一周大事：FBI警告笔电别和物联网装置共用Wi-Fi。Chrome 79现灾情会清空本机储存和WebSQL

FBI警告笔电不应和物联网装置共用Wi-Fi网络

随着智慧家电及物联网（IoT）应用兴起，一般用户也成骇客下手的目标。美国联邦调查局（FBI）呼吁大众，连网摄影机、游戏机及智慧喇叭等物联网装置，切记别和笔电设于同一Wi-Fi网络。

FBI指出，新兴家用资讯装置包括智慧喇叭、智慧手表、连网摄影机等，不但可能以消费者不知道的方式搜集资讯、传到不明去处，还会让骇客透过骇入上述IoT装置入侵Wi-Fi网络，再经由家用路由器扩散到各个连网装置，包括储存隐私资讯和密码的笔电。更多内容

 

Chrome 79出现灾情会清空本机储存和WebSQL

多位开发者回报Android上的Chrome更新到79（79.0.3945.79）版本的时候，本机储存（Localstorage）与WebSQL都被意外地清空，应用程序将遗失旧有资料。所有的资料都仍然保留在档案系统中，只是在Chrome 79无法被找到。

目前Chrome 79更新已经释出，官方解释，造成本机储存和数据库遗失的原因，是因为这些档案没有跟着储存根路径变更而搬移。

有开发者认为，Chrome 79这起臭虫事件的发生，代表Chrome的QA失灵，由于多数应用程序都使用资料储存，开发团队应该要对重要的本机储存和WebSQL进行测试。更多内容

 

Gmail现在可直接把邮件当作附加档案了

图片来源／Google

Google预告明年开始针对G Suite用户推出一项新的Gmail功能，将能把Gmail中的邮件直接以附加档案的形式寄出，让使用者可一次寄出多个邮件给同一位收件人，且附加的邮件数量并无限制。更多内容

 

悠游卡公司开始试营运电子支付服务“悠游付”

跨进电子支付服务市场，悠游卡公司展开电子支付服务“悠游付”的小规模试营运，号召500名尝鲜者在双北地区试用，明年第一季正式推出服务。

国内四家电子票证公司中，一卡通最早于去年9月和Line联手推出了Line Pay一卡通，成为首家跨入电子支付业务的电子票证业者，之后爱金卡（iCash）、远鑫（HappyCash）、悠游卡也相继取得电子支付业务许可，爱金卡、远鑫已抢攻电子支付市场，今年2月取得电子支付业务许可的悠游卡公司，年底终于展开动作。

“悠游付”为一电子支付钱包服务，支援Android、iOS平台，用户在原本的Easy Wallet App中注册就能开通“悠游付”，并选择绑定8家银行的金融账户，当“悠游付”的账户余额不足时，可以手动或自动从银行账户的存款为“悠游付”加值。

“悠游付”最多可绑定20张实体悠游卡，让用户掌握不同悠游卡的消费明细、卡片余额，当余额不足时，可以“悠游付”为悠游卡加值。如果用户忘了携带悠游卡，未来凭手机内的“悠游付”也能搭捷运、公车。更多内容

 

IoT整合需求夯，树莓派大卖了3千万套

自从2008年问世以来，掀起自造者运动风潮的树莓派（Raspberry Pi）已经卖出3,000万套。

树莓派基金会共同创办人Eben Upton说，截至今年11月，这套35美元的单板电脑全球已经卖出2980万套，每月推估销量在50到60万台之间。而在12月初，他们在通路卖出了第3,000万套Raspberry Pi。

Eben Upton在2008年还在剑桥大学电脑实验室研究时，为了激发儿童学习程式而发明了Raspberry Pi。现今Raspberry Pi的使用者早已远超过学生，还包含许多科技玩家，甚至科技公司。Google曾推出过结合Raspberry Pi开发AI语音界面的语音辨识套件Voice Kit。甲骨文今年用1,060台Raspberry Pi 3 B+，连结成号称全世界最大的Raspberry Pi丛集，搭载64-bit 4核 ARM Cortex-A53处理器，单核心时脉可达1.4GHz，总共具备4,240颗核心。另外也有人用它来设计分类乐高积木的AI系统。更多内容

 

G Suite将强制第三方app支援OAuth

图片来源／Google

近期Google宣布从2020年6月起，将禁止不安全app存取G Suite账号，第三方app必须支援OAuth。

不安全app是指非Google推出，但以账号密码存取Google账号，包括Google行事历、通讯录或电子邮件的app。Google指出，企业员工可能想用iOS邮件app来收发工作相关邮件，但这可能让G Suite账号陷入被劫持的风险。由于这类存取方式只验证账号、密码，若帐密因为用户和其他网站共用密码而被骇客取得，骇客就可以直接存取G Suite相关资讯。

相反的，app支援OAuth协定让G Suite可以获取更多登入资讯验证是否为用户本人，防止帐密为第三人所用。OAuth也允许G Suite执行管理员定义的登入政策，像是用硬件金钥或启用白名单等安全管控。

