動啟動，而是由外部事件，像是手機連網、拔除電源、手機重新開機、安裝或移除某應用程式來開啟，因此研究人員判斷，可能是另一個惡意程式系統程式不斷重新安裝它。

至於它怎麼跑到Android手機上，研究人員指出，xHelper並未出現在Google Play Store上，而是藏在使用者從不知名的第三方網站下載的程式而來。

一旦進入Android手機，xHelper最明顯的行為是顯示跳出式廣告，導引使用者到Google Play Store上下載app，藉此賺取導引佣金。研究人員認為是背後組織的營收模式。雖然它並沒有修改系統服務檔案，但是賽門鐵克人員仍發現它會執行木馬程式功能，和外部C&C伺服器建立加密SSL連線以等待指令，可能下載dropper、clicker或rootkits等以便日後行動。

研究人員提醒使用者，應避免從不安全的網站下載應用程式，並且在安裝前應留意應用程式要求的存取權限。此外也應確保防毒軟體更新到最新版本。

蘋果本周釋出的iOS 13.2造成HomePod安裝後無法使用，蘋果緊急對智慧喇叭撤回更新，並呼籲用戶暫緩安裝。

一名用戶在Reddit上反映他的HomePod安裝iOS 13.2後，Apple Music無法使用，用戶決定將Apple Music和HomePod解除配對。但是這個智慧喇叭遲遲沒有反應，僅頂部不斷顯示自轉的白色指示燈表示系統正在更新。使用者試圖長按頂部5秒還原出廠設定，但HomePod只亮了紅燈5秒鐘，之後回到顯示系統正在更新的白燈自轉狀態，並未顯示正在重置的訊息。聯絡蘋果時，技術支援人員表示這個問題無法解決，最後替他更換全新HomePod。

MacRumors報導，另一名用戶是在HomePod跑白燈沒有反應時將HomePod從Home app移除，並啟動系統還原，不過結果是HomePod還原失敗而且進入不斷重開機的循環。

蘋果隨即透過網頁呼籲HomePod用戶如果安裝iOS 13.2不要重設HomePod。如果用戶已經重設或是將HomePod從Home app移除，應儘速聯絡蘋果技術支援人員。

這是iOS 13釋出以來又一次更新災難。一個月內，蘋果已經接連釋出iOS 13.1、13.1.1及13.1.2更新來解決大小不斷的臭蟲。蘋果勢必很快又會再釋出另一版更新解決HomePod問題。

今年5月，臉書修補了WhatsApp一個CVE-2019-3568安全漏洞，當時媒體報導已有駭客利用該漏洞於WhatsApp用戶的裝置上植入Pegasus間諜程式，本周WhatsApp負責人Will Cathcart藉由華盛頓郵報的《意見》版面對外宣布，臉書與WhatsApp已經控告了打造Pegasus的以色列駭客公司NSO Group。

NSO Group為一從事網路情報工作的以色列公司，主要提供協助政府打擊恐怖與犯罪的技術，然而，市場紛傳許多極權政府利用該公司所打造的各種攻擊工具來對抗反對它們的人權捍衛者或新聞記者，其中的Pegasus還被譽為史上最高明的間諜程式，可用來監控受害者的行動與蒐集裝置上的所有資訊。

Cathcart表示，當初那個漏洞藏匿在WhatsApp的視訊功能中，受害者會收到一通顯示為視訊的電話，但它並非是個尋常電話，當手機一鈴響，就算受害者沒有接起，駭客也能傳遞惡意程式到手機上。經過幾個月的調查之後，他們斷定背後的推手就是NSO Group。

Cathcart說，NSO Group曾否認參與了此一攻擊，但調查顯示駭客所使用的伺服器與網路代管服務與NSO Group有所關聯，且攻擊中所使用的某些WhatsApp帳號亦與NSO Group有關，即使攻擊行動非常複雜，卻未能完全掩蓋NSO Group的足跡，因此臉書決定根據美國《電腦詐欺及濫用法令》（ Computer Fraud and Abuse Act）與其它相關法令來追究NSO Group的責任。

