科技部落格OneZero觀察全球的媒體報導，發現至少已有28個國家藉由加強對人民的監控，來抑制武漢肺炎疫情，對許多政府來說，這只是權宜之計，但不少人權組織都擔心，在疫情結束之後，民眾的隱私權將難以復原。

OneZero所列出的國家包括阿根廷、澳洲、奧地利、比利時、巴西、中國、杜拜、厄瓜多爾、香港、印度、印尼、伊朗、以色列、義大利、肯亞、挪威、巴基斯坦、波蘭、俄羅斯、新加坡、南非、南韓、瑞士、台灣、泰國、英國及美國。

其實數位人權組織Top10VPN在今年3月下旬時，便曾統計相關的數字，當時Top10VPN指稱有13個國家採行數位追蹤來抑制疫情的蔓延，而OneZero的統計數字則翻了一倍。

各國最常使用的監控形式為使用智慧型手機的位置資料，一方面可分析人潮的流動，另一方面也能用來追蹤被隔離者的位置。

有些政府則會打造行動程式供民眾下載，這些行動程式除了提供疫情資訊或自我診斷功能之外，也會與官方分享所在位置，有的程式還會依據民眾是否曾與武漢肺炎確診者近距離接觸，而提出警告。

OneZero認為，不管是使用哪一種技術，都或多或少地侵犯了民眾的隱私，還擔心在疫情結束之後會留下遺毒，例如美國在2011年911恐怖攻擊事件時通過了《美國愛國者法案》（USA Patriot Act），該法案賦予美國政府更大的監督權力，例如得以不經法院許可就向電信業者調閱用戶資料，且該條款迄今依然存在。

美國司法部、國土安全部、國防部、國務院、商務部，以及美國貿易代表署，上周共同向美國聯邦通訊委員會（FCC）建議，希望能撤銷及中止中國電信（China Telecom）在美國提供國際電信服務的授權，以避免美國的安全受到威脅。

中國電信為中國的國營企業，為中國的第一大固網業者與第二大行動業者，中國電信成立了專門負責美洲業務的China Telecom Americas，於全球超過110個國家提供電信服務，包括美國在內。

美國在2007年授權中國電信提供進出美國的國際電話業務，上述的美國政府機關指出，當時美國主要的國防威脅來自於伊朗、阿富汗與巴基斯坦的恐怖份子，但到了2019年，全球最主要的國防威脅卻是來自網路。

負責美國國家安全事務的助理部長 John Demers表示，現在每個國家與人民都更為仰賴電信網路，國家、專業通訊及隱私資料的安全性，奠基在值得信賴的合作夥伴，此次的行動只是為了確保美國電信系統的完整性。

其實在2018年時，就有研究指出中國電信長期挾持經過美國與加拿大的流量，隨後甲骨文即進一步提出佐證。2019年時亦爆出因中國電信的路由保障措施不足，而將歐洲的行動流量誤導至中國電信。

至於美國官方組織則認為，中國電信很可能會遭到中國政府的控制，且中國電信對於如何存放美國紀錄之事作出不實陳述，對於如何實踐網路安全的說明也不準確，再加上懷疑中國電信可能協助中國駭客的惡意行動，因而要求FCC撤回該公司的經營執照。

整體而言，美國並未找到任何中國電信故意違反約定或進行破壞的行為，只以該公司部份措施並未遵循與美國的協議，同時擔心它與中國政府的關係，可能危及美國的國家安全，而要求FCC展開行動。

去年，美國就有兩名參議員要求，FCC應重新審核中國電信及中國聯通（China Unicom）在美國的經營許可。原本中國的另一家行動業者中國移動也想進入美國市場，但已多次被FCC否決。

統一碼聯盟（Unicode Consortium）宣布，因受到疫情的影響，Unicode 14將會延後6個月問世，預計要到明年秋天才會發表，造成使用者明年應該看不到Emoji 14，沒有新的表情符號可以用。

該聯盟解釋，他們非常仰賴志工的貢獻，受到疫情的影響，這些志工本身有很多的要事得處理，因此決定延後發布時程。

一般而言，統一碼聯盟約是在每年的3月對外發表新版的Unicode，包含新版的表情符號（Emoji）在內，但包括蘋果及Google等業者都是在同年的9月，才會在新手機上部署新版Emoji，因此使用者通常要到每年的9月，才會在手機上看到新的表情符號。

有鑑於Unicode 14的發表延後，統一碼聯盟的表情符號小組，也將把接受新表情符號的申請期限，從今年的6月推遲到9月，而使用者預計得等到2022年，才能在手機上看到Emoji 14。

不過，該聯盟也在考慮是否藉由Emoji 13.1，釋出表情符號的變異序列（emoji sequences）來因應，這些序列是結合兩個既有的表情符號，不需仰賴新的Unicode版本，也能獨立發表，可用來支援明年秋天出爐的手機。

至於今年的Unicode 13與Emoji 13已如期在3月釋出，使用者9月就能在手機上看到新款的表情符號，今年新增了55種表情符號，包括帶淚的笑臉、北極熊及珍珠奶茶等。

雖然武漢肺炎讓數千萬人留在家中上班和上課，刺激用戶購買PC的需求，但由於中國工廠停工、英特爾CPU缺貨，上季PC市場仍然衰退8%。此外，研究機構也警告，第1季好景過後，第2季即面臨反轉。

Canalys報告指出，第一季包括桌機、筆電（包括Chromebook）及工作站，全球出貨量為5,370萬台。前五大業者排名維持上季，依序是聯想、HP、Dell、蘋果及宏碁，其中蘋果的Mac電腦估計出貨大跌21%受創最重，Dell則反而成長1.1%。

