如因故遇意外,無法提供指定商品,主辦方有權以價值相仿的商品兌換券或現金券替代指定商品。 針對行動裝置業者是否積極強化手機內部軟體安全,國家通訊傳播委員會(NCC)近日公布110年度的檢測結果,他們分別在上半年與下半年,挑選109年下半5款熱銷中國手機,以及110年上半熱銷的10款手機,根據《智慧型手機系統內建軟體資安測試規範》進行測試。 結果發現,5款熱銷中國手機在完成改善程序後通過檢測,而110年上半熱銷的手機裡,僅有iPhone 12通過檢測,其餘9款手機尚待廠商改善後進行複測。
目前NCC與經濟部共同推動智慧型手機系統內建軟體及自行安裝App的資安認證,台灣智慧型手機資安檢測目前是由廠商自願性申請,跟國際上規範趨勢相近。 翁柏宗說明,目前資安檢測,也有針對手機內建軟體對外傳輸資料部分做檢測,要求廠商送測時必須在廠商自我宣告表中明列手機內建軟體對外傳輸資料的伺服器IP、網域名稱、公司及主機名稱等資訊。 國家通訊傳播委員會(NCC)副主委暨發言人翁柏宗受訪時表示,從相關報告內容來看,並不是言論審查或過濾訊息,應是抽測時發現手機有資安疑慮,可能用戶輸入特定文字後,會回傳一些手機內碼到特定伺服器去,做遠端監測。 在前次測試中引起最大爭議的一點,是小米手機未經當事人同意便自動開啟網路簡訊,並且以無加密的明碼方式將簡訊收發雙方的電話號碼,都回傳小米在北京的伺服器。 小米科技在升級手機系統包(OTA)後,iThome再次委託相同的資安實驗室──資安公司芬安全(F-Secure)亞洲實驗室及臺灣資安公司戴夫寇爾(DevCore),以先前所測試的紅米1S手機,進行OTA升級後的第二波檢測。
小米資安: 小米手機行業
量子破密的威脅持續進逼,後量子密碼學(PQC)標準的發展與推行備受關注,近期有新創公司想要推廣這方面的應用。 該中心也與資策會於啟動儀式簽署合作協議,促進雙方在量子安全領域上的合作。 DARPA指出,AIxCC將分成兩個組別進行,分別是贊助組(Funded Track)及開放組(Open Track),贊助組是鼓勵小型企業參與的組別,參賽者將從申請小型企業發明研究的團隊挑戰,其中7組有機會獲得700萬美元的參賽資金。 初賽將於今年舉行,並選出20個隊伍參與明年的複賽,最終於2025年8月的DEF CON大會上,由5組隊伍進行總決賽。 民進黨立委趙天麟說,審計部提醒若屬實,外交部一定要徹底改進,因外館常扮演情報與反情報的工作,也是中共情報網絡攻擊的對象,若有資安疑慮,必須立刻改進,否則今年度預算審查會遇到很多亂流。 民進黨立委羅致政則強調,審計部提出的檢討,外交部要虛心接受,此事涉及國安,是和時間賽跑,該做的檢討還是要做,也要加速改善。
國家通訊傳播委員會(NCC)於1月6日表示,在臺灣販售的小米Mi 10T 5G手機,經檢測發現手機內建的應用軟體,會對中國敏感政治詞彙進行比對,甚至可能進一步回傳資訊,提醒民眾重視手機的個人隱私保護意識。 此事件主要是因為小米去年遭立陶宛點名資安有疑慮,德國隨後也積極調查,故本次BSI結果顯示,無法偵測到原報告中指摘過濾列表的傳輸行為。 江宜樺訂下3個月期限,調查小米是否有資安疑慮,但是,如果竊取資料行為依舊,也不可能把小米機收回,頂多只能限制公務人員不要使用。 個別用戶在OTA包更新後,仍觀察到手機和小米服務器的網絡連線,經確認,均為不涉及用戶私隱的互聯網服務,包括但不限於公眾日曆更新、MIUI系統提醒、軟件更新、系統短訊智能辨認、天氣等。
小米資安: 小米資安: 手機正在出賣你?透視美政府為何圍堵華為
