November 19, 2019, 12:05 am
又一家大廠將支援DNS over HTTPS(DoH)。微軟周一宣佈Windows 10將整合DoH功能,未來也考慮支援DNS over TLS。
微軟指出,Windows 10支援加密DNS將關閉最後一塊在公開網路上傳送的明碼網域名。DNS去中心化的前提是用戶端作業系統(如Windows)及ISP都要支援加密DNS。在決定要怎麼支援DNS時,微軟訂定四項原則:Windows DNS必須是預設啟動,不需要用戶或管理員組態;用戶即使不知道其DNS服務為何也會被導向DNS設定。此外,只需簡單動作用戶不需高深知識就能進行DNS組態;同時用戶必須以明示退回未加密DNS服務。一旦Windows啟動加密DNS,若沒有下其他明顯指令,將不允許使用未加密DNS為後備(fallback)服務。為此微軟決定Windows DNS用戶端採用DoH。
微軟指出,作為一個平台Windows Core Networking希望能支援多種安全協定。未來微軟考慮增加像是DNS over TLS (DoT)的選項,但目前Windows以支援DoH為優先要務,因為它對廣大用戶好處較明顯,例如DoH可利用Windows中的HTTPS架構。
至於推行順序,微軟將從Windows現有功能開始,使用現有支援DoH的DNS解析服務。目前市面上已有多個公共DNS解析伺服器,如果Windows用戶或裝置管理員已經使用,則Windows將自動升級到DoH連到同一台伺服器。
微軟表示,不變更Windows用戶或網路設定好的DNS伺服器有多種好處。一是變更DNS伺服器設定可能會繞過原有ISP或公共DNS內容過濾的安全設定,造成用戶困擾;微軟說這些將交由管理員做決定。其次這能在不打擾用戶和應用程式下提供隱私保障。最後,由於Windows 未來啟用DoH後不希望輕易退回到舊的未加密DNS服務,但如果造成任何連線問題也可以及早得知。
微軟表示,未來Windows還會加入更多隱私工具,讓用戶容易找到DNS設定,並使這些設定支援DoH。
至於這項決定何以不像其他功能一樣,先從開發人員的早期測試版出發?微軟解釋,加密DNS愈來愈受到重視,微軟認為宜及早讓大眾知道微軟想法,而不希望用戶猜測Windows是否符合現代化隱私標準。
目前包括Google、Mozilla及Opera都已宣佈支援DoH。Chrome78及最新版Firefox已預設啟用DoH。
↧
November 19, 2019, 12:23 am
安全專家發現Gmail動態郵件功能出現跨站攻擊(cross-site scripting, XSS)漏洞,能讓攻擊者透過此類電子郵件發動攻擊,所幸Google已在上個月修補Gmail這項漏洞。
這個漏洞是由安全公司Securitum在動態郵件功能AMP4Email發現。AMP4Email是Google今年初發表了動態Gmail服務,可在電子郵件加入動態HTML內容,讓使用者可直接在郵件中回覆活動邀約、填寫問卷或瀏覽目錄。例如有人在Google Docs中加註評論時提及某位用戶時,該用戶即可收到更新的Gmail郵件看到該評論,而直接在郵件中回覆。
為了防止AMP4Email遭XSS等攻擊行為,Google設計了驗證機制,即一組允許放入動態郵件的HTML標籤和屬性的白名單。不過研究人員發現AMP4Email仍然出現設計漏洞。他們發現id屬性不在禁止標籤名單上,而可能讓駭客用以建立HTML元件,導致名為DOM Clobbering的攻擊。
簡單而言,這類手法會將DOM元素的id 屬性加為文件的屬性或網頁的全域變數,導致原有文件屬性或全域變數被覆蓋,或者劫持某些變數內容,而造成XSS攻擊。
DOM Clobbering是瀏覽器一項舊有功能,迄今仍對許多應用程式帶來麻煩。Securitum首席安全研究員Michał Bentkowski舉例,在建立HTML元素且希望從JavaScript建立參照時,一般是用document.getElementById('username')或 document.querySelector('#username')等函式,但是並不是唯一方法。也可以利用全域window物件屬性,因此window.username在此也等於 document.getElementById('username')!。這種方法即為DOM Cloberring,碰上應用程式根據某些全域變數(如if (window.isAdmin) { ... })進行決策時,就產生了漏洞。