分析師Rushabh Doshi指出，第一季PC產業受惠於COVID-19疫情，各國政府祭出禁足令，企業員工和學生被要求在家上班及上課，推升PC銷售量，商用及消費市場皆出現緊急需求。然而英特爾轉型10奈米不順，導致開年以來處理器供貨緊縮，接著碰上武漢肺炎爆發，中國工廠無法在農曆新年假期後如期復工，導致PC出現供貨短缺的情況。上季成本已不再是影響PC產業最主要因素，而是供貨速度。

過去幾周PC廠商皆呈現大豐收，營業利益率來到史上最高，而其他家用科技產品，包括耳機、網路攝影機、印表機、螢幕也都出現熱銷情形。此外，協助使用者在家上班的軟體，包括協同、虛擬桌面、遠端存取及安全軟體也需求大增。而在英特爾缺貨情況下，帶動AMD上季在商用及消費機種的銷售佳績。

至於第二季，雖然隨著中國工廠復工供給趨穩，但是第一季PC市場熱度卻不會再持續。由於武漢肺炎引起的全球大蕭條，許多企業面臨破產，將有數百萬人因此失業，就連政府和大型企業也會將支出挪到其他用途，因此企業幾乎不會再投資辦公生產設備，剛買完電腦的家庭也不會再添購。

Canalys預期今年第2季PC產業會面臨需求衰退，加上中國工廠復工、產能回升，PC業者未來3到6個月的重點，必須放在加強供應鏈管理及精準控制生產。

由於Google即將收取reCAPTCHA費用，加上隱私及某些地方不能用的問題，CDN及安全服務業者Cloudflare上周表示，已經改用獨立廠商提供的hCaptcha作為身份圖形驗證機制。

reCAPTCHA原是2007年卡內基美隆大學的一個研究專案，2009年為Google收購，而Cloudflare也是在此時開始使用。Cloudflare指出，reCAPTCHA的優點是很有效、可擴充，而且Google免費提供使用。但Google最近通知客戶要改變商業模式，即將收取費用，也讓這家CDN業者起了改用別家的念頭。

Cloudflare強調收費不是跳槽的唯一原因。首先是隱私問題。由於Google核心業務是廣告，因此雖然reCAPTCHA具備隱私政策，但一直以來就有客戶擔心使用reCAPTCHA，可能會有資訊被賣給廣告主的問題。其次，Google服務在某些地區不時遭封鎖，尤其在中國。由於中國占了全球網路用戶的25%，這可能導致Cloudflare客戶一旦啟用CAPTCHA，他們的中國用戶就無法使用。

Cloudflare表示，站在Google立場，收費理所當然，但是hCaptcha在該公司評選中勝出有多項原因。這家業者不出售個人資料，僅蒐集必要的個人資訊，且明白揭露，其次是速度和解析率都優於競爭對手、提供視障等其他不便人士的輔助功能、可在中國等地使用、而且產生新CAPTCHA也相當快速。此外，hCaptcha也支援Cloud的Privacy Pass，它是Chrome和Firefox外掛功能，只要用戶IP通過一次CAPTCHA驗證登入Cloudflare保護的網站，之後再登入就無需驗證，可藉此降低CAPTCHA驗證的次數。

唯一問題是hCaptcha的擴充性無法滿足Cloudflare的巨大流量。但Cloudflare也找到解決方案，包括運用自家Workers平臺，來分擔CAPTCHA的流量負荷和成本。第二是反過來付錢給hCaptcha，讓後者有資金可以擴充其服務，Cloudflare表示這些費用遠比繼續使用reCAPTCHA費用來得低，而且換來更靈活的CAPTCHA平臺，和服務速度更佳的團隊。

在Cloudflare服務之中，以防火牆與Bot Rules、IP防火牆與安全防護為啟用CAPTCHA的三大來源。

不過新系統上路不免發生問題，Cloudflare也呼籲用戶透過線上論壇或開工單回報。

2020/03/06~04/06精選AR‧VR新聞

 擴增實境   ARKit  

iPad Pro成首款光達的平版，AR自動建模有新工具

蘋果近日釋出AR開發工具ARKit 3.5更新，最大特色就是可支援全新的場景幾何API，讓開發者能使用新款iPad Pro內建的光達感測器，來構建完整且細膩的3D空間視圖，而且最遠有效偵測範圍可達5公尺，開發者可以使用它快速測量物件的長度、寬度和深度，讓AR虛擬物件更加自然且逼真的呈現。

3.5新版也改善前一版的動作捕捉和人物遮蔽功能，能更準確估算人物的景深和動作追蹤，藉此計算出畫面上所有真實物件在AR場景中的相對距離，以將真實世界的自然遮蔽效果帶進AR物體和場景。藉由光達感測能力，新款iPad還增加了可自動執行即時AR物件放置的功能。蘋果也率先推出5款支援光達感測掃描的iPad應用。新版iOS模擬器Xcode 11.4已提供這些新工具並開放給開發人員使用

AR遠距協作   微軟  

微軟Teams遠端視訊也能支援第三方AR頭戴設備了

微軟近日推出結合工業應用的Teams方案，將其視訊通話功能整合到工業用頭盔。雖然，微軟混合實境頭戴裝置HoloLens 2原本就有提供Teams視訊通話功能，但現在企業用戶使用的就算不是微軟產品也能用了。RealWear HMT-1是第一款可支援Teams視訊通話功能的工業用AR頭盔，可以讓現場維護人員透過這個頭盔搭配攝影鏡頭，就能以語音方式現場與公司總部技術人員直接通話，協助他完成現場檢修作業。微軟表示，最快今年春季，就可在RealWear設備上使用這項功能。未來除了製造業也可用於能源、汽車等行業。

擴增實境   COVID-19  

免手持就能即時檢測體溫！Vuzix要推出新AR眼鏡靠紅外線相機感測溫度變化找出可疑感染者

量體溫是現在防疫武漢肺炎第一關。有別傳統近距離額溫或耳溫槍的體溫量測方式，美國AR新創Vuzix最近則與Onsight AR及Librestream等公司合作，要把紅外攝影機帶進AR眼鏡，來幫助醫護人員加快檢測速度。

