文/羅正漢 | 2024-05-07發表

在今年4月的資安月報中,物聯網安全的發展態勢成一大焦點,國際間有兩則重要新聞,一是英國產品安全暨電信基礎設施法(PSTI Act)正式生效,一是FIDO聯盟揭露IoT身分識別FDO標準即將有首批認證產品出爐。

特別的是,我們注意到,這兩個涉及IoT安全不同層面的新聞,其實在某種程度上有一重要共通點:要讓「預設密碼」安全問題真正消失!因此,2024年將會是一個重要的轉捩點。

長期以來,大家應該已經注意到,絕大多數IoT裝置都存在預設密碼、通用密碼的情況,像是admin、1234、0000等,更糟糕的是,許多使用者都不會更改這些預設密碼。

由於這些預設密碼,大多在產品說明書或網路上都查得到,甚至過往這類產品還有萬用工程密碼、帳密寫死的情形,這都給了網路犯罪者相當大的可乘之機。

記得今年初,我們看到美國CISA新公布Secure by Design系列警報,當時有一則就是──敦促製造商拒用預設密碼,避免相關的濫用威脅。

CISA明確指出,依據多年來的經驗,期待顧客在購買產品後去變更預設密碼,是不切實際的一件事,多數顧客並不會這麼作。因此,只有在產品設計製造階段,就要設法消除預設密碼存在這件事。

然而,儘管多年來資安界提倡Secure by Design,這三四年來,IoT設備通過資安標準認證的態勢亦相當顯著,但大家更關注的是,全球各國IoT資安立法的進度,因為這會是更強的一股力道,來規範產品安全。

英國PSTI法案生效,強制規範消費性IoT安全,違反最高罰1000萬英鎊或營業額4%

為何我們前面說2024會是一大轉捩點?

這是因為,在2020年提出的歐盟《網路韌性法》(Cyber Resilience Act),以及英國《產品安全暨電信基礎設施法》(PSTI Act),都將在2024年正式發布。

尤其英國PSTI法案,已經率先在今年4月29日生效。這不僅標示著,在英國當地銷售的物聯網產品,都必需遵循這項法令。更重要的是,英國成為全球第一個強制消費性IoT裝置必需達到最低資安標準的國家,尤其是禁止使用通用預設密碼、弱密碼,別具意義。

儘管在此之前,美國兩州已有相關立法,包括加州法案SB 327與奧勒岡州法案HB 2395,均在2020年生效,但以國家層級而言,英國顯然是更積極。

而且,在英國帶頭之後,還有歐盟網路韌性法也即將正式通過,由於涉及了大半歐洲市場,因此同樣受矚目。目前最新消息是,歐盟網路韌性法已在立法程序最後階段,預計最近兩個月生效。

大家可以想見的是,這些法案不只影響物聯網設備安全,更影響了各國物聯網資安立法,同時也影響著臺灣許多物聯網相關產業。

以這次英國PSTI法案來看,有哪些重點值得關注?我們簡單列舉如下:

首先,這項法案由英國產品安全與標準辦公室(OPSS)負責執行,其規範對象,針對了所有可連網的消費性智慧裝置,包括:智慧型手機/平板、連網攝影機、路由器,以及各式智慧家居產品(如智慧門鈴、嬰兒監視器、智慧家電),還有智慧穿戴設備等。

其次,這項法案所設定最低的安全標準,主要聚焦3大重點,分別是:

●每個產品的密碼必須是唯一的,或由產品使用者更改密碼設定。這意味著禁止通用密碼,並對密碼強度有相關要求,或是用戶在首次使用時,必須重新設置一組新的密碼。

●產品製造商必須提供通報產品安全性問題的聯絡資訊

●產品製造商必需以明確且透明的方式,將產品生命週期的資訊公布給消費者。

更重要的是,若是違反PSTI法案,情節嚴重者最高可被罰款1000萬英鎊,或全球營業額4%作為罰款。

解決預設密碼問題成定局,際間還有更多IoT安全規範正在發展

除了上述新聞事件,近一年來國際間其實還有諸多發展。

例如,在美國方面,聯邦通訊委員會(FCC)去年下半宣布針對智慧裝置祭出US Cyber Trust Mark安全標章;在亞洲方面,南韓今年初宣布與新加坡簽署物聯網安全認證體系MOU

