一周大事：有資安疑慮！行政院下令公務機關與各級學校禁用Zoom。Visa要以行動支付採用的代碼化技術保護信用卡資料

行政院正式禁止公務機關用視訊會議軟體Zoom

繼4月6日晚間中華電信宣布停止原本的Zoom服務方案銷售後，政府現在也公開表示，將要求機關單位禁用。行政院資通安全處7號中午正式公告說明，指出各機關若因業務需求召開視訊會議，不應使用具有資通安全疑慮的產品，例如Zoom。

根據資通安全處的說明，臺灣已在2019年正式實施資通安全管理法，對於各公務機關及特定非公務機關而言，應依規定落實資通安全應辦事項，並應以國內產品及共同供應契約所列品項為優先。

由於武漢肺炎疫情（COVID-19）的持續發展，視訊會議需求大增，資通安全處指出，為了避免業務運作停擺，各機關在實施異地辦公或分區辦公時，可搭配視訊會議系統來溝通協作，但是，視訊軟體使用規範必須遵守。因此，他們表示，4月7日已經通函給各公務機關及特定非公務機關，說明不應使用Zoom這類具有資安疑慮的產品。他們也建議，在資安風險評估下，可使用如Google、微軟、Cisco的免費軟體。

行政院4月7日發函各機關單位後，教育部也在同日緊急發表後續處置說明，指出將轉知各級學校全面禁用Zoom，同時也將全面移除教育雲「線上教學便利包」中的Zoom相關使用說明。更多內容

支付安全聚焦新3-DS驗證與代碼化技術，Visa公布未來三年金融機構與商家導入時程

Visa公布近三年臺灣支付安全發展藍圖，其中有兩大支付安全焦點值得關注，首先是代碼化技術的推動，將朝向企業商家推進，其次是新一代的3-DS驗證系統，已經正式在臺推動，Visa並提出具體時程，讓相關業者都提前做好準備。

以代碼化技術而言，它在2014年成為支付產業標準組織EMVCo的正式標準，該技術將信用卡的16位數號碼，置換為另一組16位字串，最主要的目的，就是為了降低資料價值，讓實際的信用卡號碼只會使用在一開始的請求過程中，之後的存放與傳送過程，其實都是使用另一組代碼。

目前，這樣的安全技術早已應用在Apple Pay、Google Pay，與Samsung Pay中，讓用戶在這些行動支付所綁定的信用卡，更有保障性。然而，隨著行動支付更普遍，Visa也期望將代碼化技術擴及更多應用環節，尤其是資料存於商家的面向。

在第一階段，今年10月1日前，他們預計要讓商家導入應用程式內交易代碼化，讓消費者在商家App內，可用上述採代碼化技術的支付工具付款。換言之，商家App即可呼叫Apple Pay、Google Pay等應用。更多內容

德國、美國與澳洲都部份封鎖Zoom的使用

視訊會議軟體Zoom因傳出隱私、安全與誇大加密等級等負面消息，而日益受到各國政府的關注，除了台灣的行政院與教育部，已下令公務機關及各級學校不得使用Zoom之外，美國參議院、德國外交部，以及澳洲國防軍，也都宣布了禁用Zoom的政策。更多內容

Zoom稱用256位元AES加密金鑰，遭爆僅一半

圖片來源／The Citizen Lab

因在家工作風潮而大紅的視訊會議軟體Zoom，在安全白皮書中宣稱自己採用256位元的AES加密標準演算法於應用程式層，來加密所有呈現的內容。然而，加拿大多倫多大學市民實驗室（Citizen Lab）的研究人員實際測試卻發現，在基於電子密碼本（Electronic CodeBook，ECB）模式的Zoom會議中，所有參與者都使用單一AES-128金鑰，來加解密視訊與音訊，業者向來不建議採用ECB模式，因為它在加密過程中會保留明文。更多內容

Zoom為軟體漏洞道歉，承諾改善安全及隱私缺失

武漢肺炎（COVID-19）導致線上視訊應用需求大增，捧紅了在2011年創立的視訊會議平臺Zoom，使用人數更達上億人，但有關Zoom的隱私與安全問題，也如雨後春筍般地不斷出現，引起各界的質疑聲浪。最近，Zoom創辦人暨執行長袁征也親上火線，在官網上坦承，暴增的用戶與各式的使用情景，超越了Zoom原本的規畫，他承諾將凍結新功能的開發，優先解決平臺的安全及隱私問題。更多內容

Zoom宣布資安強化計畫，找臉書前安全長擔任外部顧問

為了強化產品安全以及資安措施，Zoom宣布聘請前臉書安全長Alex Stamos擔任外部資安顧問，並找來VMWare、Netflix、Uber等多家公司的CISO，擔任Zoom資安長會議及顧問委員會成員。更多內容

協助對抗疫情，Google發表人潮流動報告

圖片來源／Google

近期Google宣布，為了協助政府機關或研究單位對抗武漢肺炎疫情，他們將開始發表基於Google Maps的《武漢肺炎人潮流動報告》（COVID-19 Community Mobility Reports），以檢視人潮的流動狀態。