使用者只須穿戴一款AR頭戴設備Vuzix M400搭配上Librestream提供的紅外攝影機Onsight Cube，從這副AR眼鏡就能監看紅外線影像感測的人體溫度變化，來判斷通行的人有無生病或感冒症狀，除了避免有感染症狀的人任意進出醫院或其他場所，造成感染擴大，因為不需要手持，人員亦能在保持一定距離的情況下，來進行體溫量測，以提高自身安全，並也能共享這些數據。但該公司並未透露這個新設備的售價，至於單款AR眼鏡M400價格約1,800美元。

AR導覽   西班牙電信  

整合5G技術即時呈現虛擬導覽資訊，西班牙電信展示巴士多人AR導覽新應用

西班牙電信Te lef o n i ca最近與數位媒體公司MediaPro及當地運輸業者TMB合作，想要利用5G技術來提供遊覽巴士上的多人AR導覽，當公車行進或每到達一處景點時，便會通過高速5G傳輸技術，搭配攝影鏡頭，將這些現場影像畫面和位置等資訊回傳到後端處理，進而找出對應真實場景的AR內容，如虛擬地圖、地標、歷史文字解說等，並將這些AR內容放置到公車車窗上安裝的一個大型AR顯示螢幕，而且一次可以同時多人觀看，不需要透過手機就能看見，從而帶給旅客更沉浸式的旅遊導覽體驗。這項AR應用也是當地政府的5G實驗計畫之一。

臉書    VR頭戴裝置  

臉書Oculus Quest瀏覽器應用大更新，正式支援多任務、多個視窗應用

儘管今年GDC遊戲開發者大會宣布延期，但臉書在自家部落格介紹了獨立VR頭戴裝置OculusQuest一系列系統和功能重大更新，首先是OculusBrowser瀏覽器正式支援多任務、多視窗能同時執行多個VR應用，讓使用者可以在多個應用之間迅速切換網頁取得應用或內容，未來其他2D應用也將支援，例如Chats、Store等。其次，則是替該設備也加入重新設計的UI介面，不只可以在沉浸式環境和2D應用間切換瀏覽，在使用瀏覽、儲存和瀏覽器及電視應用時也更加容易。另外，新增的沉浸式疊加功能，則是允許用戶不需要關閉使用中的應用，就能開啟主要功能選單來進行操作。雖然還是實驗性功能，但臉書3月已開放使用者體驗。就能看見，從而帶給旅客更沉浸式的旅遊導覽體驗。這項AR應用也是當地政府的5G實驗計畫之一。

Snap   AR創作工具  

簡化AR廣告內容製作，Snap也推出網頁版AR創作工具Lens Web Builder

社群服務業者Snap日前推發布了一個網頁版AR內容創作工具Lens Web Builder，能用來簡化Snapchat平臺上的AR內容製作，讓品牌業者或廣告商能夠快速設計帶有AR特效的廣告來宣傳自家產品或服務。使用者只須透過網頁瀏覽器就能使用它來進行AR內容製作。Snap也提供多達數百個AR內容創作素材，包括3D人物、結合眼鏡、化妝等各種3D動畫與AR特效等，讓他們可以使用這些工具開發出自己想要的AR鏡頭，或是將結合自家廣告的AR鏡頭特效放進Snapchat裡，並也能加入自己Logo和其他2D圖案。目前已在Ads Manager平臺提供此工具。

Windows MR   HP  

HP聯手微軟及Valve正在打造新一代Windows MR頭戴裝置

HP與微軟及Valve最近正在合作打造一款全新VR頭戴設備SteamVR，未來也可能做為新一代Windows MR頭戴裝置亮相。去年，HP就曾推出一臺Windows MR頭戴設備HP Reverb，售價約599美元，雖然已能支援4K超高畫質影像畫面，不過使用時仍需搭配PC，並無法獨立操作。HP近來也釋出一段影片介紹這款取名HP Reverb G2的全新VR設備，但並未透露關於該設備是否需搭配PC，或是相關產品規格及其價格，只暗示即將在不久推出。

研究報告   ABI Research  

不畏武漢肺炎疫情的影響，調查：2021年AR與VR頭戴設備出貨可望達1,600萬臺

市調機構ABI Research最近一分研究報告顯示，受到武漢肺炎在全球掀起居家隔離潮，使得消費者和企業對於AR和VR設備和內容需求大增，儘管該疫情也造成AR / VR設備生產出貨和交期延遲，但該報告也預測，到了2021年，全球AR與VR頭戴式設備年出貨量，仍然可望達1,600萬臺。責任編輯／余至浩

圖片來源／Vuzix、微軟、蘋果、Snap、Google、臉書

 更多AR‧VR動態 

1.杜絕不實內容，Instagram禁止上架涉及武漢肺炎疫情相關內容的AR濾鏡特效

2.傳蘋果正在開發AR/VR眼鏡專用控制器，外型酷似HTC Vive Focus手持控制器

3.臉書研究員引進ML技術提高影像渲染與放大畫面解析度，替Oculus Quest增加GPU運算力

4.受武漢肺炎疫情的衝擊，GDC年度遊戲開發者大會延期到今年8月舉行

資料來源：iThome整理，2020年3月

最近有許多Firefox用戶抱怨，當他們在Windows 10上，以Firefox 75觀看YouTube影片時，常遇到畫面下方變成白色螢幕的現象，但只要關閉Firefox的反指紋追蹤技術，就能讓影片回復正常，懷疑這是Firefox的臭蟲。

並非所有的Firefox用戶都會遭遇此一問題，然而Bleeping Computer則說，他們不管是在Firefox 72或Firefox 75上，都能重製該狀況，意味著這應該是YouTube近日作了某些變更而造成的，並非源自Firefox。