在AMP4Email中,某些id屬性的值是被限制的。但研究人員發現在AMP_MODE下,如果函式嘗試下載JavaScript檔案時會發生404錯誤,致使後續出現的URL出現「未定義」的屬性,而負責檢查未定義元素的程式碼會去檢查AMP_MODE.test和window.testLocation的值是否為真。在概念驗證攻擊中,撰寫程式造成window.testLocation overload即可控制URL。
雖然在真實情境下,AMP中的內容安全政策(CSP)會阻止攻擊100%執行,但是研究人員8月間在Google的抓漏大賽中發現這項漏洞並通報Google。9月獲得Google 回覆是「很棒的bug」。Google於10月中旬回覆已修補漏洞。
↧
↧
November 19, 2019, 12:57 am
美國商務部(Department of Commerce,DoC)在今年5月20日將華為納入禁止美國企業與之交易的實體名單(Entity List),當時也發布了一項為期90天的臨時通用許可(Temporary General License,TGL)予華為,然而,DoC一再展延此一TGL,本周宣布了第三次的展延,以讓華為能夠繼續服務美國的客戶。
該TGL的第一次期間為5月20日到8月19日,第二次為8月20日到11月18日,在屆滿時,DoC再將之展延90天,直至明年的2月17日。
美國商務部長Wilbur Ross表示,此一展延將讓美國的電信業者能夠繼續服務美國偏遠地區的客戶,以免他們陷入困境。但商務部仍會繼續嚴格監控敏感的技術出口,以確保美國的創新技術不會落入那些威脅美國安全的人手上。
此一臨時通用許可的範圍僅限於維護及支援既有網路與設備、對既有手機的支援、網路安全研究與漏洞的揭露,以及參與5G標準的開發等。其它涉及出口管制條例(Export Administration Regulations,EAR)約束的出口、再出口或於美國境內交易的產品,都會基於「拒絕推定」(presumption of denial)的前提進行審核,只能在取得授權之後才能交易。
然而,根據CNBC的報導,華為董事長梁華在本周於中國舉行的一場會議上表示,就算不仰賴美國業者所生產的零件與晶片,華為一樣能夠出貨予客戶,美國的禁令對華為的影響是有限的,反而會對美國業者造成更大的傷害。
另有美國媒體分析,不管實情如何,美國商務部的一再展延,都在傳遞一個美國需要華為更甚於華為需要美國的訊息。
↧
November 19, 2019, 1:32 am
美國路易斯安那州在本周一(11/18)遭到勒索軟體攻擊,讓許多部門、電子郵件系統、網站與其它網路應用都停擺。
該州的技術服務辦公室認為,這波攻擊類似於今年夏天攻擊美國其它政府機構及校區的勒索軟體,應該不會有資料遺失的問題,而且他們並未支付贖金。
路易斯安那州州長John Bel Edwards則說明,多數網站或服務的停擺主要是因為技術服務辦公室為了避免災情擴大,而主動將它們關閉,並非是因受到勒索軟體的感染,因此,州政府已陸續恢復許多網路服務,全部復原大概要花上幾天的時間。
在勒索軟體持續猖獗的年代,萬全的準備才是王道。路易斯安那州在聲明中表示,他們已針對這類的攻擊進行訓練及準備,也曾成功緩解類似的攻擊,相信很快就能讓所有的服務重新上線。
外界則猜測該州感染的勒索軟體為Ryuk。根據資安業者Emsisoft的統計,以難解著稱的Ryuk並未名列勒索軟體前十大排行榜,不過它因專門鎖定大型組織且要求高額贖金而聲名狼籍,例如它曾感染佛羅里達州的Riviera Beach市,後來該市決定支付價值63萬美元的比特幣以換回解密金鑰。
↧
November 19, 2019, 2:16 am
在歐盟主管機關質疑違反GDPR後,微軟宣佈已更新全球企業的雲端服務條款,說清楚蒐集用戶資料的明確用途。
事情起於今年2月荷蘭司法與安全部評估微軟的雲端服務隱私性。當時發現,微軟的Office 365 ProPlus及Office 365在未告知並取得同意情況下,就蒐集了這些產品用戶的遙測資料,違反GDPR。8月後續研究還是發現有隱私風險,當時微軟承諾將修改服務條款。
而10月是歐盟資料保護監管機關(European Data Protection Supervisor, EDPS)介入調查,並表示初步調查結果令其對微軟雲端和歐盟境內企業和個人的雲端服務合約以及微軟作為歐盟企業資料處理者(processor)的角色,是否符合GPDR有嚴重疑慮。
微軟周一宣佈已對微軟針對商用雲端合約的線上服務條款(Online Services Terms,OST)的隱私部份完成更新,這是將微軟和荷蘭司法部間的協議修改擴大適用全球客戶。微軟隱私長Jullie Brill指出,經過更新後,其線上服務條款將提高透明度,使企業客戶了解微軟雲的資料處理行為。