該報告主要蒐集了啟用「定位紀錄」（Location History）的Google Maps用戶的足跡，提供人們在不同地方的匿名移動趨勢，包括零售及娛樂場所、雜貨及藥局、公園、大眾運輸設施、工作地點及住家等。更多內容

臉書也有人潮地圖，準備號召全球用戶回報肺炎症狀

圖片來源／臉書

全球最大社交平臺臉書宣布，將提供3種人潮流動的地圖，也將開始號召全球用戶回報武漢肺炎（COVID-19）症狀，以協助研究人員了解並預測疫情。更多內容

蘋果捐贈2千萬個口罩，投入醫療面罩生產行列

蘋果執行長Tim Cook宣布捐贈2千萬個口罩予各國政府，同時正在著手生產醫療面罩，以供醫療工作人員使用，預計每一周可以生產100萬個醫療面罩。蘋果結合了公司內部的設計、工程、包裝團隊，以及外部的多家供應商，來共同設計及生產全新的醫療面罩，該醫療面罩一盒有100個，不到兩分鐘就能組裝完成，而且可根據頭部尺寸調整。更多內容

IBM新CEO上任，揭示混合雲、AI為策略目標

圖片來源／IBM

接任Ginni Rometty的IBM新任執行長Arvind Krishna走馬上任，發表員工公開信，宣示以混合雲、AI為公司策略目標，並視力推Red Hat、Kubernetes及容器為贏得架構戰的重點。更多內容

擠下Firefox，新版Edge成為全球市占第二的瀏覽器

也許是微軟開始替Windows 10用戶升級到Chromium版Edge之舉奏效，市調服務NetMarketShare發布的最新瀏覽器市場調查資料顯示，基於Chromium的Microsoft Edge瀏覽器在今年3月的市占率已達到了7.59%，些微領先Firefox的7.19%。更多內容

BGP劫持事件再現，臉書、谷歌CDN被導向俄羅斯

全球主要CDN（Content Delivery Network）發生BGP劫持（BGP hijacking）事件，包括Google、Amazon、Cloudflare、GoDaddy、臉書及Line等，都被導向俄羅斯一家ISP網站。

BGP流量監控業者BGPmon.net於美西時間4月1日晚上7點26分，偵測到這起BGP劫持事件，歷時約5分鐘，當時原應屬於臉書的CDN，其路由器網路前綴（prefix）很不尋常地由編號AS12389的自治系統（Autonomous System）宣告。根據偵測，受影響的CDN前綴全球超過8千個。這個自治系統隷屬於俄羅斯ISP Rostelecom，意謂著這些CDN的流量被導向了俄羅斯。這是過去三年來，第三次發生大規模流量被誤導的事件。更多內容

Slack現在可以站內撥打微軟Teams視訊通話了

圖片來源／Slack

協同軟體平臺Slack推出名為「Microsoft Teams Calls」的功能，讓Slack用戶可啟動Microsoft Teams視訊通話。

新功能目前還是Beta版，用戶按下Microsoft Teams Calls功能，即可在原為文字協同的Slack環境下，啟動Teams視訊會議，但並不能讓Slack用戶加入Teams會議。ZDNet報導，這是經由Microsoft 365/Office 365的API，來呼叫Teams視訊會議而成。更多內容

Skype開放視訊會議功能，與會者沒有帳號也能用連結參加

武漢肺炎（COVID-19）疫情，讓全球對視訊會議平臺的需求大幅增溫，為了簡化使用流程，Skype推出了新功能，允許使用者不需擁有帳號、不必登入，也不用下載軟體，就能透過連結參與Skype視訊會議。更多內容

居家辦公帶動3月筆電購買潮

隨著多數企業、學校因應武漢肺炎疫情，開始啟動居家辦公、上課等遠端作業，IDC市場分析師林璿瑞最新觀察，臺灣PC、平板等個人運算裝置的市場需求也出現了顯著成長。不論在實體通路上，如燦坤統計，筆電與平板的銷量比去年同期上升了2成，詢問度更是多4成，線上電商通路更是銷量大增，如PChome披露，三月整體筆電銷量較去年同期成長了35%。更多內容

因應疫情，Chrome 80暫緩跨網域cookies政策

圖片來源／Google

考量到武漢肺炎疫情造成的衝擊，Google暫停要求網站開發商或企業實施SameSite cookies標籤的政策。Google從Chrome 80起，為了維護用戶隱私和安全，要針對網站開發商或企業實施SameSite cookies標籤政策。在此政策下，所有cookies都必須標明SameSite值，SameSite=Lax的cookie將僅限同一網域使用。更多內容

Google推出智慧家庭邊緣運算SDK

圖片來源／Google

谷歌發布Local Home SDK 1.0，這是一個互聯裝置的開發工具包，可以整合到Google Assistant應用中。Local Home SDK讓Google Assistant裝置可以執行JavaScript本地履行應用程式，代替雲端後端執行一些日常工作，而由於資料只在區域網路傳輸，因此延遲也短得多，即使沒有網路連線，裝置仍然可以使用。本地履行擴展了智慧家庭Action，並以區域網路路由命令到裝置上，而且當本地路徑失效時，命令便會退回使用雲端連線。更多內容