對於臺灣而言,雖然我國在2018年就由經濟部與NCC啟動了物聯網資安標章制度,並成為公部門優先採購的安全產品,但如何有進一步發展,是我們持續關注的焦點。

至於即將正式發布的歐盟網路韌性法,4月4日也有新消息。最新發布的一份文件「Cyber Resilience Act Requirements Standards Mapping」,聚焦將網路韌性法附件所列出的每一項基本要求,與現有的資安標準一一對應。這不僅可以評估現有標準的涵蓋範圍,還能評估哪些標準需要更新或修訂,以涵蓋CRA的所有要求,更重要的是,可以幫助製造商遵循網路韌性法,以及識別其產品需要符合哪些標準。

無密碼身分識別持續受重視,FDO認證產品今年出爐

另一重要消息是,FIDO聯盟近年推動的IoT設備身分識別標準,如今即將有首波FDO(FIDO Device Onboard)認證產品問世。

這項消息,FIDO聯盟於4月在臺舉辦FDO Taipei Workshop活動上首度宣布,我們在活動現場亦得知,不僅Intel、Red Hat、Dell、英飛凌(Infineon)等科技大廠看重FDO的發展,也有越南業者VinCSS積極打造相關應用,臺灣亦有工業電腦廠東擎科技積極參與,並有望成為首批通過FDO認證產品的業者。

回顧過去幾年,FIDO聯盟在無密碼身分識別方式的推動上,先是提出了UAF、U2F與FIDO2標準,促進了線上服務登入可免記密碼,到了最近幾年,他們顯然是將焦點朝向IoT領域,推出FDO標準,期望透過建立一個新的IoT開放標準,讓物聯網裝置註冊可以更安全又有效率。

這項FDO開放標準有何特性?簡單來說,可應用在物聯網設備啟用時的身分驗證,幫助降低人為導致的資安風險,例如在製造、零售、醫療等場域,可望擺脫傳統IoT布署過程存在人工作業、預設密碼的狀況。

綜合來看,我們可以發現,解決IoT設備端的預設密碼安全問題,確實在2024年有重要進展。

無論如何,大家可以想見的是,居家與產業環境中連接的物聯網設備是日益增長,讓攻擊者有可乘之機的狀況也會越多,因此,IoT安全性的變革至關重要。

 

【資安週報】2024年4月1日到4月3日

在這一星期IT界與資安界最重大的新聞,就是有開發人員意外發現了XZ/liblzma被植入後門的事件,紅帽也公布了XZ相關漏洞CVE-2024–3094,本期有多篇新聞與此事件有關。

所幸的是,這次能夠及早揪出了這個潛藏的後門,目前只有部分Liunx版本受影響,影響層面還不是太廣,然而,這起針對開源軟體的供應鏈攻擊事件,正持續受到調查與探討。

不只是意外發現的過程,後門植入的手法,更讓各界吃驚的是,涉及此事件提交的GitHub帳號,竟是從2021、2022年就開設帳號並逐漸取得原始XZ維護者的信任,這樣的潛伏歷程備受矚目,也再次引發各界對於開源軟體安全議題的探討。

還有兩個Linux漏洞的揭露值得關注,一是名為Flipping Pages、涉及netfilter元件的漏洞,一是名為WallEscape、涉及util-linux 套件的漏洞。這兩個漏洞的修補,分別在今年1月底與3月底釋出,近期研究人員各自揭露漏洞細節與並利用場景,同時呼籲尚未因應的用戶盡速更新。

在其他漏洞利用消息方面,使用AI框架Ray的企業組織需特別留意,去年11月底Anyscale揭露5個漏洞,唯有CVE-2023-48022漏洞沒有修補,甚至認定這並非漏洞,但如今有資安業者揭露已濫用該漏洞的攻擊活動ShadowRay。

Google Pixel手機用戶也要當心,在Android的4月安全更新公告中,有兩個Pixel的資訊洩漏漏洞已有跡象受到針對性利用,分別CVE-2024-29745、CVE-2024-29748,本期資安日報尚未提及,在此補上。

在最近的資安事件中,還有2則新聞我們認為值得重視,分別發生在美國網路安全暨基礎設施安全局(CISA),以及非營利組織OWASP基金會。我們整理如下:
美國CISA亦受到年初Ivanti系統漏洞影響,駭客針對美國聯邦高風險化學關鍵設施,入侵CISA提供的化學品資安評估工具(CSAT),並成功部署了Web Shell,且另一關鍵基礎設施資安資訊工具CISA Gateway也受影響。
以公布十大網站資安風險而廣為知名的OWASP基金會,最近發布資料外洩通知,說明2006至2014年的成員簡歷檔案可能外洩,原因出在一臺舊的維基(Wiki)網頁伺服器,當中存在組態配置不當的問題。