Mozilla是在今年1月出爐的Firefox 72中，預設啟用了指紋追蹤保護，可避免網站追蹤使用者的瀏覽器與裝置特性。同樣具備指紋追蹤保護能力的Firefox 75，則是在今年4月才發表。

不過，Firefox用戶在上周傳出，觀看YouTube影片時，會出現畫面下半部變白的情況，只要把滑鼠移出影片，畫面就會重新出現，而若直接關閉privacy.resistFingerprinting指紋追蹤保護功能，就能解決該問題，也有使用者建議，可安裝Privacy Redirect外掛程式來緩解。

目前不管是Firefox或Google都尚未回應此事。

Windows微調程式Winaero Tweaker的作者Sergey Tkachenko，上周接獲眾多用戶的回報，指出Windows內建的Microsoft Defender，把Winaero Tweaker標註為「病毒或潛在有害程式」（a virus or a potentially unwanted software）了。

Tkachenko在去年3月釋出的Winaero Tweaker為一免費工具程式，它可微調Windows的各項設定，例如Windows視窗的顏色、工具列的顏色，還能放慢Windows動態行為的速度，置換Windows的啟動音效，客製化Windows程式的圖示，還能關閉Windows Update與Windows Defender，且同時支援Windows 7、Windows 8、Windows 8.1及Windows 10。

不過，Windows內建的防毒軟體Microsoft Defender卻擋住並刪除了Winaero Tweaker。當Windows系統要執行Winaero Tweaker時，會跳出一個警告視窗，指出該執行檔含有病毒，或為一個潛在有意軟體，因而無法成功執行。

檢視Microsoft Defender的狀態則可發現，它逕自隔離了Winaero Tweaker，還說之後會自動將它刪除。

Tkachenko對微軟的行為感到憤怒，指出Winaero Tweaker對微軟來說可能是個潛在有害程式，但對大家而言並不是。

所幸微軟似乎發現了這是一個誤判，已藉由更新Windows Defender病毒定義檔1.313.1221.0，來解決此一臭蟲。

今天臺灣人工智慧學校突然發布了一則悼文，公布臺灣人工智慧學校執行長陳昇瑋，因腦出血意外陷入昏迷後過世的消息。

陳昇瑋在2014年創辦了臺灣資料科學愛好者年會，後來更名為臺灣資料科學年會，成了臺灣資料科學社群最重要的交流聚會，2年後更創設了臺灣資料科學協會，他從2017年開始大力推廣產業AI化，2018年更在中研院和多家企業支持下成立了臺灣人工智慧學校，2年來訓練了6千多位AI人才。

玉山金控在2018年找來陳昇瑋擔任科技長，負責四大目標：消費者的數位通路更暢通、運用金融科技改善現有的產品服務流程、開發和實驗新型態的金融科技，以及協助玉山更全面地應用科技。花了一年多時間，陳昇瑋一手打造了玉山金控的智能金融處近百人的團隊，展開了近百項AI專案，也建立了一套資料分析架構，來加速這些AI專案的研發，後來他更成為玉山銀行副總經理，也兼任銀行端的科技長兼數位長。

今年，他本來預計要擴大多項AI金融科技的應用廣度，以及擴編玉山金控的AI團隊戰力，但突然因腦出血而過世。玉山金控也在4月13日發布正式公告證實了這個消息。

上周荷蘭偕同美國及歐洲警方，破獲15個提供分散式阻斷攻擊服務（DDoS-for-hire）的殭屍網路。

荷蘭中央警察局指出，該局使用「創新」的方法偵測到駭客集團用以提供DDoS服務的殭屍電腦網路。上周荷蘭警方在網域註冊者、國際刑警、歐洲刑警（Europol）及美國聯邦調查局（FBI）合作下，於一周內破獲15個此類網路，並將關閉相關網站。

不過荷蘭警方並未公開這15個DDoS服務的名稱。

去年10月，荷蘭警方也成功查緝一個代管數十個DDoS殭屍網路的主機服務。2018年4月Europol也曾連同英、荷蘭等10多國警方，破獲提供全球最大的訂閱制DDoS攻擊服務網站WebStresser。

武漢肺炎重創美國經濟，除了造就遠距協同、視訊軟體的需求，也對政府系統形成另一項挑戰。例如政府運行數十年的大型主機系統，已欠缺維護人才。

CNBC報導，紐澤西州州長Phil Murphy發出徵才公告，要找COBOL程式設計師進來，維修該州的失業補助系統。

該州的失業補助系統跑在40歲的大型主機上，近來武漢肺炎衝擊之下，許多企業倒閉或裁員，致使失業率短期間衝高。該州請領失業救濟補助的人飆至36萬人，大量作業令這套年久失修的系統不堪負荷。CNBC引述州長說法指出，紐澤西州有多個系統已年逾40，需要做很多維修檢查，但該州政府其中一項難題是，怎麼找到COBOL工程師？

紐澤西州長登高一呼後，獲得多人出面協助。不過紐澤西並不是唯一缺COBOL人才的州政府。CNN報導，康乃狄克州也表示，近來該州一台由COBOL 大型主機及其他4個機器組成的40年老系統，因為得應付突然增加的失業補助申請，而變得十分吃力。康州目前和其他州正在合作開發新的補助系統，不過新系統要明年才會完成。

另外，堪薩斯州原本想將COBOL應用改造為現代化雲端應用，但是受疫情影響而停工，現在只能靠舊系統勉強撐下去。

現今仍然有許多銀行及金融業應用，還是一直停留在COBOL系統上，估計還有2,200億行COBOL程式還在運行中。

因應公部門需才孔急，成員包括IBM、SUSE、Phoneix與高通的Linux基金會下的開放大型主機專案（Open Mainframe Project），本周也宣佈提供免費資源給政府部門，包括提供COBOL人才媒合、COBOL技術論壇，此外，IBM也貢獻其COBOL訓練課程成為開源教材，將在未來幾天內放在GitHub網站上。