微軟將更新針對全球企業客戶,涵括公部門、私部門、大型企業或中小型企業的雲端合約條款。微軟將更清楚說明,微軟擔任合約涵蓋的雲服務如Azure、Office 365、Dynamics 和Intune的資料控管者(controller),基於管理及營運目的進行用戶資料的蒐集及處理,這些目的包括帳號管理、財務報告、防制微軟所有產品或服務上的網路攻擊,以及法規義務遵循等。
微軟說,透過說明資料明確用途及微軟作為控管者,有助於釐清微軟怎麼使用資料,及符合GDPR的規定。同時間微軟仍然是其服務的資料處理者(processor),負責強化資料的安全防護。
微軟表示現在已經開始對政府及企業客戶更新OST,並預計於2020年初推向全球政府和企業客戶。
一旦被歐盟認定違反GDPR的企業將損失慘重,最高可判罰全球年營收的4%。去年9月發生網站和行動app遭駭導致大批旅客信用卡及個資外洩的英國航空,7月因違反歐盟個資法GDPR,遭英國主管機關重罰1.83億英鎊(約台幣64億元)。年初Google則因以廣告對消費者資訊透明度不足,被法國罰款5千萬歐元。
↧
↧
November 19, 2019, 2:58 am
Google本周發表了全新的遊戲串流平台Stadia,儘管它標榜使用者不必購買遊戲機、不必有高階的電腦設備,就能透過串流於各種裝置上玩遊戲,然而,測試過該服務的媒體多半認為它充其量仍只是個測試版,尚不足以吸引廣大的消費者。
其中,有不少人認為Stadia的進入門檻太高,雖然它不要求使用者的硬體裝置,但消費者必須要先購買Google專替Stadia設計的遊戲控制器,要價129美元,同時它採訂閱制,每月必須支付9.9美元,而且有些知名遊戲還得另外付費購買,就算它目前提供3個月的免費試用,依舊有人批評,如果把129美元當成入門價,那麼Stadia的表現是令人失望的。
其實Google也規畫了免費的Stadia Base服務,但預計要明年才會發表,外界認為可能要等到Stadia Base 上線之後,才能引起更多消費者的興趣。
其次是Google原本宣稱的許多功能都沒在本周上線,例如它的Stadia控制器與電腦及手機上的無線連結功能無法運作,或是它尚未整合Google Assistant ,也不能分享實況串流。
亦有人嫌棄Google於本周發表的22款遊戲,沒有一個屬於足夠吸睛的殺手級遊戲。
其它的批評還包括它的4K看起來不像4K,或是Chrome版有些失真,但Stadia還是有值得稱讚之處,例如絕大多數的測試都同意Google的串流技術真的很不賴。
↧
November 19, 2019, 3:11 am
Tensorflow官方現在釋出TensorFlow.js新的人物分割模型BodyPix 2.0,這個新版本新增多人支援,且也以ResNet50改善了精確度,官方也提供了權重量化功能,並支援不同圖像尺寸。最新版本的BodyPix已經可以在GitHub儲存庫中取得。
BodyPix是一個開源的機器學習模型, 讓開發者在瀏覽器中,使用TensorFlow.js對圖像進行人物(Person Segmentation)和身體部分(Body-part Segmentation)的分割。圖像分割技術是對圖像中的畫素進行語義分類,通常用於偵測物體或是邊界,而BodyPix模型可以在圖像中辨識出人,或是人的24個身體部位,也就是說,BodyPix可以將圖像的畫素分為人物與背景兩類,而針對人物的畫素,還可細分為24個部位。
![]()
官方提到,之所以要在瀏覽器支援人物分割的功能,是因為目前大多數的人物分割對系統的要求都很嚴苛,像是要使用專用硬體以及安裝較複雜的軟體,才能進行即時的人物分割,但BodyPix提供一個簡單的方式,讓使用者不需要安裝軟體,也不需要使用專業的攝影機。
BodyPix模型可以搭配任意網路攝影鏡頭和行動裝置的鏡頭使用,而使用者只需要在瀏覽器輸入URL,即可存取這些人物分割應用程式,而且因為所有的計算都是在裝置上完成,使用者資料皆能保持私密。
在進行人物分割的時候,BodyPix模型會預測所有畫素屬於人的機率,這些數字是介於0到1之間的浮點數,開發者可調整分割閾值,設定一個畫素屬於人的值,當閾值為0.5時,畫素的值大於0.5則會被設定成二進位的1,而小於0.5便會被轉換成0,藉以分割圖像中人與背景(下圖)。身體部位分割也是採用類似的方法,身體的每個畫素都會被分類為0到23的整數值,指示像素屬於24個身體部位的其中一個,而身體外部的畫素則會被設定為-1。
![]()