110 年度抽測一共 10 款手機,涵蓋品牌國家包含美國、韓國、日本、台灣與中國,只有蘋果 iPhone 12 通過第一次測試,後續要求相關業者改善並複測,截至 2 月 8 日仍有 5 款沒通過,NCC 透露中國品牌就佔了 4 款,會持續追蹤,並預計在 3 月公布名單。 案發事件的隔日,小米官方也發表回應聲明,表示已調查出原因為去年12月26日進行之新測試,目的為強化攝影機線上串流品質。 小米也提出,只有極少數使用無線網絡攝影機基礎版連接Google Home Hub功能的用戶可能會受到影響,而所有使用連接米家APP平台的用戶則不受影響,並對受此事件影響的用戶深感抱歉。
對於部分外館限於環境,無可避免使用中國資訊設備及服務,外交部強調均已列冊控管,並責成相關館處加強落實資安防護。 小米資安 國民黨立委江啟臣表示,外交部近年執行資安健診發現的違規樣態,除安裝未奉核軟體、公務電腦連接私人裝置、印表機未關閉無線網路,竟還有未安裝防毒軟體,將帳號密碼張貼明顯處等離譜缺失,毫無資安防護觀念。 這些管理工作包含了建立及管理專案、新增或移除API的Token、上傳與移除發布的版本、新增或移除協作者、申請及管理組織帳號、新增及管理受信任的發布者功能。 PyPI團隊指出,他們計畫在今年底所有使用者全面啟用雙因素驗證,而本次的措施就是該計畫的具體作為之一。
小米資安: 台灣人為何不愛去中國玩?內行人曝4關鍵
Google在Android 12首度提供使用者關閉2G網路的功能,而在Android 小米資安 14,該公司進一步讓企業能全面停用公務手機的2G網路。 臺灣小米官方表示,未經用戶允許,不會主動上傳涉及使用者隱私的個人資訊和資料,而其他包含個人隱私的個人資料、照片、簡訊等,預設都是關閉相關網路服務,需要使用者主動開啟,也可以隨時關閉。 若是網路服務需要連回總公司伺服器驗證,所傳輸的資料都不涉及使用者隱私。 為確保手機出廠時之資通安全,NCC呼籲所有手機廠商自主辦理智慧型手機系統內建軟體資通安全檢測認證。
網路定期支付服務業者SlimPay遭到法國監管機構CNIL處罰,原因是該公司將敏感的客戶資料,存放在可公開存取的伺服器長達5年。 這些資料原本是用於內部研究,但該公司為了讓反詐欺的系統能運作更符合期待,使用了客戶資料庫裡的真實資料,而在2016年7月專案結束時,將相關資料遺留在公開的伺服器,直到2020年2月才察覺此事並補救。 根據SlimPay的資安通報裡,上述資料波及1,200萬人,包含了住址、電子郵件信箱、電話,以及銀行相關資料。
小米資安: 8/11更新:小米科技8月10日坦言偷傳並道歉更新系統,後續報導請按我
芬安全亞洲實驗室在8月11日至12日兩天,連續針對小米OTA升級包進行反覆測試,芬安全亞洲區資安顧問吳樹謙表示,他們採取與上次相同的測試程序,在相同的實驗室環境中,由同一群擅長分析惡意程式及具備逆向工程專長的資安研究員,實測紅米手機1S是否已經修改之前的問題。 小米資安2023 IThome在8月8日揭露小米手機未經用戶允許,偷傳使用者的個人隱私資料至北京的伺服器,在廣大的輿論壓力下,小米終於在2天後公開認錯,釋出修正問題的OTA升級包,宣稱「網路簡訊」已經不再預設為開啟,並重申未經同戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料。 NCC指出,各國廠牌手機對使用者涉隱私資訊有提供設定開啟或關閉功能的選擇,但該款小米手機 並無提供消費者此項選擇功能,雖該伺服器上之詞彙過濾檔案目前已被清空,惟製造商仍然可能由遠端隨時置放最新的過濾詞彙並啟動檢查或過濾功能,恐有使用者隱私資訊回傳疑慮。
