下滑看更多

影像快訊

近期活動

公告資訊

近期新聞

  • Check Point揭露聯發科晶片漏洞,波及3成手機與IoT裝置 2021-11-30
    聯發科技近期修補的系統單晶片安全漏洞,一旦被駭客串聯OEM業者函式庫的安全漏洞時,將可允許應用程式擴張權限 以色列資安業者Check Point周三(11/24)揭露了4個涉及臺灣晶片製造商聯發科技(MediaTek)系統單晶片(SoC)的安全漏洞,指出當把這些漏洞串聯OEM業者合作夥伴函式庫的安全漏洞時,將可允許應用程式擴張權限,波及全球37%的智慧型手機及IoT裝置。不過,聯發科技已於今年10月修補了相關漏洞。 聯發科技在去年第三季就超越了高通,以31%的市占率凌駕高通的29%,成為全球手機晶片的製造龍頭,而根據Counterpoint今年第二季的調查,聯發科技的市占率更躍上了43%,高通則落至24%,蘋果以14%排名第三。 聯發科所打造的系統單晶片包含了一個特殊的AI處理單元(APU)、與一個聲音數位訊號處理器(DSP),藉以改善媒體效能並減少對CPU的依賴,不管是APU或DSP都採用客製化的Tensilica Xtensa微處理架構,此一Tensilica平台允許晶片製造商擴充Xtensa指令集,以優化特定的演算法並避免遭到複製,這也讓它成為安全研究的目標。 Check Point團隊即針對其聲音DSP韌體進行了反向工程,並發現它暗藏了許多可自Android裝置存取的安全漏洞,當結合OEM合作夥伴的函式庫漏洞時,將讓Android程式擴張權限,進而允許駭客竊聽使用者的對話或藏匿惡意程式。 其中的3個漏洞為CVE-2021-0661、CVE-2021-0662與CVE-2021-0663,它們皆屬於堆積緩衝區溢位漏洞,主要是因邊界檢查不正確,可能會發生越界寫入的問題。至於第4個安全漏洞CVE-2021-0673的細節則尚未公布。 根據Check Point所描述的攻擊場景,一個無特權的Android程式只要透過AudioManager API設定特定的參數值,就能開採CVE-2021-0673漏洞,再串連OEM合作夥伴函式庫的安全漏洞,即可造成Android程式的權限擴張,允許Android程式傳送訊息至聲音DSP韌體。 若再加上CVE-2021-0661、CVE-2021-0662或CVE-2021-0663漏洞,駭客也許能進一步執行其它的惡意行為,例如藏匿或執行聲音DSP晶片上的惡意程式。 根據Check Point的說法,聯發科技已在今年10月修補了上述的4個安全漏洞。不過,聯發科技10月或11月的安全通報中,並未包含CVE-2021-0673,可望於12月的安全通報中現身。 2021-11-25 iThome 陳曉莉https://www.ithome.com.tw/news/148022
  • AI功能強 桌面也能彈樂音 2021-11-29
    燈泡型投影機,將桌面變身為觸控螢幕的數位鋼琴APP,可體驗在桌面彈出樂音的樂趣。(記者陳佳伶攝) 經發局在贏地創新育成基地舉辦「AI智能與圖像辨識技術之應用」聯合策展,展示四家科技公司,應用於客服、醫療、保全與生活娛樂的AI產品,機器人可以辨識人形、舉手求救訊息,透過燈泡型投影機,將桌面變身為觸控螢幕的數位鋼琴APP,參觀民眾可體驗在桌面彈出樂音的樂趣,展覽到十二月十三日。 經發局長陳凱凌指出,此次策展聚焦在探索AI智能與圖像辨識技術,如何應用於各階層;將不同產業經驗鏈結成共創、共融的經濟體,讓台灣發展接軌全球。 主辦單位規劃展區導覽,吸引民眾與新創團隊參觀,雲義科技從發展演算法核心技術,其中小雲辨識盒透過演算法技術,讓攝影機具多種智慧辨識功能,可辨識人形、煙霧、昏倒、舉手求救,並可同時設定多組辨識排程。 喬泰透過影像擷取,讓虛擬偶像依情境不同,做出宛若真人的即時動作回應,廣泛應用於智慧醫療、智能物流、智慧工廠、辨識解析等領域的客服系統,帶來嶄新的使用者體驗。 雅匠科技為提供AR∕VR技術與整合之服務商,展示產品是AR眼鏡教學系統。點點滴滴科技則是推出智能投影技術,透過燈泡型投影機,將牆面或桌面變身為觸控螢幕,應用於家庭娛樂,透過燈泡型投影機,將桌面變身為觸控螢幕的數位鋼琴APP,在桌面上居然可彈出樂音,產品讓人驚艷。 2021-11-25 中華新聞網 陳佳伶https://www.cdns.com.tw/articles/493418