在之前,BodyPix都只能處理圖像中的單一人物,而新推出的BodyPix 2.0,最重要的更新便是開始支援即時多人物分割,在包含多人的圖像中,模型可以分別預測每個人的分割,不只如此,現在還能進行多人物的身體部位分割,將圖像中的每個人從背景分割出來後,並且分割每個人物的每個身體部位。
![]()
↧
November 19, 2019, 4:10 am
到了一個新城市之後不知從何開始吃、喝、玩、樂的行程嗎?或者是想在自己的城市中追隨前輩的腳步嗎? Google於本周宣布,很快就會在曼谷、東京、紐約與舊金山等9個城市的Google Maps上測試一項新服務,讓使用者可以跟隨當地最優秀的「在地嚮導」(Local Guides)來探索城市的種種。
Google是在2015年推出在地嚮導功能,鼓勵各地的民眾上傳照片到Google Maps上,或是撰寫評論,修改平台上的資訊或是回答簡單問題,Google則會祭出獎勵或頒發「在地嚮導」標章來回饋這些有所貢獻的使用者,還會定期舉辦在地嚮導高峰會,讓他們齊聚一堂。
本周Google即在高峰會上宣布,很快就會在曼谷、新德里、墨西哥市、紐約市、大阪、舊金山、聖保羅與東京等9個城市的Google Maps上測試新的嚮導功能,當使用者追蹤當地其中一名傑出的在地嚮導時,他們的推薦就會自動浮現在Google Maps上,讓使用者可以跟著這些嚮導的步伐來探索城市。
該服務未來將會出現在Google Maps的For You標籤上,有興趣的使用者可隨時注意該標籤是否有新功能出現。
↧
November 19, 2019, 6:48 pm
由中國舉辦的天府杯(Tianfu Cup)駭客競賽上周末於成都舉行,來自11個團隊的研究人員在兩天內攻陷了Chrome、Safari、Edge、Office 365、Adobe PDF Reader、D-Link DIR-878路由器、qemu-kvm + Ubuntu與MWare Workstation,總計抱走了54.5萬美元的抓漏獎金。
天府杯的性質與趨勢科技所主辦的Pwn2Own非常類似,都是設定主題,提供抓漏獎金,並鼓勵安全研究人員尋找各式服務或產品的零時差漏洞,只不過Pwn2Own屬於國際性的白帽駭客競賽,而天府杯目前僅限於中國境內。
根據CyberScoop的報導,過去中國的資安研究人員不只是Pwn2Own的常客,也是常勝軍,但中國政府在去年規定他們不得再參與國際的資安賽事,所以從2018年起,Pwn2Own賽事就不再出現中國隊伍,而中國也在去年自行設立了天府杯。
儘管中國的資安研究人員拒絕證實此事,但外界猜測與中國不想對外揭露自行發現的漏洞有關。
總之,今年已是天府杯第二年的賽事,主要是透過Twitter公布比賽結果,其中,成功開採qemu-kvm + Ubuntu的360Vulcan抱走了8萬美元的獎金,也是此次比賽的單項最高獎金。360Vulcan在兩天的賽事中總計領走38.25萬美元的獎金,為此場賽事的大贏家。
↧
↧
November 19, 2019, 7:01 pm
Google本周宣布已收購CloudSimple,CloudSimple主要在公有雲上建立一個安全且高效能的環境,讓企業得以在雲端上執行VMware任務,併購CloudSimple將讓Google得以協助VMware的用戶遷移到雲端上。雙方並未透露此一交易的金額。
CloudSimple成立於2016年,當初是著眼於VMware為企業應用的首選平台之一,決定在公有雲上打造一個作業系統來管理專用的雲端及VMware任務,過去即曾與Google Cloud 及Microsoft Azure合作,亦獲得VMware的支持。
CloudSimple創辦人暨執行長Guru Pangal曾在2009年共同創辦雲端儲存服務StorSimple,微軟在2012年買下了StorSimple,順勢進入微軟的Pangal曾擔任微軟混合儲存與資料保護部門的總經理,之後才創立CloudSimple,且CloudSimple還獲得了微軟M12的風險投資。
Google工程副總裁Rich Sanzi表示,許多企業都在就地部署的環境中以VMware執行各種不同的任務,如ERP與CRM等企業應用,或是Oracle與SQL Server等資料庫,以及作為開發、測試及虛擬桌面使用,而它們也想要能夠簡單地把這些任務轉移到雲端上。
整合CloudSimple之後,未來Google Cloud的用戶將可在雲端上執行與就地部署一致的應用,同時享有雲端的優點,包括效能、彈性,以及與其它重要雲端服務的整合等,同時用戶也不必重新建構VMware應用與任務。
↧
November 19, 2019, 7:13 pm
