一周大事｜公部門IT外包業者成國安破口，多個政府單位遭中國駭客滲透。G Suite發生大規模故障事件

調查局首度揭露國內政府委外廠商成資安破口的現況，近期至少10個公家單位與4家資訊服務供應商遇害

法務部調查局偵辦數起政府機關遭駭案件時，發現公部門及其資訊服務供應商遭中國駭客組織滲透的問題嚴重，至少有10個政府單位，以及4家資訊服務供應商都已經受到攻擊。

其中，機關內部VPN安全管理問題，是這次事件揭露的一大重點，其實，在臺灣資安大會上，也有資安專家提到國內企業與政府遭供應鏈攻擊的實例，當中就提到不少案例是駭客會「幫」單位裝Softether VPN軟體，這是早年流行的工具，近年又被駭客拿來利用。更多內容

G Suite又發生全球大規模故障事件

Google G Suite部分服務於8月20日下午開始，發生大規模故障事件，包含Gmail、Google雲端硬碟、Google文件、Google Meet和Google Voice，皆出現異常，使得全球許多用戶遭遇無法登入、無法附加檔案等狀況，臺灣也有部分用戶受影響。更多內容

卡位金融生態圈，玉山銀揭露未來5年數位戰略

隨著3家純網銀即將開業，加入臺灣數位金融市場，國泰金、台新金紛紛揭露自家金融生態圈戰略，在法說會上，玉山銀行董事長黃男州也公布玉山未來5年的生態圈戰略，「會採取Banking as a Services（銀行即服務）模式瞄準場景金融，銀行本身就是服務，可以嵌入任何場景中。」

黃男州認為，純網銀的確加快了數位金融的發展腳步，但這是短空長多。「5年來看，臺灣銀行產業將成長10~15%，餅變得更大了，正在打基礎的純網銀約只會占1～2％，反而是有競爭力，數位發展很快的銀行，可以獲取更多市場占有率。」這個對未來臺灣數位市場的觀察，也影響玉山當前的數位發展戰略。更多內容

Google將實驗隱藏網頁完整URL以防釣魚網站

圖片來源／Google

Google Chrome安全團隊將隨機選擇Chrome 86用戶進行實驗，以確認桌機版Chrome的網址列如果隱藏完整URL，是否能讓用戶更注意他們所造訪網頁的安全性。更多內容

睽違8年，推特啟用新版第三方App的API

推特8月正式啟用新版第三方App API，這是自2012年以來的首次改版，採用全新基礎，也加入多項新功能，包括開發人員呼聲最高的訊息串列（conversation threading）、在推文中投票、在使用者資料中釘選推文、垃圾郵件過濾，以及更強大的推文串過濾及搜尋查詢語言功能。更多內容

控告高通晶片專利授權違反競爭，FTC敗訴

圖片來源／高通

針對美國政府控告高通手機晶片授權政策打壓對手的官司，美國第九上訴巡迴法院做出判決，認定高通該項政策並未造成打壓競爭的事實，法官指出，FTC提出的資料，無法證明高通收取專利權利金及「沒授權、沒晶片」的條款，對競爭者造成壟斷影響，高通的商業模式是「hypercompetitive」（過度競爭），非「anticompetitive」（反競爭），後者行為才違法。更多內容

惡意程式透過Xcode專案散布，鎖定macOS零時差漏洞

圖片來源_蘋果

趨勢科技發現一個鎖定macOS電腦的木馬程式XCSSET，攻擊者將惡意程式碼注入本機Xcode專案，讓開發者編譯的軟體，成為散布此木馬的途徑。已有開發人員將問題Xcode專案經由GitHub分享，恐導致類似供應鏈攻擊的風險。更多內容

Google想利用手機來建立全球地震偵測網路

圖片來源_Google

Google計畫利用各地Android手機，來建立全球最大的地震偵測網路，把手機上的加速器當作迷你地震儀，用戶只要加入Android地震警報系統（Android Earthquake Alerts System），就能傳送所在地區的地震訊號，也能在第一時間收到Google的地震警告。更多內容

TikTok被踢爆暗中蒐集安卓裝置識別資料

圖片來源_ Kon Karampelas on unsplash

被美國政府盯上的TikTok，近期被華爾街日報揭露，過去曾違反Google政策，蒐集Android手機的MAC位址資訊，直到去年11月才停止。蘋果App Store及Google Play Store都明訂禁止App蒐集裝置MAC位址資訊。更多內容

微軟修補120個安全漏洞，有2個已被用來發動攻擊

在8月Patch Tuesday，微軟修補17個重大漏洞，並有2項漏洞已遭開採。此外，該公司今年截至8月修補的漏洞總量，已超越去年總和。

其中2項已被駭客開採的零時差漏洞中，被列為重大等級的CVE-2020-1380，是個腳本引擎記憶體損毀漏洞，會在腳本引擎處理IE記憶體中的物件時被觸發，進而破壞記憶體並允許駭客以現有使用者的權限執行任意程式。該漏洞波及所有平臺上的IE 11。更多內容

美國密西根州計畫設置全美首條自駕車專用道路

圖片來源_Cavnue

儘管各大科技業者偏好選在矽谷所在地的加州展開自駕車測試，但身為傳統汽車產業重鎮的密西根州，仍積極爭取業者進駐，在2017年底通過一份當時全美最完整的自駕車法令，率先允許全自動的無人駕駛車上路，吸引Alphabet旗下Waymo選擇密西根州的底特律做為生產大本營。而今，密西根也將打造全美國第一條自駕車專用道路。更多內容

API有3大資安風險2大挑戰，靠AI即時偵測異常是新對策

隨著API廣泛應用，資安議題也陸續浮現，企業的API更成為駭客入侵的突破口。因此，企業如何管理好自家API，甚至採用新形態的API防護工具，利用AI主動偵測異常API，即時告警與阻斷駭客攻擊，都是企業需面臨的課題。更多內容

面對後WannaCry時代，資安威脅防護需同時考量OT環境

2017年全球各地遭到WannaCry勒索軟體的大規模攻擊，但本次事件影響的不只是個人電腦這類IT設備，就連原本大家認為應該獨立於IT網路之外的工業控制系統，也受到重創，主因在於IT網路與OT網路之間的聚合，實體隔離的界線正在消弭，趨勢科技TXOne產品行銷經理許育誠也從WannaCry這項全球資安大事件，來剖析後續產生的影響。更多內容