行動版 Chrome 更新加入了更強的密碼保護

Google 最新版的行動版 Chrome 86,要為 Android 和 iOS 平台的網頁瀏覽體驗帶來更好的密碼保護,包括為雙平台都帶來 Safety Check、在 Android 版本加入加強版的 Safe Browsing 和改善了 iOS 版本的密碼填入功能。 具體來說,Chrome 瀏覽器在分析到使用者的密碼有風險的話,會直接跳轉到改變密碼的頁面,同時也會確保 Chrome 版本是最新的。 Android 版本獲得的加強版 Safe Browsing,是從桌機版本移植而來的,能夠實時分析和阻擋有惡意程式、釣魚行為的網頁和下載。而且也與桌機版本一樣,在瀏覽嵌入了不安全元素的 HTTPS 網頁時,會有警告提示。 iOS 的密碼填入功能就是整合了 Apple 家的 Face ID、Touch ID 和密碼鎖定,提供更流暢的使用體驗。 Google

Arlo Pro 4、Ultra 2 網路相機的續航力大增至半年之久

Arlo Arlo 發佈新一代高階和旗艦網路相機 Pro 4 和 Ultra 2,兩個機型現在都擁有單次充電使用半年之久的超長續航力,不過兩者的差異就愈來愈多了。 定價 199.99 起的 Pro 4 保留了 2K HDR 和 160 度超廣角,這回的升級是讓這款相機可以直連 Wi-Fi 網路,省略基站的安裝,也讓使用者有更大的擺放彈性。 新的旗艦機型 Ultra 2 就定價 299.99 美元,繼承前代已有的 4K HDR 和 180 度超廣角視野,主要提升就是在連線範圍,讓使用者可以把相機安裝在更多不同位置。 自然,兩機同樣都會有內建補光燈、雙向音訊、彩色夜視和智慧平台連結的能力——Amazon Alexa、Google Assistant、IFTTT,Ultra 更支援 Apple HomeKit。新品已經在美國開始預訂,本地消息有待確認。

Google 推出倡議計畫要幫助 Android 合作方修補安全漏洞

Engadget 對於自家的原生 Android 系統,Google 一直有利用快速更新、抓蟲獎勵等手段來持續提升其安全性。而現在他們也希望透過自己的力量,來幫助第三方合作夥伴更好地為用戶提供服務。日前其上線了一項新的 Android 合作夥伴補漏倡議計畫(Android Partner Vulnerability Initiative),旨在通過盡早提醒和「推動補救」的方式,讓第三方 Android 裝置可以有更強的安全性。 在官方部落格中,Google 聲稱新計畫其實已經協助解決了不少的問題,不過相關的細節並沒有被官方公布。但是根據這項計畫的除蟲記錄來看,華為、Oppo、Vivo、ZTE、魅族、聯發科、传音和 Digitime 此前都被發現了漏洞,遇到的問題則是涉及備份、刷機、訊息服務、瀏覽器自動填寫等多個方面。 在公開漏洞前,Google 自然是會提前告知廠方,而被發現的漏洞目前大部分已經被補上了。如果能保持這樣的效率的話,那第三方 Android 裝置的安全性未來就可望得到明顯的加強了呢。

Windows XP 源代碼外洩了,居然有 Mac 系統的元素

Jeff Christensen/WireImage 又一個微軟的電腦系統源代碼給外洩了(為什麼會是又),而且這次的主角是超經典的 Windows XP。Bleeping Computer 和 ZDNet 報導指,4chan 論壇上出現了相信是屬於 Windows XP Service Pack 1、Windows 2000、Windows Server 2003 的系統源代碼。據指這用戶已經獲得這些內容有好幾年,但等到今天才公開出來,在分析之後,更發現到 Windows XP 開發時的一些痕跡。 The Verge 表示,這些源代碼之中包含了 XP 早期開發時的內容,當時還被以代號名 Whistler 來稱呼呢。其中是有未被起用的介面主題,有的是很微妙的像當年 OS X 的 Aqua 設計語言。雖然看起來是用來佔位置的,但也是顯示了當然 Apple 跟微軟在電腦仍然為主的年代的鬥爭,還是有點惺惺相惜的感覺吧。 我們向微軟查詢相關源代碼的內容時,對方回應指「仍在調查中」,不過 The Verge 和…