有鑒於COBOL人才危機，一些廠商也正強化服務能力。例如BMC在3月初，收購了老牌COBOL程式開發管理軟體商Compuware。Google Cloud也在2月宣布收購荷蘭大型主機應用搬移軟體商Cornerstone Technology，希望吸引想轉向雲端應用的傳統大型主機客戶。

近年來許多採用勒索軟體發動網路攻擊的駭客，紛紛改以企業或是特定的組織下手，減少亂搶打鳥的策略，以增加能夠得到贖金的機率。然而，難道一般的個人使用者可以鬆了一口氣，不再需要防範勒索軟體了嗎？恐怕答案是否定的。最近在中國卻傳出有許多使用者到論壇反應，他們的電腦中了一款名為WannaRen的勒索軟體病毒，駭客加密電腦裡的檔案後，要求他們支付0.05個比特幣來換取解密金鑰。當地的資安廠商表示，這起攻擊事件的手法，是該國的駭客組織模仿3年前的WannaCry勒索軟體事件，濫用美國國家安全局開發的永恆之藍（EternalBlue）漏洞工具，並且透過軟體下載網站來散播勒索軟體病毒。

事件發生的經過，是大約於4月5日下午開始，多名中國網友在360社區、火絨安全論壇，以及百度貼吧等討論版，表示自己或朋友的電腦中了WannaRen勒索軟體病毒，檔案需要解密工具來復原。隨後當地的其他網友也加入討論，有些人表示，他們使用的防毒軟體無法偵測到WannaRen，也有人指出，他們的突然電腦就出現檔案被加密且要支付贖金的視窗，驚覺自己的電腦也中了這個勒索軟體，但他們既沒有下載檔案，也並未瀏覽來路不明的網站。

一名奇虎360防毒軟體的使用者在電腦中了WannaRen病毒後，到該防毒軟體業者的論壇尋求協助。他表示電腦裡的檔案，副檔名幾乎都變成了.WannaRen，隨後也有多名用戶附和，他們的電腦同樣感染了WannaRen。（圖片來源：360社區）

不過，整起攻擊事件受到中國當地的網友與媒體關切多日之後，事情有了180度大轉變。4月9日，有一名使用火絨防毒軟體的受害用戶，由於支付贖金後檔案沒有復原，嘗試向駭客請求解密方法，竟意外收到宣稱是解密金鑰的回覆，駭客也要求該名受害者轉交給資安公司。火絨安全公司收到後，驗證金鑰確實能解密後便將其公布，讓其他的防毒廠商能一起製作對應的解密工具。

當地常見的軟體下載網站成駭客發動攻擊管道

至於WannaRen的攻擊途徑為何？火絨安全公司認為，駭客應該是透過軟體下載網站來散布。他們發現到一個名為西西軟件園的下載網站上，所提供的Notepad++開源記事本軟體，遭到了竄改，夾帶了具有與WannaRen相同特徵的惡意軟體，因此該公司研判，這種提供各式電腦軟體的下載網站，成為駭客偷渡勒索軟體的管道。因此，他們也呼籲使用者，要從官方網站來下載所需的應用程式。

當地防毒廠商火絨安全發現，WannaRen透過軟體下載網站來散布，並且是植入Notepad++這種免費的應用程式，讓使用者防不勝防。（圖片來源：火絨安全）

火絨安全取得西西軟件園的Notepad++安裝檔案並加以分析後發現，這個已經遭到植入WannaRen攻擊工具的檔案，執行安裝的同時，也會一併執行PowerShell指令（紅框處），來下載勒索軟體和挖礦工具。（圖片來源：火絨安全）

對於手法上的解析，資安公司陸續發現，WannaRen不只是加密檔案，向受害者勒索，還會暗中挖礦謀利。火絨安全與奇虎360安全中心皆指出，WannaRen在成功滲透到電腦之後，會像WannaCry執行檔案加密，並且透過永恆之藍漏洞，擴散到其他電腦，同時向受害者要求支付贖金。但除此之外，WannaRen是使用PowerShell腳本來下載攻擊工具，而且還納入了文件索引軟體Everything，藉由其中的HTTP檔案伺服器功能，方便攻擊者當作跳板，來散播惡意軟體到其他電腦。

雖然WannaRen與WannaCry的攻擊模式有共通之處，但是上述兩家當地防毒廠商表示，兩者之間沒有直接關連，並表示WannaRen的作者使用了中國非常熱門的易語言開發，應該是當地的駭客所為。奇虎360更進一步表示，幕後發動攻擊的駭客組織，就是名為「匿影」的中國駭客，這個組織過往藉由在受害電腦植入挖礦木馬，來暗中牟利，同時這個組織也相當擅長濫用永恆之藍這個漏洞，但可能是因為挖礦的獲利有限，使得他們改造攻擊工具，加入勒索軟體的功能，來直接向受害者來勒索贖金。

針對WannaRen的攻擊行為，奇虎360透過流程圖來指出其流程，駭客先藉由永恆之藍漏洞滲透受害電腦，然後使用PowerShell腳本來下載勒索軟體和挖礦木馬，進行加密電腦檔案和挖礦兩種攻擊工作。（圖片來源：奇虎360）

舊金山國際機場（San Francisco International Airport，SFO）在上周坦承，該機場的兩個網站在今年3月成為駭客的目標，駭客在SFOConnect.com與SFOConstruction.com兩個站上植入了惡意程式，以竊取某些使用者的憑證。

根據該機場的說明，可能受到該攻擊波及的，是那些從外部網路透過Windows平臺上的IE存取網站的使用者，或者是利用非由SFO維護的裝置存取網站的使用者；而且駭客的目標，是這些使用者用來登入其個人裝置的用戶名稱與密碼。