此外,國內發生一起7所高中校務系統遭駭的事件,根據教育部公布的初步調查,我們認為,當中有兩個議題值得留意與警惕。一是關於駭客勒索的對象,並非這些學校,而是打造校務行政系統的亞昕資訊,另一是通用帳號密碼的問題,調查中發現駭客先入侵1所學校的系統,獲得登入該校務系統的帳密,但駭客利用同一組帳號密碼,也能成功登入其他6所學校的系統。另亞昕有其他說法,說明此事件影響單機版校務行政系統,並指出駭客是針對受害客戶的主機入侵。有待後續調查釐清。

 

【資安週報】2024年4月8日到4月12日

在這一星期的漏洞消息方面,包含微軟、SAP、Adobe、西門子、施耐德電機等每月例行安全更新修補釋出,Rust開發團隊修補CVSS滿分10分的重大漏洞,以及LG修補智慧電視多個漏洞,而且,傳出5個漏洞已遭利用的消息。

(一)微軟修補了兩個已經遭利用的零時差漏洞,分別是涉及SmartScreen繞過的漏洞CVE-2024-29988,以及關於Proxy Driver欺騙的漏洞CVE-2024-26234。
(二)臺廠D-Link停止維護的多款NAS機型被發現多個新漏洞,其中2個已遭利用,除了本周資安日報提及的漏洞CVE-2024-3273,還有CVE-2024-3272也已經遭到利用。D-Link呼籲用戶應儘速淘汰這些設備。
(三)另一個本周資安日報尚未提及的漏洞,是Palo Alto Networks週五揭露旗下防火牆產品的零時差漏洞CVE-2024-3400,並計畫於14日釋出修補,然而,發現漏洞被利用於攻擊活動的情形最早在3月下旬。

還有兩項漏洞的揭露也值得留意,一是影響多個專案的新型態HTTP/2漏洞遭揭露,已登記9個CVE編號,另一是有研究人員發現網頁伺服器元件Lighttpd漏洞曾在2018年被默默修補,不只影響AMI MegaRAC的BMC韌體,進而影響Intel、聯想伺服器廠商。

在資安事件焦點方面,國內上市櫃接連遭遇資安事件的狀況備受矚目,等於短短一週內,就有5家公司發布資安重訊,涵蓋生技、旅遊、塑化、食品與光電等不同產業,我們整理如下:

●4月7日,上櫃生技醫療業佰研說明旗下電商「無毒的家」會員資料外洩事件。
●4月8日,上櫃觀光餐旅業富野說明旗下分公司資訊系統遭受網路攻擊。
●4月9日,上市塑膠工業聯成說明發生網路資安事件。
●4月9日,上市食品工業聯華說明發生網路資安事件。
●4月11日,上市光電業聯合再生公告有部分系統遭受駭客攻擊,導致工廠停工。

值得注意的是,聯華實業、聯成化科均屬於聯華神通集團(MiTAC-Synnex Group),而我們在今年2月也曾注意到該集團的通路大廠聯強有疑似遭駭的消息在流傳,是否有更多災情尚不得而知;富野是近兩個月第二度遭遇事件,該公司表示上次事件後已規畫資安強化作為,但需要更多時間建置,因此未能阻擋這次攻擊。關於聯合再生的後續狀況,我們在此補充,該公司隔日已對此事件發布重訊更新近況,表示在確認工廠產線設備未受影響後,已於11日當日下午復工生產。

綜觀這些事件的公告,我們認為,由於主管機關證交所對於資安事故揭露要求越來越嚴格,因此不只是資料外洩開始出現在上市櫃公司的重訊,企業對於事件後續狀況的揭露,也比過往要積極,雖然短期內會讓大家產生資安問題似乎發生得比過去密集的印象,然而,隨著企業資安威脅態勢越來越透明,這些攤在陽光底下的亂象才是真正反映現況,有助於大家正視問題!

