家用IoT產品引發的資安事件時有所聞,包括駭客利用連網攝影機偷窺用戶活動,甚至利用殭屍網路病毒挾持網路攝影機,發動DDoS攻擊。(Photo by Ben Kolde on Unsplash)

FBI警告筆電不應和物聯網裝置共用Wi-Fi網路

隨著智慧家電及物聯網(IoT)應用興起,一般用戶也成駭客下手的目標。美國聯邦調查局(FBI)呼籲大眾,連網攝影機、遊戲機及智慧喇叭等物聯網裝置,切記別和筆電設於同一Wi-Fi網路。

FBI指出,新興家用資訊裝置包括智慧喇叭、智慧手錶、連網攝影機等,不但可能以消費者不知道的方式蒐集資訊、傳到不明去處,還會讓駭客透過駭入上述IoT裝置入侵Wi-Fi網路,再經由家用路由器擴散到各個連網裝置,包括儲存隱私資訊和密碼的筆電。更多內容

 

Chrome 79出現災情會清空本機儲存和WebSQL

多位開發者回報Android上的Chrome更新到79(79.0.3945.79)版本的時候,本機儲存(Localstorage)與WebSQL都被意外地清空,應用程式將遺失舊有資料。所有的資料都仍然保留在檔案系統中,只是在Chrome 79無法被找到。

目前Chrome 79更新已經釋出,官方解釋,造成本機儲存和資料庫遺失的原因,是因為這些檔案沒有跟著儲存根路徑變更而搬移。

有開發者認為,Chrome 79這起臭蟲事件的發生,代表Chrome的QA失靈,由於多數應用程式都使用資料儲存,開發團隊應該要對重要的本機儲存和WebSQL進行測試。更多內容

 

Gmail現在可直接把郵件當作附加檔案了

圖片來源/Google

Google預告明年開始針對G Suite用戶推出一項新的Gmail功能,將能把Gmail中的郵件直接以附加檔案的形式寄出,讓使用者可一次寄出多個郵件給同一位收件人,且附加的郵件數量並無限制。更多內容

 

悠遊卡公司開始試營運電子支付服務「悠遊付」

跨進電子支付服務市場,悠遊卡公司展開電子支付服務「悠遊付」的小規模試營運,號召500名嚐鮮者在雙北地區試用,明年第一季正式推出服務。

國內四家電子票證公司中,一卡通最早於去年9月和Line聯手推出了Line Pay一卡通,成為首家跨入電子支付業務的電子票證業者,之後愛金卡(iCash)、遠鑫(HappyCash)、悠遊卡也相繼取得電子支付業務許可,愛金卡、遠鑫已搶攻電子支付市場,今年2月取得電子支付業務許可的悠遊卡公司,年底終於展開動作。

「悠遊付」為一電子支付錢包服務,支援Android、iOS平臺,用戶在原本的Easy Wallet App中註冊就能開通「悠遊付」,並選擇綁定8家銀行的金融帳戶,當「悠遊付」的帳戶餘額不足時,可以手動或自動從銀行帳戶的存款為「悠遊付」加值。

「悠遊付」最多可綁定20張實體悠遊卡,讓用戶掌握不同悠遊卡的消費明細、卡片餘額,當餘額不足時,可以「悠遊付」為悠遊卡加值。如果用戶忘了攜帶悠遊卡,未來憑手機內的「悠遊付」也能搭捷運、公車。更多內容

 

IoT整合需求夯,樹莓派大賣了3千萬套

自從2008年問世以來,掀起自造者運動風潮的樹莓派(Raspberry Pi)已經賣出3,000萬套。

樹莓派基金會共同創辦人Eben Upton說,截至今年11月,這套35美元的單板電腦全球已經賣出2980萬套,每月推估銷量在50到60萬臺之間。而在12月初,他們在通路賣出了第3,000萬套Raspberry Pi。

Eben Upton在2008年還在劍橋大學電腦實驗室研究時,為了激發兒童學習程式而發明了Raspberry Pi。現今Raspberry Pi的使用者早已遠超過學生,還包含許多科技玩家,甚至科技公司。Google曾推出過結合Raspberry Pi開發AI語音介面的語音辨識套件Voice Kit。甲骨文今年用1,060臺Raspberry Pi 3 B+,連結成號稱全世界最大的Raspberry Pi叢集,搭載64-bit 4核 ARM Cortex-A53處理器,單核心時脈可達1.4GHz,總共具備4,240顆核心。另外也有人用它來設計分類樂高積木的AI系統。更多內容

 

G Suite將強制第三方app支援OAuth

圖片來源/Google

近期Google宣布從2020年6月起,將禁止不安全app存取G Suite帳號,第三方app必須支援OAuth。

不安全app是指非Google推出,但以帳號密碼存取Google帳號,包括Google行事曆、通訊錄或電子郵件的app。Google指出,企業員工可能想用iOS郵件app來收發工作相關郵件,但這可能讓G Suite帳號陷入被劫持的風險。由於這類存取方式只驗證帳號、密碼,若帳密因為用戶和其他網站共用密碼而被駭客取得,駭客就可以直接存取G Suite相關資訊。