根據訴狀，臉書與WhatsApp指控NSO Group在今年4月到5月間，利用WhatsApp伺服器傳送惡意程式到1,400支行動裝置上，目的是為了監控WhatsApp用戶，相關行為並未取得WhatsApp的同意，也違反了WhatsApp的服務協議。

Cathcart認為，這對所有的科技公司、政府與網路使用者而言都該是個警鐘，業者將這些間諜工具散布予不負責任的企業與政府，使它們入侵人們的私人生活，但他們相信人們擁有基本的隱私權，包括WhatsApp在內，沒有人應該存取使用者的私人通訊。

Cathcart還呼籲，企業應該在發現漏洞時負責任地揭露，而不是利用自己的技術來開採該漏洞，進而發動攻擊，亦不應銷售相關服務予其它組織。

在近年DevOps風潮下，帶動軟體開發人員與IT維運技術人員，密切溝通合作的文化，但為避免事後才發現安全被忽略，如何將相關安全融入持續整合、持續交付過程，也成關切焦點。

在今年10月中舉行的DevOpsDays臺北場，微軟專家技術部雲端架構技術顧問黃承皓，也提出建言，教大家分享在DevOps過程中，將安全納入考量。

對於實務上開發人員和維運者所遇到的一些問題，以開發者的面向來看，最常見到的狀況，就是設計一開始就沒有考慮到安全，或是程式碼審查（code Review）時只檢查功能，沒有檢查安全，黃承皓並認為第三方Library的使用問題，將會越來越嚴重；而在維運者的面向來看，則是在於系統記錄的細節程度、權限的管理，以及自動政策檢查等方面。

他並舉出四個最常見的情境，例如，在老闆指示很重要的服務要立即交付的壓力下，安全就容易被犧牲，其次，維運者可能為了方便，往往希望透過一個Command指令就能直接登入到伺服器，但時程越趕，通常會導致失誤越容易發生；第三是維運者可能認為設定簡單，不會誤用，但設定錯誤的問題其實很常見；最後，抱持自己的系統都沒問題的錯誤觀念。

要如何確保上述狀況不會發生？怎樣在過程中能逐步變得更安全，對應開發者與維運者的面向，黃承皓表示，微軟在實作上就是依循微軟安全開發生命週期（SDL），當中包含了12項要點，以及營運安全保證Operational Security Assurance（OSA），這部分有也11項要點必須注意。

以開發者與維運者而言，都有許多需要注意的安全要項，黃承皓表示，微軟在實作上就是依循微軟安全開發生命週期（SDL），以及營運安全保證Operational Security Assurance（OSA），而重點更是要把這兩項結合在一起，成為能夠順利協作的過程。

同時，人員心態的改變也是一大重點，他並列出幾個要項，包括建立威脅模型，程式碼審核、安全測試與依循SDL，以及紅藍隊攻防演練、集中安全監控與滲透測試，並要思考如何偵測到攻擊，以及事件處理與恢復。

從威脅模型建立做起，並要重視使用開源的安全管理

要尋找系統潛在威脅，建立威脅模型很重要。黃承皓指出，例如，微軟使用自行開發的威脅模型化工具Threat Modeling，可以顯示系統上所有用到的元件，並容易將各個組件關聯畫出，以瞭解可能的漏洞與安全防範建議。

為了讓安全與DevOps更具效率，黃承皓特別說明，他們現在的作法，是將大型系統整合測試（SIT），拆散成單元測試的形式，並且是放到最前面的階段去做，這樣的好處是，帶來效率上的提升，減少開發完交付測試後所需要的時間。

對於使用開源的安全問題考量，他認為，一般開發團隊可能沒有特別去注意，原因是很花時間，因此，他建議最好能找一些商業軟體來輔助，以掌握使用的程式庫是否過期或有已知漏洞等。

同時，他也列出了不少可用的工具，包括NPM Audit、OWASP Dependency Check、GreenKeeper、Snyk、WhiteSource Bolt與DevSkim等，而他們自己是使用WhiteSource的產品。