另外,小米的 LOGO 倒過來是一個心字少個點,意味著小米要讓我們的使用者省一點心。 小米人主要由來自 Microsoft、Google、KINGSOFT、Motorola 等國內外IT公司的資深員工所組成,現在小米公司聚集了來自包括矽谷公司在內的全球各行各業的頂尖人才。 在小米團隊中,沒有冗長無聊的會議和流程,每一位小米人都在平等、輕鬆的夥伴式工作氛圍中,享受與技術、產品、設計等各領域頂尖人才共同創業成長的快意。 如本活動涉及優惠券的線下兌換及使用,前述活動規則同等適用於小米線下門市。 台灣小米通訊有限公司具有保留、修改、變更及一切最終活動解釋的權利,如有任何變更將公佈於小米官網, 恕不另行通知。
小米資安: 小米資安7大好處
在第一次測試中,翁浩正在監測手機的過程中也發現,紅米手機會回傳資料到pmir.3g.qq.com伺服器,經查是紅米手機預設開啟雲端掃毒服務,因其使用騰訊的雲查殺服務,因此會傳送資訊至騰訊的伺服器,然而由於傳送的資料已加密,無法檢視傳送內容。 在升級OTA包之後,再次測試的結果與第一次相同,使用者只要關閉病毒庫更新設定中的「自動更新」、「使用雲端殺毒」、「安裝監控」,紅米手機就不會再傳資料至騰訊的伺服器。 臺灣小米官方回覆指出,手機一開機後的連線行為,是為了回傳IMEI確認是否為正貨,並確認該號碼是否申請過小米帳號;而傳送簡訊時,要驗證手機號碼,是為了確認雙方都是小米手機,才能使用網路簡訊;登錄小米雲服務所回傳的資料,則是依照使用者設定,才能同步使用者手機資料。 而回傳應用程式清單,臺灣小米官方答覆,主要是使用者開啟小米雲備份功能,會同步使用者下載App,當使用者換新手機時,可以直接由雲備份直接下載即可。 該公司表示,他們這麼做的目的,主要是解決2G等舊式行動網路長久以來的安全問題,尤其是許多攻擊手法就是利用2G網路安全性不佳的特性,如:假基地臺(False Base Station,FBS)、IMSI Catcher(亦稱Stingray),暗中將手機行動網路降級為2G來進行相關攻擊。
活動期間,小米官網商品所有訂單需在成立後6小時內完成付款(包含手機的訂單需要在4小時內完成付款), 逾時訂單自動取消,數量有限,售完為止。 因應台灣碳權交易所7日揭牌上路,精誠積極推動雲端碳盤查、能源管理等解決方案,協助企業擬定減碳策略,並整合生成式人工智慧(Generative AI)技術應用,幫助企業彙整分析ESG(環境保護、社會責任、公司治理)數據資料,實現低碳轉型目標。 而對於駭客銷贓的管道,大部分的駭客偏好透過加密通訊軟體Telegram──有74%透過Telegram出售,有25%於暗網市集Russian Market,僅有不到1%出現在Genesis Market。 對此,美國網路安全暨基礎設施安全局(CISA)也於8月7日發布資安通告,並將上述漏洞列入已被利用的漏洞列表(KEV),要求聯邦機構於28日前修補上述路由器漏洞。 8月8日英國選舉委員會(Electoral Commission)坦承在去年10月,發現遭到駭客入侵的跡象,而有可能自2021年8月開始,存取2014年至2022年所有當地及海外選民的資料,這些資料包含了姓名、地址,以及到達投票年齡的日期。
小米資安: 小米資安: 小米手機內建言論審查 立陶宛:將手機扔了
參與者需為於小米官網符合網站和/或應用程式的使用條款、通過正當方式進行註冊且確保帳號正常使用的註冊用戶,且具有完全民事行為能力,並且接受活動規則條款,以及小米官網的隱私政策。 資安業者Bitdefender指出,近日美國德州首府奧斯汀的警方提出警告,表示他們發現有人在停車計費器上,張貼QR Code,意圖引誘想要透過手機付款的車主,在冒牌的付款網站上付錢,進而騙取車主的信用卡資料。 奧斯汀市在接獲通報後進行調查,發現超過100個計費器被貼上此種QR Code,呼籲民眾要加以留意。 報告指出,外交部因業務屬性機敏,常為駭客攻擊目標,且駐外館處受限駐地環境非由我方掌控,加上駐外人員資訊技術能力相對不足等,恐成整體資安防護缺口。 外交部駐外館處中,有十四個使用政院認定有資安疑慮通訊設備,十九個電信服務由存有資安疑慮的業者提供,其中有兩個館處同時具備上述兩項情事。