AWS為容器服務Amazon ECS以及AWS Fargate推出容器日誌管理服務FireLens,用戶不需要修改部署腳本,或是撰寫程式碼,就能路由容器日誌到儲存或是AWS服務,有效簡化用戶管理容器日誌的工作。
用戶只需要更新Amazon ECS或AWS Fargate的配置,就可以設定日誌交付的目的地,並視需要定義過濾器,以指示FireLens發送容器日誌的方式。用戶可以直接將容器日誌導向儲存以及分析工具,而不需要修改部署腳本,或是手動安裝其他軟體,也不需要撰寫程式碼來執行這些工作。
用戶只要使用任務定義(Task Definition)參數,就可以將日誌路由到AWS服務或是AWS Partner Network(APN),另外FireLens還可以和多平臺日誌處理器Fluent Bit及資料收集器Fluentd一起使用,也就是說,用戶還可以將日誌記錄發送給這些開源解決方案,用戶可以選擇使用AWS for Fluent Bit映像檔,或是從自己的Fluentd或Fluent Bit映像檔安裝。
有多項工具可以讓用戶建立任務定義配置FireLens,包括AWS SDK、AWS CLI以及AWS管理控制臺。目前用戶在支援Amazon ECS和AWS Fargate服務的地區,皆可以使用Firelens容器日誌管理工具。
↧
November 19, 2019, 7:23 pm
AWS的基礎設施即程式碼服務(Infrastructure As Code,IaC)CloudFormation釋出CLI工具,讓用戶與第三方廠商能夠建立資源供應程式(Resource Provider),並希望透過開源的形式提升其可擴充性。另外,AWS還推出了CloudFormation註冊表,為用戶和廠商提供一個通用的框架,用戶可以在CloudFormation模板中使用豐富的第三方資源類型。
CloudFormation是AWS在2011年推出的服務,讓用戶以通用的程式語言或是文字檔案,在雲端配置AWS服務以及第三方應用程式資源。AWS現在更新CloudFormation以擴大其生態系,新推出的工具CloudFormation CLI提供用戶建置資源供應程式所需要的資源,包括詳細的文件以及範例程式碼。
CloudFormation CLI的指令功能包括初始專案、產生專案骨幹程式碼、測試資源供應程式,以及將其在CloudFormation上註冊。而建立資源供應程式的主要三個步驟,分別為建模、開發和註冊,用戶使用CLI建立和驗證資源規範描述的模型,並可以使用Java和Go等程式語言開發資源供應程式,定義資源的核心操作,像是建立、讀取和更新等,並在本地端進行測試,完成開發。
最後,經過開發和測試階段後,開發者於CloudFormation註冊表註冊資源供應程式,之後就能在CloudFormation模板中使用這些資源類型。開發者可以使用CloudFormation CLI上傳套件到特定的AWS地區,AWS提醒,套件被接受的過程是非同步的,但只要完成之後,用戶就可以在CloudFormation模板中使用新資源類型。CloudFormation註冊表會按帳戶和地區,儲存資源供應程式,用戶可以直接從CloudFormation控制臺中存取。
AWS也宣布與多家第三方供應商合作,包括Atlassian、Datadog與Fortinet在內的7家廠商會建立資源供應程式,供AWS用戶在CloudFormation模板中使用。目前所有的公開AWS地區,都已經支援CloudFormation CLI。
↧
November 19, 2019, 7:46 pm
混沌工程工具廠商Gremlin在其可靠性即服務(Reliability as a Service)平臺加入對Kubernetes的支援,用戶現在可以用網頁應用程式以及API來探索、視覺化以及鎖定Kubernetes物件,並由Gremlin平臺自動選取所指定Kubernetes物件下的容器,用戶不用麻煩地從列表中選擇目標容器。
Kubernetes的核心功能便是自動化和抽象化部署、擴展和管理容器化應用程式的工作,降低用戶操作上的複雜性,而隨著雲端應用的發展,Kubernetes的使用越來越常見,因此Gremlin開始為其混亂工程工具加入Kubernetes的支援,讓使用者可以像是使用Kubernetes技術一樣,簡單地進行試驗,以抽象的方式看待基礎架構,鎖定想要測試的目標服務。
Gremlin提到,過去使用者在Kubernetes叢集的容器上安裝Gremlin,需要特別去處理Kubernetes調度程式啟動與關閉容器的方式,以鎖定想要測試的容器底層服務,整個過程就像在打地鼠遊戲一樣,無法以直覺的方式選取Kubernetes物件,針對特定目標進行測試。
