美英簽署全球首個電子資料交換協議以進行犯罪調查
新聞美國司法部長Bill Barr與英國內政大臣Priti Patel,在10月3日簽署了全球首個《雲端法案》(CLOUD...
View Article你的iPhone 6S與6S Plus經常無法開機嗎?可能是零件故障了,蘋果幫你換!
新聞蘋果在本周表示,特定序號的iPhone 6S及iPhone 6S Plus,可能會因為元件故障,而造成無法開機的現象,影響從去年10月到今年8月生產的機種,將提供免費維修。iPhone 6S與6S Plus用戶只要從手機外部、手機設定,或與該手機同步的iTunes上,就能查看裝置序號,輸入序號查詢即可得知是否在蘋果的免費維修範圍內。受到影響的iPhone 6S/6S...
View ArticleClik here to view.
包括Pixel在內的十多款Android手機遭爆含零時差漏洞
新聞Google安全研究團隊Project Zero在上周揭露一個Android零時差漏洞CVE-2019-2215,這是一個釋放後使用(use-after-free)漏洞,允許駭客擴張權限並取得裝置的控制權,且已有攻擊程式在網路上流竄,殃及包括Pixel在內的十多款Android手機。揭露此一漏洞的安全研究人員Maddie...
View Article疑似俄國駭客發展新式RAT可突破HTTPS加密追蹤上網行蹤
新聞安全研究人員發現一個具備新式攻擊手法的RAT程式,能修改瀏覽器元件而攔截加密HTTPS流量,達到監視上網行動的目的。HTTPS的安全性存在於瀏覽器和網站之間的資訊交換,以加密防護使第三方不得存取。卡巴斯基研究人員4月發現一隻被稱為Reductor的遠端存取木馬(RAT)程式,則是用來突破這段防護。Reductor包含兩階段攻擊面向。第一是利用名為COMPfun惡意程式下載軟體模組到受害系統上,C...
View ArticleGoogle暫停向遊民、非裔民眾取得臉部掃瞄圖像的專案
新聞上周媒體報導Google為了強化臉部辨識技術的研發,向遊民、學生、黑人下手取得臉部掃瞄影像,有時不惜使出欺騙手段。報導見光後,Google緊急中止這項街頭研究計畫。上周New York Daily...
View Article蘋果遭開發商控Sign with Apple侵權,還將其app從Mac App Store下架
新聞蘋果在iOS 13推出隱私登入功能Sign with Apple強化用戶保護,但上周一家小型郵件軟體開發商Blix向德拉瓦州法院控告蘋果侵犯軟體專利,而且蘋果還涉嫌濫用其軟體市集的主宰地位,將其軟體從Mac App Store下架。Blix指控,Sign with Apple是抄襲該公司郵件軟體Blue Mail中的功能。Blix創辦人Ben...
View ArticleClik here to view.
EZ訂個資外洩客戶遭騙判決出爐,在個資法賠償外,業者並需負起7成過失責任
新聞今年9月,一起關於EZ訂(EZding)購票平臺個資外洩的民事判決結果出爐,經過2年訴訟與審理,現在終於有了結果。案經一審判定,業者需依個資法賠償民眾2萬元,之後又上訴,二審判定用戶遭詐欺侵權行為的損害賠償,也應付起7成責任,而最終裁定賠償18萬3,274元。關於這次事件的起因,是在2017年4月11日,當事人張女使用手機登入EZ訂網站,購買2張電影票,卻在兩個禮拜後的4月28日,接到假冒EZ訂...
View Article微軟:伊朗駭客鎖定2020年美國總統大選陣營與政治人物的帳號展開攻擊
新聞微軟上周發出警告,指出已發現一個由伊朗政府支持的駭客集團Phosphorus,在今年的8月到9月間大量辨識微軟客戶的電子郵件帳號,並針對其中的241個展開攻擊,這些帳號涉及2020年美國總統大選活動陣營、現在或前任的美國政府官員、專門報導全球政治的記者,以及旅居國外的伊朗人。根據微軟的統計,Phosphorus在這30天內企圖辨識2,700個微軟電子郵件帳號是否為目標攻擊對象,並針對其中的241...