Google将以2阶段来执行，2020年中用户不得新增未支援OAuth的第三方app存取，接着在2021年初，全面禁止任何不支援OAuth协定的第三方app存取G Suite账号。更多内容

 

Linux 5.6将有VPN新标准

开源VPN WireGuard的核心程式码将会合并进Linux Net-next树中，而这代表WireGuard将会在Linux 5.6版本时进入主线核心，而这将使得WireGuard成为Linux VPN的新标准。

WireGuard由Jason A. Donenfeld开发，是专为Linux核心设计的安全网络通道，特色是要提供比IPsec和OpenVPN等传统VPN技术更好的连接效能。由于传统的VPN技术，通常配置方法复杂且容易中断，需要花较多的时间重新协商连接，而且拥有庞大的程式码基础，增加了除错的困难。

而WireGuard的出现便是要解决这些问题，除了配置简单之外，也使用目前公认最安全的加密方法，而且只有约4,000行程式码，只有OpenVPN或IPsec的1％，让安全审核更容易。WireGuard也能建立更加稳定的通道，与现行VPN技术相比，WireGuard连接不需要多余的交握，可以即时进行连接。WireGuard本身是Linux专案，但是现在已经可以在所有热门平台用到，包括Windows、macOS、BSD、iOS和Android上都有实作可使用。更多内容

 

 

DEF CON CTF主办人在HITCON CTF论坛，首度公开PWN College开源课程

图片来源／台湾骇客协会

到底要怎么透过现在流行的CTF（抢旗攻防赛），吸引更多对资安有兴趣的人呢？DEF CON CTF主办单位O.O.O.主办者Yan Shoshitaishvili（网络昵称Zardus），正式对外公开PWN College的开源课程，这是他在任教大学，用来培养对资安有兴趣学生的入门基础课程，透过开源方式释出，希望可以作为全世界培育资安人才的入门教材。更多内容

 

趋势科技在台公布2020资安预测，BEC诈骗、IoT攻击手法更复杂

趋势科技发布新一年度的资安预测报告，整理出台湾在2020年要关注的几项重点，包括AI诈骗、家用IoT成企业风险，还有可蠕虫化漏洞的威胁、云端错误配置、容器安全、金融安全，以及5G、CI与OT等面向。

在趋势的预测报告中，最受注目的资安威胁，就是AI所带来的风险。趋势科技资深技术顾问简胜财表示，过去钓鱼与诈骗的威胁持续增加，现在攻击手法将变得更加复杂，而利用AI技术，所进行的深度伪造与诈骗，就是一大威胁。

例如，过去带来庞大损失的商业电子邮件诈骗（BEC），透过电子邮件就能达到目的，而随着AI技术的进步，今年已有透过假冒语音的攻击案例。举例来说，如果骇客透过AI模拟声音与影像来诈骗，日后财务人员接到假冒的视讯电话，看得到对方貌似老板的脸，声音也很熟悉，当“老板”发出命令要人员执行，这时，依照骇客指示去汇款的概率将会非常之高。而且，骇客要取得高阶主管的语音与影像，其实不难，透过网络上搜寻就找得到。更多内容

 

中国队Tea Deliverers赢得HITCON CTF冠军，直接晋级2020年DEF CON CTF决赛

在台湾举办的HITCON CTF（抢旗攻防赛）决赛，由来自10个国家、加上Balsn CTF决赛冠军以及趋势科技CTF决赛冠军，总计14个队伍一起参赛，经历两天激烈的竞争，最终结果出炉。

曾在DEF CON CTF获得季军的中国队Tea Deliverers，在本次HITCON CTF首度拿到冠军；亚军则是俄罗斯队LC↯BC，这也是他们第三次拿到HITCON CTF亚军；至于第三名则是日本队TokyoWesterns。

由于HITCON CTF决赛获选为2020 DEF CON CTF的种子赛事，代表获得冠军的中国队Tea Deliverers，也拿到2020 DEF CON CTF决赛的参加资格。更多内容

 

明年1月起微软用全屏幕提醒你升级Windows 7

图片来源／微软

随着Windows 7的技术支援，即将在2020年1月14日终止，从隔天起，微软就会以全屏幕提醒你升级到Windows 10。

根据微软支援网页从2020年1月15日起，Windows 7电脑将显示全屏幕的通知，告知用户在大限之后仍继续跑Windows 7 SP1的风险。这个通知会停留在画面上，直到用户与之互动为止。

会出现这个超明显通知的Windows 7版本包括简易（Starter）、家用入门（Home Basic）、家用进阶（Home Premium）、专业版及旗舰版。专业版用户如果有买延伸安全更新（Extended Security Update，ESU）服务，电脑就不会出现这个通知。

此外以同一网域串连的电脑，或是设定Kiosk模式的机器，也不会出现本通知。更多内容