而現在Gremlin更新對Kubernetes的支援,用戶只要利用Helm Chart更新Gremlin客戶端之後,就能啟動Gremlin網頁應用程式開始創建新的攻擊,直接鎖定建構在Kubernetes物件上的特定服務。用戶透過下拉式選單探索Kubernetes叢集以及命名空間列表,還能夠進行搜尋或是過濾操作,以找到想要實驗的Kubernetes物件集。
Kubernetes物件底下還細分為Deployment、DaemonSet、ReplicaSet、 StatefulSet與Pod,讓用戶一目瞭然目標並安全的進行試驗,(下圖)Gremlin介面右邊會視覺化使用者系統中的Kubernetes叢集,勾選左邊的選項右邊相對應的圖示便會亮起,明確告知用戶即將進行攻擊的目標。
![]()
只要用戶選擇好Kubernetes目標物件,接下來Gremlin工具便會自動選取適當的容器目標,用戶不用從冗長的列表中尋找特定的容器,或是擔心意外地遺漏了部分容器,Gremlin工具介面會按所屬的Kubernetes物件,顯示所有將被攻擊的容器細節。
↧
↧
November 19, 2019, 8:32 pm
安全研究人員發現Google及三星手機、以及其他Android手機的相機程式有可繞過存取權限檢查的漏洞,可讓駭客用來暗中拍照錄影、甚至定位用戶所在位置。但研究人員相信所有Android手機都有風險。
安全廠商Checkmarx研究小組在Google Pixel 2 XL 和Pixel 3的相機程式上發現一項和權限繞過(permission bypass)有關的安全漏洞,編號CVE-2019-2234。首先,研究團隊發現透過操弄一些特定的actions和intents,攻擊者可利用非法、沒有權限的應用程式控制Google相機程式,用它來拍照或錄影。攻擊者還可繞過手機儲存權限政策存取手機裏的影片、相片及相片的GPS metadata。只要用這些影片、相片、分析其中的EXIF資訊,即可定位出用戶所在位置。隨後研究團隊也發現同一技巧也可用來駭入三星手機的相機程式,他們相信所有Android 手機都有這個風險。
研究人員解釋,存取相機、麥克風、GPS 資料是相當具侵略性的行為,因此AOSP設計了一系列權限許可,應用程式必須取得用戶許可才能存取這些資料。而其中,又以存取SD卡為最多應用程式要求的權限,即使手機中的影片和相片對這些應用程式根本沒用。
為進行概念驗證攻擊,研究團隊開發了一款惡意天氣程式,一旦在Android手機上開啟,即暗中和外部C&C伺服器建立連線,等待接收攻擊指令。研究人員成功以這隻惡意程式控制Google相機程式來拍照、錄音並上傳到惡意伺服器,並分析照片的GPS資訊來定位。此外,惡意程式還能等待有人打來電話、自動啟動錄音,還可以同時錄影。這些動作可不發出聲音進行,甚至能在手機鎖住、螢幕關機時進行攻擊。
研究團隊在7月發現漏洞後通報Google,Google證實此事,並將之風險由最初的「中度」風險提升為「高度」。他們也通知了三星及其他Android手機品牌業者,也獲得三星證實。Google已在7月更新Google 相機(Camera)app並對硬體廠商發佈修補程式。
↧
November 20, 2019, 12:49 am
Kickstarter、Indiegogo等募資平台上眾多新創團隊看似有趣的產品往往因管理不當,造成不是得再募資就是專案失敗團隊解散,留下贊助者罵聲連連。現在Kickstarter提供預算管理工具,讓新創團隊得以掌握專案預算,最好還能公開。
8月Kickstarter發表了資金計算機(Funding Calculator)工具,讓新創團隊可管理專案成本,掌握容易忽略的成本項目如稅或費用。在此工具之上,Kickstarter又推出很直白的預算管理工具「專案預算」(Project Budget)。
專案預算基本上是一個預算試算表,新創團隊可用它來輸入整個專案的成本項目,包括原型開發、研發、包裝、出貨等。完成後新創團隊可以選擇將部份圖片顯示在募資網頁新增的區塊內。
Kickstarter系統整合團隊主管Meg Heim表示,這項工具提供專案預算規劃的主要架構,並提點新創團隊他們沒想過的花費,像是付給自己和團隊成員的薪水。此外,Kickstarter也希望這工具鼓勵新創專案透明化,讓贊助者清楚專案團隊收支規劃、自己的錢被用到哪裏,以及新產品開發的實際花費。