相反的,app支援OAuth協定讓G Suite可以獲取更多登入資訊驗證是否為用戶本人,防止帳密為第三人所用。OAuth也允許G Suite執行管理員定義的登入政策,像是用硬體金鑰或啟用白名單等安全管控。

Google將以2階段來執行,2020年中用戶不得新增未支援OAuth的第三方app存取,接著在2021年初,全面禁止任何不支援OAuth協定的第三方app存取G Suite帳號。更多內容

 

Linux 5.6將有VPN新標準

開源VPN WireGuard的核心程式碼將會合併進Linux Net-next樹中,而這代表WireGuard將會在Linux 5.6版本時進入主線核心,而這將使得WireGuard成為Linux VPN的新標準。

WireGuard由Jason A. Donenfeld開發,是專為Linux核心設計的安全網路通道,特色是要提供比IPsec和OpenVPN等傳統VPN技術更好的連接效能。由於傳統的VPN技術,通常配置方法複雜且容易中斷,需要花較多的時間重新協商連接,而且擁有龐大的程式碼基礎,增加了除錯的困難。

而WireGuard的出現便是要解決這些問題,除了配置簡單之外,也使用目前公認最安全的加密方法,而且只有約4,000行程式碼,只有OpenVPN或IPsec的1%,讓安全審核更容易。WireGuard也能建立更加穩定的通道,與現行VPN技術相比,WireGuard連接不需要多餘的交握,可以即時進行連接。WireGuard本身是Linux專案,但是現在已經可以在所有熱門平臺用到,包括Windows、macOS、BSD、iOS和Android上都有實作可使用。更多內容

 

 

DEF CON CTF主辦人在HITCON CTF論壇,首度公開PWN College開源課程

圖片來源/臺灣駭客協會

到底要怎麼透過現在流行的CTF(搶旗攻防賽),吸引更多對資安有興趣的人呢?DEF CON CTF主辦單位O.O.O.主辦者Yan Shoshitaishvili(網路暱稱Zardus),正式對外公開PWN College的開源課程,這是他在任教大學,用來培養對資安有興趣學生的入門基礎課程,透過開源方式釋出,希望可以作為全世界培育資安人才的入門教材。更多內容

 

趨勢科技在臺公布2020資安預測,BEC詐騙、IoT攻擊手法更複雜

趨勢科技發布新一年度的資安預測報告,整理出臺灣在2020年要關注的幾項重點,包括AI詐騙、家用IoT成企業風險,還有可蠕蟲化漏洞的威脅、雲端錯誤配置、容器安全、金融安全,以及5G、CI與OT等面向。

在趨勢的預測報告中,最受注目的資安威脅,就是AI所帶來的風險。趨勢科技資深技術顧問簡勝財表示,過去釣魚與詐騙的威脅持續增加,現在攻擊手法將變得更加複雜,而利用AI技術,所進行的深度偽造與詐騙,就是一大威脅。

例如,過去帶來龐大損失的商業電子郵件詐騙(BEC),透過電子郵件就能達到目的,而隨著AI技術的進步,今年已有透過假冒語音的攻擊案例。舉例來說,如果駭客透過AI模擬聲音與影像來詐騙,日後財務人員接到假冒的視訊電話,看得到對方貌似老闆的臉,聲音也很熟悉,當「老闆」發出命令要人員執行,這時,依照駭客指示去匯款的機率將會非常之高。而且,駭客要取得高階主管的語音與影像,其實不難,透過網路上搜尋就找得到。更多內容

 

中國隊Tea Deliverers贏得HITCON CTF冠軍,直接晉級2020年DEF CON CTF決賽

在臺灣舉辦的HITCON CTF(搶旗攻防賽)決賽,由來自10個國家、加上Balsn CTF決賽冠軍以及趨勢科技CTF決賽冠軍,總計14個隊伍一起參賽,經歷兩天激烈的競爭,最終結果出爐。

曾在DEF CON CTF獲得季軍的中國隊Tea Deliverers,在本次HITCON CTF首度拿到冠軍;亞軍則是俄羅斯隊LC↯BC,這也是他們第三次拿到HITCON CTF亞軍;至於第三名則是日本隊TokyoWesterns。

由於HITCON CTF決賽獲選為2020 DEF CON CTF的種子賽事,代表獲得冠軍的中國隊Tea Deliverers,也拿到2020 DEF CON CTF決賽的參加資格。更多內容

 

明年1月起微軟用全螢幕提醒你升級Windows 7

圖片來源/微軟

隨著Windows 7的技術支援,即將在2020年1月14日終止,從隔天起,微軟就會以全螢幕提醒你升級到Windows 10。

根據微軟支援網頁從2020年1月15日起,Windows 7電腦將顯示全螢幕的通知,告知用戶在大限之後仍繼續跑Windows 7 SP1的風險。這個通知會停留在畫面上,直到用戶與之互動為止。

會出現這個超明顯通知的Windows 7版本包括簡易(Starter)、家用入門(Home Basic)、家用進階(Home Premium)、專業版及旗艦版。專業版用戶如果有買延伸安全更新(Extended Security Update,ESU)服務,電腦就不會出現這個通知。

此外以同一網域串連的電腦,或是設定Kiosk模式的機器,也不會出現本通知。更多內容


Advertisement

更多 iThome相關內容