- 之後,芬安全亞洲實驗室允許紅米手機使用GPS定位服務,並添加一個新的聯繫人到電話簿,然後進行發送和接收簡訊以及多媒體簡訊測試,也測試打電話與接聽電話。
- 翁柏宗表示,建議民眾依需求評估選購已通過資安檢測的手機,NCC不會特別針對特定品牌來檢視,但每年都會針對販賣較好的數十款手機,定期做資安抽測並對外公告結果。
- 立陶宛國防部的國家網絡安全中心日前發布報告指出,中國品牌小米的手機可以偵測到「台灣獨立萬歲」等用語。
小米目前是全球領先的智能手機品牌之一,2021年第二季度全球市場佔有率達到全球第二位。 同時,小米已經建立起全球領先的消費級IoT物聯網平台,截至2021年3月31日,AIoT平台已連接的IoT設備(不包括智能手機及筆記本電腦)數達到約3.75億台。 2020年8月,小米第三度打入美國《財富》雜誌2021年「世界500強排行榜」 (Fortune Global 500) 小米資安 ,位列338名,較2020年大幅提升84位。 使用現金券的訂單申請退貨時,系統會依照折價後的金額進行退款,該現金券也無法被再次使用。
小米資安: LTN經濟通》洪災放水淹百姓 中國政府的日常
最後測試啟用小米雲服務時,紅米手機會連回小米手機北京伺服器,並回傳國際行動用戶辨識碼(IMSI)、手機序號(IMEI號碼)和電話號碼,也都會傳送到api.account.xiaomi.com伺服器。 芬安全亞洲區資安顧問吳樹謙表示,中低價位的中國品牌智慧型手機小米手機,近期在馬來西亞也非常熱門,以每周只在網路上銷售1萬支的飢餓行銷手法,不僅帶動高知名度,也成為馬來西亞熱門手機品牌。 小米資安 NCC 表示,建議民眾可依需求評估選購通過資安檢測的手機;NCC 每年都會針對銷售情況較好的數十款手機做資安抽測並公告結果。 另1資安研究人員提爾尼(Andrew Tierney)則發現,不僅是小米智慧手機,他從Google Play下載的小米瀏覽器(Mi Browser)和薄荷瀏覽器(Mint Browser),同樣會蒐集使用者上述的行為。 根據Google Play統計,目前這小米2款瀏覽器已有超過1500萬次下載。
翁浩正測試紅米機時,發現很多連回小米伺服器的封包記錄,但他說,連線內容加密,加上很難確定哪個程式有無惡意或在傳送什麼資料,因此要檢測一個手機是否有惡意程式,需要數個月時間來分析App、系統、底層。 小米資安 資安檢測分成3級,翁柏宗指出,1級檢測是針對手機內建軟體更新來源的資料傳輸對象要求要跟宣告表相符合,2級檢測要求手機內建軟體開啟的網路傳輸埠與宣告表相符合,負責檢測的資安實驗室對手機連接的伺服器比對跟宣告表相同後,才會發出檢測合格報告。 IThome再次委託相同的資安實驗室──資安公司芬安全(F-Secure)亞洲實驗室及臺灣資安公司戴夫寇爾(DevCore),以先前所測試的紅米1S手機,進行OTA升級後的第二波檢測。 為115個國家、逾8,000所各級學校提供網站代管服務的業者FinalSite,自1月4日起,開始有學校的網站無法使用,該公司當時宣稱,主要是名為Composer的內容管理系統出錯,直到1月6日才證實是遭到勒索軟體攻擊。 許多學校抱怨,該公司提供的緊急通知系統無法使用,使得他們無法提供師生有關氣候或是武漢肺炎的訊息。 郵件安全業者Avanan指出,他們自2021年6月開始提出警告,攻擊者可透過Google Docs或其他同廠牌的網頁應用程式,將用戶引導到惡意網站,隨後在12月他們發現實際的攻擊行動中出現新的手法,攻擊者利用Google Docs的評論功能,透過Google分享通知信件的機制,來散布惡意軟體。