為了更容易挑選適用的工具，由於相關工具的使用都需要去適應，因此在選工具、選流程時，一定要有自動化執行的機制，他建議，不要挑選太複雜會花很多時間的工具。

還有常見的問題在於，像是程式碼寫死（Hard Code）的問題，他表示可使用一些帳密掃描（Credential Scan）工具，在CI/CD的過程中，檢查程式碼中有無帳號密碼等敏感資訊。

關於身分權限安全方面，黃承皓表示，由於身分盜用對企業的傷害相當直接，因此他強調，應確保各個使用者帳號要是最小權限原則，並可採用多因素驗證，或是IP位址限制等方式，防範外部的入侵，而這些偵測過程，也可透過自動化作法去進行，以隨時監看是否有違反政策的情形。

另外，如果是使用Azure的用戶，他也建議，可以參考Secure DevOps Kit的作法，這裡包含了六大重點環節，能夠幫助使用者瞭解如何設計安全的應用程式，其中，他並強調，建立完善的log機制，可供事後分析或是事前警報。

最後，他也指出在流程設計中，從提交前、提交、驗收、生產到維運這5大階段，都有一些要注意的面向，例如，可以透過掃描工具輔助檢查，而相依性的程式庫一定要掃描，而且要懂得實現Infrastructure as code（IaC）的重要性，以及可利用煙霧測試（Smoke test）來檢測報警監控機制是否完善。他強調，必須要在每個階段都加入回饋的機制，並要作為下次更版的改善目標，才能不斷去優化安全流程。

DevOps的5大階段安全策略與建立回饋機制

關於整體流程上的安全考量，黃承皓提出5大階段的安全建議。例如，在一開始的Pre-Commit階段，可使用威脅模型、整合環境安全外掛，以及pre-commit hooks工具、安全程式碼標準，他並指出透過掃描工具去檢查是不錯的選擇，而同儕審查（peer review）也很重要，畢竟人可以看的程度不同。

在提交（Commit）階段，包括靜態程式碼、安全單元測試與相依性管理。他並強調，相依性的程式庫一定要去掃描，否則永遠不會知道發生什麼事。而在驗收（Acceptance）方面，黃承皓指出Infrastructure as code（IaC）的重要性，在實際布署上，有一些作法可以避免產品被入侵後，需要辛苦重建的過程，便於大型災難復原。例如，透過IaC保留現在的Config環境，甚至在每次布署時都使用IaC的方式去重新布署，可以降低被滲透的機會。這是因為APT攻擊的潛伏時間很長，如果自身的環境是不斷被刪掉重建，相對而言，較不易遭受APT入侵。並要執行安全掃描、雲端組態與安全驗收測試（Security Acceptance Testing）等。無論如何，在CI/CD中加入安全機制，確保線上安全品質，才能不斷確保目前線上的安全，並將修正加入CI/CD流程。

在最後兩階段中，在組態檢查與滲透測試之外，他也指出在紅藍隊情境可用煙霧測試Security Smoke Test，來檢測報警監控機制是否完善，最後並要有持續的監控、威脅情資、滲透測試與非指責性事後調查。另外，他也特別強調，在這五大流程設計中，其實都要有回饋並能加入下一次迭代，才能不斷優化安全流程。

Google去年推出.New域名捷徑服務，以加速使用者啟用Google Doc等app，本周二宣佈這項服務擴大提供給外部業者，包括Spotify、微軟、Medium、思科等線上服務也可以快速開啟。

G Suite去年推出的.New域名捷徑包括doc.new、sheets.new及slides.new，以讓使用者可以不用點選如Google Docs、找到「選單」、再按「建立文件」來新增文件。只要在瀏覽器網域列輸入doc.new，就可以無縫連到建立Google Docs的頁面。

周二Google再宣佈10多個新捷徑，其中Cal.new可讓用戶直接在Google Calendar輸入新行程。其他捷徑則可連到第三方雲端app。包括word.new可在微軟Microsoft Word online建立新文件、Playlist.new可在Spotify上建立新歌單、Webex.new可在瀏覽器啟動思科的WebEx視訊會議、Link.new可建立Bitly短網址、story.new方便在Medium寫新部落格文章。