換句話說，令駭客感興趣的不是使用者登入上述網站的憑證，而是使用者用來登入個人裝置的憑證。

SFO並未公布駭客入侵網站的管道，但資安情報業者LogRhythm向SiliconANGLE透露，應該可以假設駭客是藉由這些網站的已知漏洞，作為攻擊媒介。

在察覺被攻擊之後，SFO立即關閉了網站並移除站上的惡意程式，同時強制重設所有與SFO相關的電子郵件及網路密碼。也呼籲所有透過Windows裝置上的IE、自外部網路造訪上述網站的使用者，都應該修改自己裝置上的登入密碼。

VMware在上周修補了一個與vCenter Server有關的安全漏洞，此一編號為CVE-2020-3952的安全漏洞位於vmdir中，在通用漏洞評分系統（CVSSv3）的風險程度，達到最高的10分，將允許駭客竊取機密資訊。

vCenter Server為一用來管理虛擬架構的中央伺服器，掌管VMware vSphere環境，簡化及自動化IT管理員對虛擬環境的管控。至於VMware Directory Service（vmdir）則負責憑證管理，可搭配包括vCenter Server及其它VMware服務使用。

CVE-2020-3952漏洞主要是因vmdir未能正確實現存取控制而造成的。

VMware說明，具備網路權限以存取vmdir部署的駭客，將能汲取高度機密資訊，用以危害vCenter Server或其它藉由vmdir進行身分認證的服務。美國電腦緊急應變小組（US-CERT）也針對該漏洞提出了警告，宣稱成功開採該漏洞的駭客，將能掌控受駭系統，呼籲使用者應儘速部署必要更新。

深度感測（Depth Sensing）被大量應用在手機應用上，支援包括人臉解鎖、3D照片與景深場景分割等功能，而Google在Pixel 4上，應用了一種稱為uDepth的即時紅外線主動式立體深度感測器，即便在黑暗環境，也能快速且精準的運作，計算出相機場景的深度資訊，而且uDepth所生成的深度資訊，Google最近也開放給外部使用，開發者可在Camera2 API中找到uDepth相關的功能。

Google提到，深度感測是電腦視覺的一個熱門的研究領域，能應用攝影機的肖像模式，或是AR等應用上，但傳統利用RGB的立體深度感測技術，計算成本很高，在低材質的區域效能表現不佳，且在極弱光的環境下，可能會完全失去作用。立體攝影機是利用視差來重建深度，跟人類產生立體視覺的原理相似，人類只用右眼與只用左眼看同一個場景，同一個物體的位置看起來會有所不同，且距離眼睛越近的物體差異越大。

而Google在Pixel 4手機上使用的uDepth技術，也是利用這個原理，計算出每個畫素的視差；透過比較一臺相機中每一個畫素周圍區域，與另一個相機成像中的相似區域，重建出實際的物理距離，另外，像是人臉解鎖這種深度感測應用，必須在黑暗中，也能快速良好地運作，為了處理低材質與弱光環境的問題，uDepth運用了主動式立體配置，可投影紅外線圖案到場景中，幫助場景深度檢測，降低系統運算要求。

不過，由於典型主動式立體系統投影出去的隨機網格圖案，雖然可以幫助消除場景中比對的歧異，但是由於uDepth在看起來相似的重複結構圖形，可能使得比對發生錯誤，因此Google使用了輕量級卷積架構，並同時結合紅外線的亮度和鄰近資訊，來修正錯誤比對的情況，這些計算每個影格只要花費1.5ms的時間就能完成。

另外，當手機受到嚴重撞擊時，可能導致立體攝影機的出場校準與實際的位置不同，因此為了持續保持相機的精確度，uDepth系統採用自動校準技術，系統會評估深度圖像是否存在未校準的訊號，並建立對裝置狀態的信心，只要系統檢測到錯誤校準，便會立刻重新產生較準參數。

Google提到uDepth的設計，是為了用在臉部辨識上，因此原始資料非常的精確，其需求與相機應用程式的肖像模式與3D相片的計算非常不同，後者計算的影像影格速率並不重要，但是產生的深度資訊需要平滑，且物體邊緣要平整，也需要對整個畫面進行處理。因此Google訓練了一個端到端深度學習架構，結合RGB圖像、人像分割以及原始深度，強化了原始uDepth資料，以推測出完整且密集的3D深度圖。

uDepth可產生30Hz的深度資訊串流，開發者現在已經可以從Camera2 API中取得，而經過後處理所產生的平滑深度圖，目前則應用在Google攝影應用程式中，當使用者啟用社交媒體深度功能後，使用Pixel 4所拍攝的自拍照，系統會為每個畫素產生平滑且密集的深度資訊，可用於社交媒體上的散景與3D照片上。

AWS建立了一個公開的武漢肺炎（COVID-19）資料湖（Data Lake），集中收集新型冠狀病毒以及相關病例的資料集儲存庫，AWS提到，他們會持續與多個組織合作，使資料集能夠即時更新，並免費對外開放這個資料湖。

無數醫護人員、科學家與公共衛生官員投入對抗武漢肺炎疫情，而AWS表示，提供這些專家所需要的資料以及工具，能夠幫助理解和追蹤病毒，以進一步阻止病毒擴散，因此AWS對外公開了公共武漢肺炎病毒資料湖，其包含了武漢肺炎病毒的散布和研究等相關資料。

這個資料湖收集了來自約翰霍普金斯大學和紐約時報病例追蹤資料，還有Definitive Healthcare所提供的可用病床資訊，以及超過45,000篇有關武漢肺炎，和來自艾倫人工智慧研究所對其他冠狀病毒的研究論文。

當有新資料公開時，AWS會定時更新到資料湖中，這個資料湖能夠讓研究人員快速取得這些現有資料，不再需要浪費時間從多個來源存取資料，AWS認為，當資料可以被更多人簡單地取用時，便能更快地打擊武漢肺炎病毒疫情。

