資訊安全新聞

花旗銀行（Citibank）（C-US）周一呼籲使用該公司行動銀行服務的用戶，盡速更新iPhone應用軟體，因花旗發現最初版本有安全疑慮，會誤存客戶的帳戶訊息。(編譯呂燕智 綜合外電)

花旗在一份公開聲明中表示，該公司最近發現iPhone應用軟體在意外情況下，會將個人帳戶資訊儲存到隱藏文件夾中，這些訊息包括帳戶號碼、帳單資訊以及登入密碼。倘若用戶將iPhone中儲存的檔案透過iTunes連結至電腦，那麼這些訊息也將同步儲存到電腦裡。

為了避免使用者帳號被盜用，拍賣業者雅虎奇摩推出第二層身分認證密碼。文/黃彥棻 (記者)

為了避免使用者帳號被盜用，拍賣業者雅虎奇摩推出第二層身分認證密碼，未來只要使用非經使用者認證過的電腦登入帳號後，便強制要隨機輸入第二層認證密碼的某幾個欄位。目前這樣的第二層身分認證服務先提供於拍賣業務。

美韓軍演昨進入第二天，除了反潛，這次軍演還有一個重頭戲，雙方將進行網路防禦戰的演練。中國解放軍深感網路威脅嚴重，上周一成立信息（資訊）保障基地，隸屬總參謀部，以因應外軍的網路攻擊。【亓樂義╱台北報導】

解放軍總參謀部上周一在北京成立信息保障基地，外界將其誤解為「網路戰司令部」。據我國防部資電作戰指揮部前副指揮官曾章瑞研判，對岸成立的單位應該屬於「資訊安全管理中心」（ＳＯＣ）的性質，和作戰沒有直接關係，而是支援作戰。

紐約時報報導，駭客有3種，雖然3種都是狠角色，但其中動機不明的「灰帽」（gray hat）駭客最讓企業傷透腦筋。【記者陳穎芃／綜合外電報導】

美國拉斯維加斯將在周五舉辦一年一度的駭客大會，使得企業資安與駭客問題近日再度受到注目。業界人士將駭客粗略分為「黑帽」、「白帽」及「灰帽」人士，其中黑帽駭客代表邪惡勢力，專門竊取企業系統中的機密資料，再轉手賣出賺取暴利。

雖然Mozilla在Firefox 3.6.7中修補了重大漏洞，但繼之Mozilla開發人員Daniel Holbert卻發現修補程式可能導致記憶體毀壞，而使得Firefox當掉，因此現在又發表3.6.8解決新的問題。文/陳曉莉 (編譯)

Mozilla甫於上周二（7/20）釋出Firefox 3.6.7以修補14個安全漏洞，但周五（7/23）再釋出Firefox 3.6.8以修補3.6.7所造成的重大漏洞。

美國駭客大會(Black Hat USA)即將於28日在拉斯維加斯登場，科技大廠包括微軟(Microsoft)和思科(Cisco)等公司，都會派出專業安全人員進行簡報、剖析保護或屏障電腦的方法。

另外，30日舉行的年度DefCon安全大會將接續駭客大會，與會者包括眾多駭客，他們以找出電腦周邊防護漏洞自豪。兩場活動參加者會有重疊，保全人員和駭客將分享彼此的觀察見解。

這些網路戰士將研究電腦防護措施、銀行提款機、手機、電力網，以及其他現代生活必備的「智慧型」工具的安全漏洞。

「維基解密」(Wikileaks)創辦人亞桑傑(Julian Assange)表示，他公布美軍在阿富汗戰爭的數萬份文件所引發的不滿反應，顯示這項告發網站的示警任務，做得很成功。

維基解密自我定位為「第一個人民情報局」，2006年12月創立，邀請全球有意爆料的人提供匿名消息。

39歲的亞桑傑是澳洲人，過去當過駭客和程式設計師。他向英國「衛報」(Guardian)表示：「新聞工作如果做得好，本身就帶有爭議。」

亞桑傑表示，保持這個網站運作的伺服器，位在瑞典和比利時等「法律會協助保護他們資訊的國家」。

根據AirTight的說法，這個漏洞無法靠軟體升級之類的方式加以修補，目前完全沒有對策可以處理這個漏洞，讓無線網路出現一個被內部攻擊或竊聽的漏洞。

無線網路安全公司AirTight表示，該公司發現無線網路加密標準WPA2存在一個漏洞，可能導致無線網路遭受內部引起的DoS攻擊、竊聽資料封包。該公司在Black Hat Arsenal及DEFCON18兩場網安會議上展示該漏洞運作原理。