Epic 收購了兒童網路安全專門公司 SuperAwesome

SuperAwesome Epic Games 宣佈他們完成收購了來自英國的 SuperAwesome,這是一家專門開發兒童網路安全的技術。Epic Games 的創辦人兼 CEO Tim Sweeney 表示,現在愈來愈多的兒童接觸到網路,所以他們是時候來提升他們的安全。 這已經是 Epic 本週內第二宗交易案,早前就是收購了遊戲開發平台 Manticore。同時 Epic 也在忙著組成對抗 Apple 和 Google 應用商店的聯盟,以及正在與 Apple 就著 App Store 政策對簿公堂。 說回這家 SuperAwesome,他們有個名為 Kids Web Services 的平台,簡單來說這是個家長管理工具套件,讓開發者可以弄出一個包含廣告和賺錢元素的兒童向服務,同時內容都會符合 GDPR 和其他兒童褔利的規例。據該公司的介紹,這工具有被 Nike、迪士尼、孩之寶、樂高等大型企業採用。 這平台在使用時,父母要先提供證明,這樣才會給孩子使用服務的許可。Epic 可以藉此把旗下的遊戲都加入家長管制,不過他們在回應 VentureBeat 的回應時就指出,他們的目標是讓所有 Unreal…

Chrome 瀏覽器將會禁止經加密網頁載入 HTTP 內容

為了用戶隱私和安全,Google 的 Chrome 安全團隊在部落格發文表示,經加密的 https:// 網頁將只會載入同樣經加密的 https:// 子資源。他們表示雖然 Chrome 使用者目前已經有超過 90% 瀏覽時間是在 HTTPS 網頁,但發現仍有不少子資源是從不安全的 HTTP 網頁載入,這包括圖片、影片、音訊和有高風險的「混合內容」。 據解釋,自 12 月推出的 Chrome 79 開始,瀏覽器會預設封鎖來自 HTTP 網域的混合內容,但會有讓使用者手動解封指定網頁的混合內容的設定。到 2020 年 1 月推出的 Chrome 80,就會自動升級所有混合音訊和影片內容到 HTTPS,未能升級就會封鎖。最後就會在 2 月把全數內容都升級至 HTTPS,並封鎖所有非 HTTPS 內容。 以上相關的行動都是逐步進行的,大概一般使用者都不會被影響日常瀏覽網頁的體驗。同時,開發者也會有足夠的時間來跟隨 Google 的指引更新內容。

iPhone 的 bootrom 漏洞讓永久越獄成為可能

iPhone 的「越獄」,或說是解除蘋果對軟體核心的寫入鎖定,在早年是相當盛行的事,因為許多 Apple 原廠未提供的功能(像是 App Store 出來前要安裝第三方應用),都要越獄之後才能擁有。不過隨著 iOS 功能逐年增進,雖然說一代一代的 iOS 都還是有越獄的方法推出,但對大部份消費者來說,越獄已經不再是會去考量的因素了。 但 Twitter 用戶 Axi0mX 發現的這個被取名為「checkm8」的漏洞,依然有著極高的重要性。相對於在 iOS 之中尋找可以利用的漏洞,Axi0mX 是在 iPhone 手機的 bootrom 之中發現了切入點。由於 bootrom 是存在於手機的硬體之中,無法透過軟體去修改,意思也就是說蘋果將無法透過軟體更新的方式去將這個漏洞堵上,只要是擁有這個漏洞的硬體,無論 iOS 怎麼升級都能被破解。目前基本上只要是使用 A11 或更早的晶片的 iPhone 機種都在受影響的範圍內,也就是除了今年最新 iPhone 11 / 11 Pro / 11 Pro Max…