資料湖使用者能夠將公共資料湖的資料，合併到自己的資料集中，也能透過AWS Data Exchange訂閱來源資料集，在工具使用上，可以利用AWS或是第三方工具，進行趨勢分析、關鍵字搜尋、建置機器學習模型或是進行其他客製化分析。

AWS表示，使用者可以利用Amazon Athena來查詢公共武漢肺炎資料湖中的表格，Athena是一種無伺服器互動式查詢服務，可讓用戶使用SQL直接分析資料湖中的資料，除了Athena，使用者還可以使用Amazon Redshift Spectrum將資料湖中的資料，和資料倉儲的其他資料整合在一起，或是使用Amazon QuickSight視覺化資料集。

AWS也使用武漢肺炎病例追蹤、測試及病床資料，以Amazon QuickSight建立了公開儀表板，提供疫情每日資料更新，使用者能夠查看各國家和各省的詳細資料。

AWS預期相關衛生部門，可以使用公共武漢肺炎資料湖的資料集，建構儀表板追蹤感染，和部署像是呼吸器與病床等重要資源，流行病學家也能利用完整的資料，補充自有的資料集與模型。要使用公共武漢肺炎資料湖，必須要擁有AWS帳戶，並且具有創建AWS CloudFormation堆疊與AWS Glue資源的權限。

戴爾（Dell）為提升自家商用電腦的安全性，升級用來保護BIOS的SafeBIOS，推出使用新韌體掃瞄技術的SafeBIOS Events & IoA（Events & Indicators of Attack），可避免攻擊者竄改用戶的BIOS配置，進一步提升在家工作的企業員工個人電腦安全性。

由於武漢肺炎疫情的關係，不少企業員工一夕之間需要在家遠端工作，戴爾提到，這樣突然地轉變，可能讓攻擊者有機可乘，且隨著網路攻擊活動日益增加，有必要向遠端工作者的裝置，提供更多的防護措施。因此戴爾向自家的商用個人電腦，部署SafeBIOS Events & IoA軟體，從BIOS層級偵測進階端點威脅。

BIOS是個人電腦的重要核心系統，控制著啟動電腦以及安全配置等重要運作，因此BIOS也是攻擊者的重點攻擊目標之一，只要入侵BIOS就可能取得端點上的所有資料，包含憑證等高價值的機密訊息，而且攻擊者甚至可以利用入侵端點BIOS，在組織內部網路中移動，攻擊其他IT基礎設施。

而戴爾現在發布的SafeBIOS Events & IoA軟體，是戴爾企業級個人電腦上SafeBIOS軟體的升級，SafeBIOS是個保護BIOS軟體，使BIOS不受攻擊者竄改。新的SafeBIOS Events & IoA可以讓企業更快速地發現BIOS攻擊事件，其使用行為威脅偵測技術來辨識BIOS的運作狀況，並且在發現惡意竄改行為時，企業安全和IT團隊能在管理控制臺收到通知，進行緊急處置。

戴爾提到，SafeBIOS Events & IoA提高了IT團隊對裝置BIOS配置的可見性，藉由BIOS層級的偵測，企業可以更快地對進階威脅做出反應，並在攻擊鏈產生更多損害之前，就能阻擋攻擊行動。目前該軟體已經在全球上線，可供戴爾商用個人電腦下載，支援的個人電腦系列包括Latitude、OptiPlex、Precision和XPS。

面對武漢肺炎（COVID-19）疫情延燒，各國紛紛祭出封城令和居家隔離政策。但是，對於須看護照料或獨自居住的長者，要如何掌握他們的健康狀態、又不侵犯隱私呢？Appier首席人工智慧科學家孫民在一場線上會議上分享，聯合學習（Federated Learning）將是AI遠距照護的關鍵。

這幾個月來，出現越來越多AI抗疫應用，比如利用電子病歷建置AI風險預測模型，從醫療服務利用率、住院率等篩選出高風險族群，搶先一步來預防；又或是，透過確診患者的胸腔X光片或電腦斷層掃描（CT）影像，來訓練一套肺炎輔助判讀AI模型，加速醫師找出病灶。但要將各地、各分院或甚至是大量手機上的醫療資料集中，光是回傳過程就得層層加密才能避免遭攔截而外流，或得符合各國當地隱私法規要求而窒礙難行。聯合學習成了不少AI應用兼顧隱私和大規模集中訓練的關鍵。

師承Google雲端前首席科學家李飛飛的孫民，就以他老師近期成果來舉例，如何不回傳個別資料兼顧隱私，又來持續優化AI模型的關鍵。

李飛飛最近分享了一項AIoT遠距照護應用，就是要用聯合學習來突破這個挑戰。這套AIoT系統，整合了攝影鏡頭、深度感測器、熱感測器，日後還要整合穿戴式感測器等，第一階段，蒐集了一批前三種裝置的數據後，由醫療專家和AI團隊來分析、標註，先訓練出初步AI模型，可用來辨識長者的睡眠、飲食、呼吸等行為模式。第二步，接著將AI模型部署到家中裝置，直接在裝置端進行行為辨識和預警。但挑戰是，大量部署時在感測器所收集的資料屬於個資隱私，無法回傳，若繼續採用監督式學習，就無法進一步優化模型。於是，李飛飛團隊計畫用非監督的聯合學習，讓模型在個別裝置上，直接利用新數據來更新、訓練。

三大關鍵來兼顧隱私和持續回傳資料優化AI模型

孫民解釋，聯合學習具備了三個特色，也就是遷移學習（Transfer Learning）、分散式訓練（Distributed Training），還有把關資料安全的差分隱私（Differentiatial Privacy）。

他以醫療影像AI模型為例，假設有多個分院想建置腦腫瘤電腦斷層掃描影像判讀的AI，團隊可透過遷移學習，收集各分院的醫療影像，訓練出母模型後，再部署到各分院，利用各分院資料來訓練各自的子模型。