其他還包括GitHub的repo.new、RunKit Node.js API的api.new、簡報製作網站的canva.new、Spotify下Anchor的podcast.new、餐廳訂餐網站OpenTable的reservation.new、eBay的sell.new、Ovo Sound的music.new、線上支付業者Stripe的invoice.new等。

但是用戶必須先註冊且預設登入這些服務，否則輸入域名捷徑時，用戶還是會被導向登入頁面，而減損使用上的方便性。

從今年12月2日起的限時註冊期間，任何人都可以申請.new捷徑，不過必須遵守一些要求，例如必須是HTTPS網頁。為防止新的網址蟑螂，Google也宣佈現在到2020年1月14日止，商標持有人可以註冊其商標的.new域名捷徑。

澳洲議員Andrew Wallace在今年9月提議應該要驗證造訪成人網站的民眾年紀，以保護當地的青少年，然而，根據媒體報導，澳洲內政部最近回應了Wallace的請求，表示可以透過人臉辨識技術來過濾用戶，引起安全及隱私團體的爭相抗議。

與許多國家不同，澳洲並未限制造訪成人網站的使用者年紀，但Wallace認為不該讓9到16歲的青少年造訪線上成人網站或賭博網站，要求政府應該要提出驗證造訪者年紀的有效措施，而澳洲內政部給出的答案就是人臉辨識系統。

澳洲政府在2016年時便發表了人臉身分驗證服務，以當地民眾駕照或護照上的照片建立資料庫，並允許澳洲的政府部門及警方存取及比對以辨識民眾身分。

因此，澳洲內政部在回應中表示，可利用該系統來協助進行年紀的驗證，以避免青少年使用家長的駕照或身分來閃避規定。

不過，此舉很快就引來安全社群及隱私團體的擔憂，如同英國政府原本要求成人網站驗證造訪者年齡一樣，都被認為是侵犯了人們的隱私，再者，安全社群也批評內政部的提議並無任何保障民眾隱私或安全性的作法，且澳洲政府機構的紀錄不佳，包括澳洲警方、移民局或統計局都曾發生資料外洩的資安事件，難保這些用來造訪成人網站的人臉資料不會外洩。

不論如何，不管是Wallace的提議或是澳洲內政部的回應，目前都僅止於討論階段，並不會在短期內付諸實行。

遊戲引擎廠商Unity推出了最新的建築設計用工具Unity Reflect，應用AR與VR技術，加速建築、工程和建造（Architecture, engineering, and construction，AEC）企業應用建築資訊建模（Building Information Modeling，BIM）模型，可將多個BIM模型和元資料應用在即時3D上，也可以創建客製化BIM應用程式。

建築物設計的各部分，包括設計工具、設計迭代和BIM等存在的障礙，都阻礙了即時3D的應用，而Unity Reflect則出現來克服這些困難。Unity提到，沒有一件建築設計專案是相同的，每棟建築物都有其特殊的挑戰，也必須使用不同的方法來解決，像是組合使用Autodesk Revit之類的軟體、物理模型和草圖等內容，並在適合的裝置上進行3D展示。

而且因為設計過程需要不斷改進、測試和變更，設計團隊需要擁有快速地進行迭代的能力，過去企業為設計團隊導入、開發和部署工具時，通常設計都已經過時，而且重新導入設計到工具中，是一件持續發生且耗時的工作。

Unity Reflect開箱即用支援多平臺，可以建置即時BIM體驗，並將其部署到工作需要的最佳裝置上，無論是桌面應用程式還是沈浸式的VR裝置都沒問題，可為企業提供極大的靈活度。Unity Reflect也消除了需要多種工具且花費數天時間，準備與轉換BIM資料成為即時3D體驗的過程，Unity Reflect可以與Revit和SketchUp等設計工具保持即時連接，自動同步迭代的版本，使用者只需要點擊按鈕，就可以將整個過程縮短至數分鐘。