  • 英國點名俄中為資安主要威脅 AZ疫苗團隊飽受攻擊 2021-11-26
    英國國家網路安全中心17日發布2021年度報告,點名俄羅斯與中國是主要的網攻威脅者。(示意圖/圖取自Pixabay圖庫)   英國國家網路安全中心(NCSC)今天發布2021年度報告,不但點名俄羅斯與中國是主要的惡意行為者,且化解777起重大網攻,數量創歷年新高,多數涉及疫苗研發生產,牛津大學也受害。 NCSC的2021年度報告期間為2020年9月1日至2021年8月31日。報告指出,777起重大網攻中,約20%的受害單位與衛生醫療及疫苗有關,包括牛津大學的阿斯特捷利康(AZ)疫苗研發人員曾遭勒索軟體鎖定。勒索軟體猖獗是NCSC認為最迫切的資安威脅之一。 報告提到,NCSC的「網路主動防衛」(Active Cyber Defence)計畫在相關年度總計成功攔截了230萬起網攻,包括442起使用國民保健署(NHS)標誌的網路釣魚行動及80個假冒的NHS應用程式(app)。 2016年成立的NCSC隸屬英國情報機構「政府通訊總部」(GCHQ)。GCHQ主任佛萊明(Jeremy Fleming)在序言表示,網攻威脅持續升高,報告年度期間即有受中國政府支持的行為者攻擊微軟(Microsoft)系統,俄羅斯對外情報局(SVR)也涉入針對美國資訊科技業者SolarWinds的駭客行動。 佛萊明指出,網路犯罪者持續利用疫情衍生的各種情境,惡意的國家行為者則投入更多資源,意圖竊取疫苗與醫療研究成果。他提醒,科技領導地位有「東移」趨勢,攸關未來繁榮與安全的關鍵科技將不見得以民主價值為核心內涵。 NCSC年度報告總計提到中國5次、俄羅斯10次,來自這兩個國家的網攻行動最頻繁且具持續性。報告指出,中國在網路世界是十足老練的行為者,且將影響力投射到外界的野心日益膨脹。中國未來10年的實力演進研判將是影響英國網路安全的「最大單一」因素。 2021-11-17 中央社 陳韻聿https://www.cna.com.tw/news/firstnews/202111170366.aspx
  • 邁阿密宣布將把城市加密貨幣MiamiCoin收益分潤給市民 2021-11-25
    根據報導,今年8月開挖的城市加密貨幣MiamiCoin,目前已替邁阿密市賺進2千萬美元,約等於邁阿密總稅收的2成 CityCoins在今年8月3日啟動邁阿密幣(MiamiCoin)的挖礦活動,這是CityCoins所發行的第一個城市加密貨幣,並會自動把3成的收益挪至該城市的加密貨幣錢包中。而本周邁阿密市長Francis Suarez則透過CoinDesk TV宣布,未來MiamiCoin的收益將以比特幣形式、分潤給所有的市民。 CityCoins專門協助各個城市發展它們的城市加密貨幣,它的兩大初期功能為挖礦(Mining)與堆疊(Stacking),它的挖礦方式是把Stacks代幣(STX)轉發到位於Stacks協定的城市幣智慧合約,贏家即可獲得該城市幣作為報酬,不過,礦工轉發至Stacks協定的STX、會有30%直接被送到該城市的加密貨幣錢包中,供該城市自由運用。 至於Stacking指的則是透過持有及鎖住城市幣來獲得獎勵,取得70%代幣的礦工若選擇持有這些代幣,則可賺取STX作為獎勵,若再持續保留STX,則可獲得比特幣(BTC)作為獎勵。 要發行城市幣主要有兩個步驟,一是市民投票,二為市政府必須接受城市幣協議的貢獻。而MiamiCoin即是CityCoins所發行的首個城市幣,紐約市的NYCCoin挖礦活動則甫於11月10日啟動。 根據報導,8月3日開挖的MiamiCoin在3個月以來,已替邁阿密賺進2,100萬美元,如果換算成年度獲利,約等於邁阿密總稅收的1/5。 這使得邁阿密市長Suarez決定把城市錢包的獲利以比特幣分給所有市民,計畫替市民設計一個加密貨幣錢包,並與各個加密貨幣交易平臺合作,協助市民取得錢包、註冊及認證身分,成為首個以比特幣分潤給市民的美國城市。 2021-11-12 iThome 陳曉莉https://www.ithome.com.tw/news/147812