View ArticleGalactiCrypter勒索軟體有解了
新聞資安業者Emsisoft上周釋出勒索軟體GalactiCrypter的解密工具,此一在2016年就現身的勒索軟體迄今仍在網路上流傳,它利用AES-256加密受害者電腦上的檔案,若檔案名稱被加上ENCx45cR,就是已遭加密,並向受害者勒索與150美元等級的比特幣。不過,Emsisoft上周釋出了免費的GalactiCrypter解密工具,可用來回復遭到GalactiCrypter加密的檔案,同時...
View Article創投a16z:軟體已經攻佔全世界,但開源碼正在進佔軟體
新聞在開源軟體剛問世的時候,幾乎沒有創投會對它感興趣,然而,美國創投業者a16z(正式名稱為AH Capital Management)合夥人Peter...
View ArticleClik here to view.
執行紅隊演練,別受制於手上資訊與已知手法、漏洞
新聞企業試圖找出整體資訊系統弱點的方法裡,紅隊演練(Red Team)可說是打破滲透測試只鎖定單一系統等範圍限制,然而,在紅隊演練的過程裡,負責找出系統弱點的紅隊隊員,很可能因為判斷的思維上,過於依賴自身經驗或是熟悉的工具,而可能錯過找到弱點的情況。戴夫寇爾資安研究員丁諭祺(Ding)針對這樣的現象,於今年的DEVCORE...
View Article英國政府選用OpenAPI 3規範描述RESTful API
新聞英國政府開放標準委員會在GitHub接受貢獻者提案,將採用RFC 4180作為發布表格的標準,使得資料能夠更加便於發布以及重新使用,而在RESTful API描述上,則採用OpenAPI 3的規範,增加API描述的一致性與準確度。在2016年的時候,社群就曾經要求,使用第三版本的OpenAPI規範來描述RESTful...
View Article英國政府警告:Pulse Secure、Palo Alto和Fortinet的VPN存在APT攻擊漏洞
新聞英國國家網路安全中心(National Cyber Security Centre,NCSC)警告Pulse Secure、Palo Alto和Fortinet的VPN使用者,這些VPN存在可被駭客用作APT(Advanced Persistent Threat)攻擊的漏洞,攻擊行動範圍擴及英國以及國際組織,影響的部門包括政府、軍事、學術、商業以及醫療保健。這些SSL...
View ArticleDNS-Over-HTTPS弊大於利?荷蘭國家網路安全中心與亞太網路資訊中心相繼提出警告
新聞就在Mozilla與Google相繼宣布要在Firefox與Chrome瀏覽器中導人DoH(DNS-over-HTTPS)之後,外界質疑的聲浪就不曾斷過,而近日荷蘭國家網路安全中心(NCSC)與亞太網路資訊中心(APNIC)亦出面批評DoH,前者聲稱DoH將讓組織更難執行安全控制,後者則說DoH不利隱私,呼籲外界不要對DoH有著過度期待。DoH就是傳遞網域名稱系統(DNS)解析請求時採用HTTP...
View ArticleOpenJS基金會接受Node版本管理器NVM成為第一個孵化器專案
新聞在今年年初的時候,JS基金會與Node.js基金會正式合併成為OpenJS基金會,以促進JavaScript生態系的關鍵專案發展,而現在該基金會宣布,Node版本管理器(Node Version...
View ArticlemacOS Catalina正式登場
新聞蘋果在10月7日正式釋出新一代的macOS Catalina作業系統,它除了把iTunes拆成Apple Music、Apple Podcasts與Apple TV三款程式之外,新增了遊戲訂閱服務Apple Arcade,還有可以iPad作為延伸螢幕的Sidecar功能,並支援Voice...
View Article