Unity Reflect將會在今年秋季開源釋出，企業可以用來為AEC建置客製化的應用程式，並以簡單的方法將BIM資料導入到客製化應用程式中，Unity Reflect提供了一鍵資料準備和最佳化程序，企業得以將自定義的AR應用程式，帶到建築現場應用即時BIM。

Adobe在10月上旬宣布，為了遵守美國總統川普（Donald Trump）於8月所發布的Executive Order 13884行政命令，將停用委內瑞拉境內的所有帳號，不過，本周Adobe指出，在與美國政府討論後，已經獲得在該國提供數位媒體（Digital Media）產品及服務的許可，將於該國重啟服務。

Executive Order 13884是川普針對委內瑞拉所發布的制裁命令，目的是向該國總統Nicolas Maduro施壓，指責Maduro任意並非法逮捕委內瑞拉的公民，干預言論自由且侵犯人權，因而凍結委內瑞拉在美國的資產，也禁止美國企業與該國交易。

當時Adobe除了宣布不再於委內瑞拉境內提供服務之外，還說依照禁令無法退款，而引起熱議。

本周負責數位媒體的Adobe副總裁Chris Hall則說，在與美國政府討論之後，已取得在委內瑞拉銷售所有數位媒體產品及服務的許可，因此將繼續於該國提供Creative Cloud與Document Cloud服務，用戶也可繼續存取他們原本存放的內容。

為了向受到波及的訂閱用戶致歉，Adobe也祭出了90天的免費使用期作為彌補。

科技部長陳良基今日於科技部成立60周年之際，盤點科技部新南向成果重點。他指出，自2017年起，科技部紛紛建置海外科研中心，至今已在9個東南亞國家建立了12個中心，像是菲律賓、新加坡、泰國、馬來西亞等。他也舉例，科技部的海外科研中心，瞄準了這些新南向國家需求，比如在菲律賓成立水質研究中心，來改善當地飲用水源的品質；或是與泰國建置醫療科研中心，推動臺泰醫療人才培訓、醫務管理和醫療服務。此外，科技部也輔助中正大學，於今年7月至印度設立AI中心，鎖定AI和金融科技，來進行學術研究、產學交流和人才培育等國家型科技計畫。

另一方面，陳良基也補充，東南亞許多國家的地質、地理、氣候等特性與臺灣相似，臺灣也依此輸出了處理天然災害的經驗，像是天氣、防災情資系統等，甚至是地震系統，並布建在這些東南亞國家。科技部接下來也將與印尼簽約，洽談相關合作事宜。

除了將繼續強化新南向國家科技技術輸出，科技部下一步還要強化國際連結，包括推動與美國簽訂人才循環大聯盟計畫（TCA），加強與法國創新育成中心Station F的交流。

陳良基指出，在臺灣進行科研合作的20多個國家中，美國是參與最多重要專案的夥伴，近期除了協助臺灣發射福衛七號，今年8月也簽訂了TCA計畫，要進行臺美學術人才和專業人才的交流。這個計畫是由美國在臺協會（AIT）發起的旗艦型計畫，透過經濟部、科技部、國發會和美商企業等各方合作，來促進臺美人才流通，解決數位科技人才可能遭遇的行政、監管和法律障礙，陳良基表示，年底前應該就會開始交流。除此之外，臺美雙方也將於下周二舉辦人才循環大聯盟高峰會，來探討數位科技人才的趨勢與現況。

除了美國，陳良基強調，法國也是臺灣科研合作的主要夥伴，雙方交流也已超過20年，在半導體、太空和文化創意等領域皆有著墨，而且也定期邀請臺灣團隊至法國技術交流一個月。近來，法國總統馬克宏大力推動AI和創新科技發展，設置了位於巴黎的創新育成中心Station F，要打造最大的新創和技術交流平臺。

陳良基指出，法國在建置該中心的同時，就已向臺灣科技部詢問人才交流事宜，因此在這個基礎上，臺法在今年計畫擴大合作，要鎖定創新創業，由法國提供6組團隊名額給臺灣，至當地參與交流，而臺灣科技部也提供6組團隊名額給法國，促進雙方交流。文◎王若樸