在關注臺灣資安事件之餘,國際間也有一些重大事件,包括:日本光學設備製造商Hoya傳出遭勒索軟體駭客組織Hunters International攻擊,遭索討1,000萬美元贖金,越南石油公司PV Oil遭到勒索軟體攻擊,以及智利資料中心IxMetro Powerhost遭遇勒索軟體SEXi攻擊。

此外,全球還有多個資安威脅的最新態勢,我們特別注意到在金融業、媒體政要領域,各有一項需要慎防的威脅。

●對於金融業而言,國際信用卡組織Visa發布資安通報,說明最近一波的惡意軟體JsOutProx攻擊,並呼籲發卡銀行、處理機構及相關單位需嚴加防範;
●對於手持iPhone的記者、官員或政治人物而言,蘋果最近發現部分用戶遭到傭兵間諜軟體(Mercenary Spyware)鎖定,已通知可能遭鎖定的92國用戶,並建議依照步驟來提升裝置防護層級。

在其他惡意活動的揭露方面,我們認為可留意下列消息,例如,語音網釣威脅又一例,LastPass示警,說明該公司員工收到一連串的電話、簡訊、語音郵件,並指出對方透過WhatsApp冒充公司執行長傳送Deepfake的語音訊息;過去曾攻擊Canon、全錄、LG的勒索軟體組織Maze,最近有資安業者揭露其成員可能東山再起,以名為Red CryptoApp的勒索軟體駭客組織重新出發,再度危害企業。

 

【資安週報】2024年4月15日到4月19日

在這一週的漏洞消息中,有Oracle發布今年第2季例行更新要注意,還有一個受到更多IT界關注的漏洞修補,是老牌終端機及傳檔工具Putty的開發團隊發布vuln-p521-bias漏洞通告,指出攻擊者可透過CVE-2024-31497漏洞,獲取NIST P521曲線演算法的ECDSA私鑰,因此,用戶除了更新軟體,也要立即撤銷並替換新的私鑰。所幸的是,這次漏洞僅有使用521位元的ECDSA私鑰的用戶受影響。

在漏洞利用方面,有一則已知漏洞新傳出遭利用的消息,3月時中繼資料管理工具OpenMetadata維護團隊修補了5個漏洞,近期有研究人員發現,有攻擊者利用這些漏洞攻擊企業K8s環境,並部署挖礦軟體。

另一值得留意的是,上期周報提及Palo Alto Networks修補已遭利用的零時差漏洞CVE-2024-3400,後續有研究人員指出,全球有8.2萬臺曝險,臺灣也有1,344臺這類設備,它們都是處於暴露於網際網路且尚未修補此漏洞的狀態。

在資安威脅焦點方面,近期有3類型的攻擊活動,我們認為值得多加留意,包括鎖定VPN與SSH的攻擊,鎖定路由器的攻擊,以及網釣威脅與活動。
●多個廠牌的VPN系統或SSH服務正被攻擊者鎖定,發起大規模暴力破解攻擊,思科表示不只是自家產品,還有Check Point、Fortinet、SonicWall、Miktrotik、居易、Ubiquiti的設備遭鎖定,並發現針對遠端桌面的網頁存取服務攻擊的情況。
●過去幾週有不少殭屍網路鎖定路由器攻擊的狀況,最近又有新的活動被揭露,有資安研究人員發現Moobot、Miori、Condi、 AGoent、Gafgyt與Mirai變種這6種殭屍網路病毒,都在利用TP-Link去年修補的路由器漏洞發動入侵。
●近期一家美國電信服務商員工帳密遭網釣、內部系統遭存取的事件引發思科示警,因為該電信商負責Duo用戶的MFA簡訊通知及VoIP訊息,因此思科提醒用戶,留意遭竊資訊可能被攻擊者用於社交工程攻擊。
●去年一起鎖定美國大型汽車製造商的攻擊行動被資安業者揭露,當中指出攻擊者一開始發送的網釣郵件,是假冒免費IP位址掃描工具軟體Advanced IP Scanner為誘餌,顯然,IT人員持續成為駭客發動網釣的目標,必需抱持更大警覺。

關於前幾個星期發生的兩起重大事件,最近有後續消息傳出首先,對於日前XZ/liblzma後門事件,攻擊者竟潛伏為合法維護者的狀況,近日OpenJS基金會示警,表示收到一系列電子郵件,其內容是要求為熱門JavaScript專案指定新的維護者,因此他們與OpenSSF共同提醒開源維護者,需慎防這樣的社交工程攻擊手法;另一是上週蘋果罕見對全球92國iPhone用戶提出警告,如今有研究人員透露進一步細節,指出攻擊者使用的間諜軟體是LightSpy。