The Verge引述Meg Heim指出,雖然新創團隊可自由選擇要不要這工具,但是願意使用者有機會被放到較明顯位置,此外也會獲得一個特殊標章供贊助者識別。「專案預算」將先提供給「設計」與「科技」類的新創計畫,之後再修改推廣給其他類別。專案預算工具是Kickstarter名為「The Cost to Create」的資金管理工具套件的一部份。Kickstarter未來也計畫推出新工具讓新創團隊分享一項募資計畫在創意實踐階段的資金運用,而不只是初期預算。
↧
November 20, 2019, 1:04 am
臉書(Facebook)在上周悄悄修補了WhatsApp的一個緩衝區溢位漏洞,此一編號為CVE-2019-11931的安全漏洞只要藉由一個惡意的MP4檔案就能觸發,造成服務阻斷或遠端程式執行,且同時影響Android與iOS用戶。
WhatsApp向Threatpost透露,該漏洞是由WhatsApp內部工程師自行發現,迄今並無任何證據顯示已被開採。
根據臉書的說明,這是一個堆疊緩衝區溢位漏洞,駭客只要傳遞一個特製的MP4檔案予WhatsApp用戶就能觸發,問題出在於解析MP4檔案串流元資料時,可能導致服務中斷或是允許駭客自遠端執行程式。
該漏洞同時波及各個平台的WhatsApp版本,涵蓋Android 、iOS、Windows Phone、Business for Android 、Business for iOS,以及Enterprise Client。
曾被視為安全傳訊程式的WhatsApp近來成為駭客的攻擊目標,臉書今年5月就曾修補已被開採的CVE-2019-3568漏洞,駭客只要傳送一個特製的SRTCP封包到目標對象的手機上,就能觸發緩衝區溢位漏洞,並執行任何程式,駭客利用此一漏洞來植入Pegasus間諜程式,臉書還因此控告了開發Pegasus的以色列駭客公司NSO Group。
外界猜測,WhatsApp可能是在察覺自己成為駭客目標後,展開全面的資安補強,進而發現與修補最新的CVE-2019-11931漏洞。
↧
November 20, 2019, 1:37 am
世界500大超級電腦最新排名本周公佈,今年前500大名單之末效能高達1.14 petaflops的系統,比起今年6月的1.02 petaflop又再見提升。
這次前十名的超級電腦和今年6月完全一樣。第一、二名仍為美國能源部旗下的橡樹嶺國家實驗室(Oak Ridge National Laboratory)的Summit及同屬能源部的勞倫斯利佛摩國家實驗室(Lawrence Livermore National Laboratory)的Sierra。兩者同採用IBM Power 9 CPU及Nvidia Tesla V100 GPU,高效能Linpack(High Performance Linpack, HPL)執行結果分別為148.6 petaflops及94.6 petaflops。而勞倫斯利佛摩實驗室還有一台IBM Power 9/Nvidia V100 GPU超級電腦Lassen,以18.2petaflops列居第10位。
第三、四名皆來自中國。無錫國家高速運算中心的神威太湖之光以93.0 petaflop些微差距落居第三,採用中國自製的神威SW26010處理器。第四名是廣州超級電腦中心的天河-2A,搭載Inel Xeon CPU及Matrix-2000加速器,HPL測試結果為61.4 petaflops。
第5名則是座落於德州進階運算中心的Frontera,它是搭載Xeon Platinum處理器的Dell C6420系統,HPL執行結果達23.5 petaflops。今年5月被HP收購的Cray則貢獻了第6、7名;分別是位於瑞士國家超級運算中心的Piz Daint及洛斯拉莫斯及Sandia國家實驗室的Trinity,前者也是歐洲排名最高者,HPL效能測試各為21.2petaflops及20.2petaflops。
日本產業綜合研究所的富士通超級電腦AI Bridging Cloud Infrastructure (ABCI)及德國萊布尼茲超級運算中心(Leibniz Supercomputing Centre)的聯想系統則以19.9 petaflops和19.5 petaflops居第8、9位。
我國高速運算中心的台灣杉(Taiwania)則以1.32 peraflops居412名,搭載Intel Xeon Gold的富士通機器。
↧
↧
November 20, 2019, 2:16 am
Alphabet旗下的人工智慧公司DeepMind不只會下棋或玩遊戲,該公司也把機器學習與人工智慧技術應用在改善各式服務上,例如減少冷卻資料中心的用電量,或是延長Android裝置的電池續航力,本周DeepMind則說明了Google Play如何藉由該公司的技術來推薦程式予使用者。