Google 幫 iPhone 找到了一批已被利用多年的網頁竊取資料漏洞

Google 的 Project Zero 團隊日前刊文稱,自己之前找到了一批會被駭客用來透過網頁實現 zero-day 攻擊竊取 iPhone 用戶資料的漏洞。基於這批漏洞的攻擊甚至不需要使用者在自己的裝置上進行輸入,他們只要點開了有問題的網頁,手上的機器便會面臨被侵入的風險。而在順利攻破裝置後,駭客便可透過植入惡意軟體的方式盜取諸如照片、iMessage 訊息、GPS 即時定位等敏感數據。 根據 Motherboard 的報導,這種攻擊方式還能以使用者的 keychain 和相關密碼為目標,甚至說 Telegram、WhatsApp 這類端到端加密 IM 軟體的數據庫都可能被攻陷。Google 的 Project Zero 團隊最終發現的漏洞總數為 14 個,系統版本包括在 iOS 10 到 iOS 12.1.2 之間的 iPhone 都有被攻擊的潛在風險。 相對來說還算值得慶幸的一點是,這類攻擊植入的惡意軟體在手機重開機後便會消失。而且 Google 在發現漏洞後,已經於 2 月 1…

Google 的抓蟲獎勵計畫將包含所有熱門 Android 應用

為了提高 Play 商店內軟體的可靠性,Google 之前就推出了相應的抓蟲獎勵計畫。只是它涉及的就只有最頂尖的少數幾款應用,在覆蓋面上其實並不算廣泛。為了改善這種情況,現在官方對策略進行了調整。Google 今天宣佈將 Google Play 安全獎勵計畫的範圍擴大到所有下載量超過一億次的 app,開發者只要發現一個漏洞,就能得到最高兩萬美元的獎金。 一般來說,廠商公佈的抓蟲獎勵多是為其自家的軟體而設,這次 Google 能把範圍擴大到惠及他人的程度,看來是真的希望能讓 Play 商店整體的安全性都有所提升。而且對於那些本身就設有獎勵計畫的開發方,Google 提供的激勵並不衝突。也就是說成功抓蟲的開發者可以拿到兩邊的獎金,這樣抓起蟲來應該也會更有動力吧。 除此之外,Google 同期還推出了一項開發者數據保護獎勵計畫,目的是減少 Android 應用、OAuth 計畫和 Chrome 外掛中「濫用用戶數據」的情況。被抓到的軟體會被從 Google 的商店中移除,而將情況上報的開發者則有希望獲得最高五萬美元的金額。

Apple:未來會在得到用戶同意後才收聽 Siri 互動錄音

本月初的時候,Apple 基於人們對隱私外洩的擔憂,暫停了其跟承包商合作的 Siri 互動對話人工分析計畫。時至今日,Apple 正式就此事向用戶致歉,並且說明了下一步的改善計畫。「根據評估的結果,我們意識到我們尚未完全達到理想效果,對此我們深表歉意。」在新聞稿中 Apple 這麽寫道。 而之前被叫停的 Siri 分級計畫,也確定會在秋季的軟體更新後重啟。Apple 承諾未來在預設狀態下將不再保留 Siri 互動錄音,只使用電腦生產的文本記錄來幫助改進 Siri。與此同時,使用者可以選擇允許 Apple 獲知請求的音訊樣本,而且只有在用戶選擇加入計畫時(隨時可退出),Apple 自己的員工才被允許收聽相關的內容。 在這份聲明被公佈前,有報導稱 Apple 已經終止了與全球各地超過 300 家 Siri 分級計畫承包商的合作。以後第三方將不會再接觸到 Siri 互動的內容,而且 Apple 也會主動刪除使用者無意中觸發 Siri 的錄音。