目前確定被Heffner所採行的方法與工具所影響的路由器品牌包括Linksys、Belkin、ActionTec、Thompson、Asus及 Dell等。文/陳曉莉 (編譯)

資安顧問業者Seismic工程師Craig Heffner計畫於本周六（7/24）登場的美國黑帽會議上，展示如何透過存在已久的DNS重新綁定（DNS rebinding）技術攻擊全球數百萬台的路由器，屆時也將發表自動攻擊工具。

蘋果公司疑似也上演戴爾標錯價事件，昨日官方網站（http://store.apple.com/tw-eduA）Mac Mini疑似標錯價，加購8GB記憶體，原價應為四萬七千七百一十元，卻變成一萬九千九百元，便宜二萬多元，吸引網友奔相走告，訂單數量迅速暴增，直到晚間七時，蘋果才〔記者卓怡君、黃文鍠、林嘉琪／綜合報導〕將網頁更正、價格調回四萬七千七百一十元，後續如何處理，讓網友相當關心。

資訊軟體廠商微軟的軟體最近被發現一個漏洞，一隻電腦病毒(W32.Stuxnet)趁虛而入。資訊安全廠商今天(23日)指出，這隻病毒主要是透過隨身碟或行動硬碟等行動儲存裝置大量傳播；如果電腦使用者不小心或好奇點選開啟隨身碟中的不明捷徑，這隻病毒就會進入電腦中竊取資料。(撰稿‧編輯：韓啟賢)

德國一名男駭客透過網路傳播木馬程式，遙控了多達150名女學生電腦的內建攝影機，並藉此進行偷窺。經過調查後，遙警方成功逮捕犯罪嫌疑人。(記者朱錦華／綜合報導)

德國媒體報導，涉案男子來自萊茵地區。他的作案手法是通過網路論壇結識女性受害者，然後將帶有木馬程式的螢幕保護程式附在郵件中，再假冒他人身份發送給受害者。之後，該男子透過木馬程式竊取受害者電腦上視訊攝影機的控制權，並且從遠端遙控，進行偷窺並錄影。

資安研究員指出，蘋果Safari瀏覽器的自動輸入(autofill)選項，可能在未獲使用者同意的情況下，曝露出他們的個人資料。至於這是Safari獨有的問題，還是會影響包括Google Chrome在內的所有WebKit瀏覽器，目前仍不得而知，在情勢明朗前，Safari和Chrome的使用者最好立刻關閉自動輸入功能。(ZDNet新聞專區：Seth Rosenblatt)

台東縣內高中、國中網站長期遭色情訊息入侵，如今業者變本加厲，連縣內小學也看得見該訊息，各校網管人員防不勝防，向教育網路中心求助。網管人員指出，「這些人連小學生的零用錢都不放過嗎？」。【記者施鴻基／台東報導】

部分學校表示，近2、3年來，台東高中、國中各校忽然出現許多援助交際的色情訊息，網管人員看見就刪，但貼的速度更快，為了讓學生擁有純淨的教育網路空間，一直以來網管人員有的封IP，有的做色情用詞過濾，有的設身分辨別，可是始終不能有效防堵。

網路世界盛傳，Google在建購Googel Earth街景的時候，不肖工程師偷偷設計了偷窺程式碼，在沿街拍攝街景圖的時候，透過無線網路，蒐集途經路段的網路用戶個資，美國有38個州已經展開調查，要Google交出編寫偷窺程式碼的員工名單。

網路傳說只要在Google系統裡，輸入特殊的程式碼，就可以搜尋到許多個人電腦網路攝影機的位址，並且遙控攝影機角度與焦距，等於進到他人房間進行窺探監視。

現在無從證實這種偷窺程式究竟是不是百分之百的個人行為，不過設計人應該無意與網友共享，但就怕已經流出成了駭客的秘密武器。