DeepMind說明,Google Play支持著全球最大的推薦系統之一,有些使用者是直接到Google Play搜尋想要的程式,有些使用者則是單純瀏覽該服務以尋找有趣或新的程式,為了提供更豐富且個人化的體驗,Google Play團隊會根據使用者過去的偏好來推薦程式,但中間有許多細微的差異,例如對於科幻遊戲的玩家來說,推薦其它科幻遊戲可能是正確的,但對於安裝旅遊程式的使用者而言,推薦翻譯程式可能更符合他們的需求。
於是DeepMind即與Google Play團隊密切合作,且Google Play已在今年部署了由DeepMind建置的推薦系統。
現在Google Play的推薦系統主要由3個模型組成(下圖,來源:DeepMind),分別是候選生成器、重新排序,以及針對不同目標最佳化的模型,先由候選生成器自上百萬種程式中找出最適合使用者的少許程式,再根據使用者的偏好替這些程式排序,之後建立整合關聯性、熱門程度與個人偏好等目標的最佳推薦。
![]()
DeepMind指出,他們除了必須在現實環境的約束之下導入機器學習技術之外;也會避免候選程式生成程序時所產生的偏差,例如不只仰賴程式出現的次數,還會根據每個程式的出現次數與安裝次數的比例來減少誤差;另也改善了針對個別使用者的程式推薦排序能力,以更準確地預測使用者的需求;同時發展一套新的演算法,以在各種目標之間找到折衷。
要在規模龐大的Google Play上導入機器學習帶來許多研究上的挑戰,因為研究人員必須在有許多實體限制下的環境作業,在設計、導入或測試演算法時必須把產品需求及限制納入考量,這使得DeepMind與Google Play團隊必須每天進行溝通,才得以造就今日的Google Play推薦系統。
↧
November 20, 2019, 2:41 am
隨著各國5G服務相繼開通,高通預期明年全球5G手機將出貨2.25億支,後年突破4億支。
高通本周在分析師大會上樂觀預期,在中國開通5G服務,以及不同價格帶的晶片組出貨推動下,5G普及速度將超過4G。高通估計2020年全球5G智慧型手機出貨可望落在1.75億到2.23億支,2021年超過4.5億,到2022年更可望突破7.5億支。高通預計2020年推出整合5G數據機。
高通冀望5G普及帶動人工智慧、自駕車、智慧家庭與影音遊戲娛樂等應用,進而拉抬包括物聯網裝置、連網汽車、雲端及邊緣運算伺服器等多種平台的晶片銷售。除了智慧型手機,高通也看好預計到2022年,汽車、運算及IoT平台上的可服務市場(serviceable addressable market)產值分別為40、80及130億美元。
韓國今年4月首先開通5G服務,其後有摩納哥、瑞士,美國和英國加入。中國本月1日正式開通5G服務,首批開通5G商用服務的城市有50個。而美國電信業者Verizon也預計今年底將5G服務推向美國30多個城市。
↧
November 20, 2019, 3:00 am
資安業者ESET本周揭露了一款在中南美洲流竄的金融木馬程式Mispadu,指稱Mispadu除了透過垃圾郵件散布之外,駭客還在臉書上執行惡意的麥當勞優惠廣告,以誘導使用者點選,進而在使用者系統上安裝惡意程式以竊取機密的金融資訊。
駭客除了利用垃圾郵件來散布Mispadu之外,還在巴西的臉書上購買了廣告版面,利用偽造的麥當勞優惠廣告來吸引使用者點選,繼之將使用者引導到惡意網頁,並要求使用者下載優惠券,但所下載的ZIP檔案除了含有惡意程式外,也包含用來混淆視聽的Firefox程式或其它合法程式,後來還含有惡意的Chrome擴充程式。
值得注意的是,該Chrome擴充程式假冒為安全程式「Protege seu Chrome」(Protect your Chrome),但安裝之後卻是用來竊取使用者的信用卡資訊、銀行資訊與當地最大支付系統Boleto資訊。
Mispadu的後門功能則包括可截取螢幕畫面、模擬滑鼠與鍵盤動作,還能紀錄鍵擊,也能自動更新,同時它也蒐集了被駭系統的作業系統版本、電腦名稱、語言、所安裝的拉丁美洲金融程式,以及系統所安裝的防毒產品等。
此外,它還能自Chrome、Firefox與IE等瀏覽器,或者是Outlook、Thunderbird等電子郵件客戶端軟體竊走所儲存的金融憑證;亦可監控剪貼簿的內容以將加密貨幣的錢包位址置換成駭客所持有的。
Mispadu鎖定拉丁美洲市場,主要為巴西及墨西哥,ESET觀察到駭客在今年9月與10月分別展開大規模的攻擊行動,以今年10月的攻擊為例,光是在巴西就有接近10萬次的點擊。
↧
.png)