接著，為減少資料傳輸的時間和成本，團隊可在各分院，利用分散式訓練，以自行產生的數據來訓練子模型，不需將所有資料回傳至母模型端。此外，分散式訓練的優點，就是「可大規模擴展至端點數千臺裝置，」也因此非常適合大規模應用，比如金融或虛擬助理。

只做到分散架構還不夠，「雖然分散式訓練不必將訓練資料回傳，但還是要定期上傳模型統計值。」孫民指出，有心的駭客會利用這一點，從統計值中推估出特定原始資料。

為解決這類資安隱憂，聯合學習還加上了差分隱私這個機制。差分隱私能在回傳的統計值中，增添雜訊（Noise），讓駭客無法推敲出特定個資，同時又不影響模型表現。「Nvidia也利用聯合學習的優勢，在去年與倫敦國王學院聯手，進行醫療影像AI的訓練和部署專案，」他說。

聯合學習集這三大優點於一身，不只能執行省成本的分散式訓練，還能確保資料安全，符合日間嚴謹的各自規範。面對因疫情而進行居家隔離的獨居長者，也許能透過聯合學習加持的AIoT遠距照護，來掌握健康情況，同時又保障隱私。

不只遠距照護領域，孫民今年初甚至預測，聯合學習會是未來5年的熱門AI技術。文◎王若樸

近來爆紅的Zoom資安設計不佳，繼日前有350筆用戶帳號被公布到暗網上，又有安全研究人員發現有人在駭客論壇上，張貼超過53萬筆Zoom用戶帳密，同時還有人詢問要如何發動攻擊。

由於Zoom的資安設計不良，加上使用者欠缺安全意識，像是忽略以密碼或pincode防護線上會議，或是英國首相強生（Boris Johnson）的meeting ID隨截圖公開等，Zoom用戶暴增後，也成為駭客下手的新目標。

安全廠商Cyble向BleepingComputer透露，該公司在本月初發現有人在駭客論壇上，公布Zoom用戶個資，他先是以文字張貼數百筆用戶電子郵件和密碼，以便在這個論壇上打開名氣，免費洩露的資料包含如科羅拉多、佛羅里達州大學等用戶帳號。

之後資安公司出價向他購買，最後以每個帳號0.002美元的價格買到53萬筆用戶個資，包括電子郵件、密碼、Meeting URL及主持人密鑰等。其中不乏知名金融公司如摩根大通、花旗銀行及學校等機構用戶。

經過求證，有些帳密仍然有效，有些則已是過時資料，後者顯示可能來自之前的帳號填充（credential attack）攻擊。

同期又有另一家以色列安全廠商IntSights研究人員，在研究深網（deep web）及暗網（dark web）論壇時，發現有人分享一個資料庫，包含2,300多筆Zoom用戶帳號的使用者名稱及密碼。

深究這個資料庫，這些帳號顯示其他用戶身份，像是用戶所屬的單位如銀行、顧問公司、醫療機構、軟體公司或教育機構等。外洩資料包括電子郵件和密碼，有的更包括meeting ID、姓名及會議主持人密碼。

IntSights資安長 Etay Maor指出，攻擊者利用Google或LinkedIn即可辨識出Zoom帳號主人，然後就能以這些資訊冒充用戶，進行商業電子郵件詐騙（Business Email Compromise，BEC）攻擊，要求被害者同事轉帳，或是分享重要的檔案或資訊。

這兩起事件是否相關，或由不同人士所為，則不得而知。

研究人員還指出，地下論壇這篇Zoom用戶資料貼文的後續回應，也值得關注。例如有人問到如何切入他人的Zoom會議，這就是之前FBI警告亂入Zoom會議的行為，名為Zoom Bombing。此外還有人特別問了Zoom查核（Zoom checker），及帳號填充（credential stuffing）等攻擊手法。Zoom 查核是利用偷來的信用卡小額捐款測試該卡是否還能用，如果可行，歹徒就會用這張卡進行詐欺交易。論壇中甚至有人建議可以OpenBullet，這是一種針對Web App的開源滲透測試工具，但也可作為帳號填充及DDoS攻擊，之前也被拿來攻擊智慧門鈴Ring的用戶。

上周以色列當地的安全公司Sixgill也向媒體透露，有駭客將盜來的352個Zoom帳號公布於暗網。

武漢肺炎疫情（COVID-19）讓電子商務的業務大增，全球電商龍頭Amazon在今年3月中旬宣布增聘10萬名員工，來處理爆量的訂單，該公司於本周一（4/13）指出，這10萬名員工已經到位，而且將再新聘7.5萬名員工。

Amazon表示，新聘的對象包括全職與兼職員工，主要是為了因應客戶的需求，也能協助現有員工處理生活必需品的訂單。

去年Amazon在全球的員工總數約為79.8萬人，若再計算今年新聘的17.5萬人，將讓Amazon的全球員工數逼近100萬人。

疫情期間繁忙的業務，也讓Amazon決定在今年4月底以前，把員工的時薪調高2美元，而且加班的時薪一致是原本薪資的兩倍，原本估計將增加3.5億美元的薪資成本，現也提高到5億美元。

此外，Amazon不斷強化資料中心的清潔與消毒，採行社交距離政策，上班除了必須量體溫之外，也提供必要的口罩予員工，並擴大對員工的病毒篩檢，以維護員工的健康。

身為國際知名企業，Amazon也不吝對各界伸出援手，包括提供2千萬美元的AWS診斷計畫（AWS Diagnostic Initiative）以加速病毒研究；提供2,300萬美元給協助對抗疫情的歐洲慈善組織；捐贈500萬美元以支持西雅圖的小型企業；加入白宮的COVID-19高效能運算聯盟（High Performance Computing Consortium），貢獻運算資源；無償提供AWS與Amazon Future Engineer以支援虛擬教室；捐贈上萬臺筆電予美國的學生；而Amazon創辦人Jeff Bezos亦以個人名義，捐了1億美元給美國的饑餓救濟慈善組織Feeding America。