在其他資安威脅態勢上,全球近來發生不少重大網路攻擊事件,都與政府或關鍵基礎設施有關,我們整理如下:
●臺灣外交部的機密資料傳出在暗網被兜售,外交部指出這些資料的來源可疑,涉及境外變造、偽造等不法行為,以及操弄認知作戰的意圖,將持續調查。
●在南海局勢升溫之際,有資安業者揭露近期中國駭客針對菲律賓的假訊息與駭客攻擊活動增加3倍。
●聯合國開發計畫署近期表示,哥本哈根聯合國城的IT基礎設施上月底遭網路攻擊,部分人力與採購資料遭竊。
●俄羅斯駭客組織Sandworm近期動作頻頻,不只鎖定烏克蘭關鍵基礎設施,也鎖定美國、波蘭的供水設施,以及法國的水力發電系統發動攻擊。
●針對俄羅斯持續發動網路攻擊,烏克蘭方面近期傳出反擊,該國駭客組織Blackjack宣稱,已入侵俄國工業感應器及監控基礎設施製造商Moscollector。

還有3起勒索軟體攻擊事件也成新聞焦點。包括:總部位於荷蘭的晶片製造商Nexperia遭遇勒索軟體攻擊,旅館集團Omni傳出遭勒索軟體駭客組織Daixin攻擊,以及本期日報尚未提及的另一事件,那就是臺灣電子零組件大廠群光電子傳出遭Hunters international勒索軟體攻擊,在週末期間揭露,雖然影響似乎不大,因為群光回應媒體表示,事件未達重訊發布標準。

但因消息曝光在週末,且涉及臺灣上市公司,加上駭客聲稱取得1.2TB、414萬個檔案,因此受到國人關切。在事件曝光後,群光電子也依據重大訊息發布規定,當媒體報導公司發生資安事件可能影響投資人之投資決策,需發布重大訊息,因此群光電子也在週日中午針對媒體報導發生網路資安事件一事發布重訊,內容指出他們確時遭受網路攻擊,已啟動防禦與復原作業,並重申這次事件未達資安重訊發布標準,以及未有個資、機密文件檔案資料外洩。至於駭客組織聲稱竊取的檔案為何,有待更多後續消息揭露才能進一步得知。

此外,在前一星期的資安日報中,我們已經報導屬於聯華神通集團(MiTAC-Synnex Group)的兩家上市公司聯華實業、聯成化科,同時發布資安事件重訊說明發生網路資安事件,而且後續我們還注意到,傳出已有駭客組織宣稱竊取聯成480 GB的資料,不過我們尚未看到該公司有進一步說明。這起事件的影響性可能比群光的事件還大,不過其他國內媒體有報導此事的並不多,大多是將焦點集中在群光。

 

【資安週報】2024年4月22日到4月26日

這一星期3則漏洞利用消息,有兩起涉及零時差漏洞利用,當中最受關注的是,思科修補了旗下ASA及FTD防火牆的2個零時差漏洞CVE-2024-20353、CVE-2024-20359,原因在於,思科Talos同時公布了調查狀況,指出年初經客戶通報安全性問題,調查後發現當時已有攻擊活動,並是國家級駭客UAT4356(亦稱Storm-1849)所為。

另一事件發生在檔案伺服器軟體CrushFTP,該團隊宣布修補已遭利用的零時差漏洞CVE-2024-4040,有研究人員指出駭客很可能是鎖定政治目標收集情報。

還有一個已知漏洞利用情形,是微軟詳細揭露了俄羅斯駭客組織APT28近年的攻擊手法,當中利用了Windows Print Spooler服務漏洞CVE-2022-38028。因此,近日美國CISA將之列入已知利用漏洞清單。

其他漏洞消息方面,有一則影響全球10億用戶的消息,是市面上常見的中國拼音輸入法被發現存在諸多漏洞。為了幫助這些用戶不受攻擊者監控輸入內容,加拿大公民實驗室已向8家輸入法供應商通報大批漏洞,多家廠商已針對最嚴重的漏洞進行修補,但Vivo、小米卻並未針對通報回覆。

在資安威脅態勢方面,有4則新聞我們認為值得重視,這些攻擊趨勢研究的面向,涵蓋SAP用戶、網頁伺服器被鎖定、CDN快取遭濫用、以及AI的趨勢,我們整理如下:

●SAP用戶注意,有兩家資安業者警告,鎖定SAP旗下應用系統的勒索軟體攻擊行動在2023年大增,不僅攻擊活動比兩年前暴增4倍,SAP的RCE漏洞在黑市的價格也水漲船高,顯示駭客正對此有高度興趣。
●鎖定網頁伺服器已知漏洞並部署Web Shell的攻擊行動被揭露,目的是植入勒索軟體Adhublika,而全球受害數量最多的國家除了美國與印度,臺灣居於第三。
●駭客組織CoralRaider攻擊行動被揭露,研究人員指出對方使用CDN快取伺服器存放惡意程式,這將導致網路防禦系統可能無法對其進行偵測而放行。
●最新一項大學研究報告指出,LLM Agents將能自動利用具CVE編號、已被揭露的One-day漏洞,實測10個LLM的結果顯示,GPT-4成功完成這項工作,再次顯現AI帶來的風險與挑戰。

此外,本期周報也新補上一則AI監管的最新動向,是美國康乃狄克州議會在24日通過了SB 2,若是之後順利發布,SB 2將成為美國第一部監管民營企業開發與部署人工智慧的法案,成為與歐盟AI法案相當的立法。

還有2則值得警惕的攻擊態勢,是關於駭客正鎖定資安管理不善的國防產業,以及鎖定網路邊際裝置來入侵。

●韓國國防承包商傳出遭北韓駭客組織攻擊,導致相關機密資料被竊取,韓國警方提出警告,並指出多個北韓駭客組織利用了這些公司資安管理不善的情況進行滲透。
●Google Cloud發布M-Trends報告,除了談及過去一年攻擊者如何利用AiTM入侵多重驗證保護措施,網路釣魚技術在現代化安全控管機制下的演變,並指出中國駭客逐漸以缺乏EDR系統防護的網路邊際裝置與平臺為目標。

至於其他最新惡意活動的揭露,本星期的焦點還包括:安卓金融木馬SoumniBot、惡意軟體SSLoad、竊資軟體RedLine等,以及駭客組織BlackTech利用新的後門程式Deuterbear的揭露。

在資安事件方面,本星期發生多種類型攻擊事件,涵蓋零時差漏洞攻擊、軟體供應鏈攻擊、關鍵CI攻擊與資料外洩。這4則新聞如下:
●年初Ivanti零時差漏洞有新的受害組織,資安研究機構MITRE近日公布他們用於研究、開發、原型設計的協作網路環境NERVE遭入侵。
●防毒軟體eScan的更新機制竟成派送惡意程式GuptiMiner幫兇,研究人員指出是北韓駭客Kimsuky發動的軟體供應鏈攻擊,透過複雜的中間人攻擊手法,針對大型企業網路環境來部署後門程式。
●美國德州小鎮2起供水系統遭攻擊的事件,導致供水系統出現溢流現象,已手動控制因應,研判俄羅斯駭客組織Sandworm(APT44)所為。
●長榮航空在25日夜間發布資安事件,說明察覺不明人士取得旅客帳號資料並透過惡意IP位址登入網站,發現300多名旅客資料被存取。此外,先前群光遭駭事件這周末又有後續消息,我們在此補上,該公司指出駭客組織新揭露的SpaceX資料非機密資料

特別的是,還有一起案外案,是北韓雲端伺服器組態不當造成資料外洩,當中資料顯示,疑似美國多家影音平臺動畫製作外包給中國公司,中國公司又外包給北韓動畫公司,導致違反美國政府禁令的狀況曝光。

在防禦態勢上,這一星期有2項新進展,首先,我國數位發展部正式公布國家資通安全研究院(資安院)接手TWCERT/CC,這項消息其實我們在1月初採訪TWCERT/CC得知並揭露,2月也有對此的專訪報導,最近4月24日,數位發展部部長唐鳳與資安院院長何全德不僅正式宣布此事,同時還揭露5大推動策略

其次,推動IoT開放標準協定FDO的FIDO聯盟,近日在臺舉辦FDO WorkShop活動,該單位認證計畫主管透露,首批通過FDO標準認證的名單將於近1到2月內公布,有4家廠商進度最快,臺灣工業電腦廠東擎科技也包括在內。

 

2024年3月資安月報

2024年2月資安月報

2024年1月資安月報

2023年12月資安月報

2023年11月資安月報

2023年10月資安月報

 

無密碼身分識別持續受重視,FDO認證產品今年出爐

 

iThome Security

熱門新聞

Advertisement