通訊刊物
第210期 第二部份 (2025年3月版)
丙部
數碼科技剪報
1. iPad Air 2025 配備 M3 晶片正式發佈 支援 Apple Pencil 可配全新精妙鍵盤
Apple 正式發表更快、更強大的 iPad Air,首次配備 M3 晶片、結合 Apple 的先進圖像架構,將 效能表現 與 便攜度 推向全新境界。與配備 M1 的 iPad Air 相比,配備 M3 的 iPad Air 整體速度最高可達 2 倍,而對於具備更早期 A14 仿生晶片的 iPad Air,效能更提升最快可達 3.5 倍。不論是高強度內容創作,抑或是需要密集圖像運算的遊戲,M3 晶片都能帶來流暢的使用體驗。
iPad Air 這次提供 11 吋 與 13 吋 兩種尺寸,以及四款繽紛亮麗的外觀。對於需要攜帶便利的使用者,11 吋機型相當適合;需要更大顯示空間進行專業工作或創作時,13 吋機型又能充分發揮視覺優勢。新款 iPad Air 支援 Apple Pencil Pro、Apple Pencil (USB-C)、同時具備 5G 快速行動網路與先進相機系統。而且配合 iPadOS 18 使用最新 Apple Intelligence 功能。
更強大的 CPU 與 GPU: M3 晶片搭載 8 核心 CPU、9 核心 GPU,相較 M1,CPU 效能提升可達 35%,而 GPU 效能亦提升可達 40%。在渲染工作流程中,速度最高可達 4 倍,帶來更逼真的光線、反射和陰影。
神經網路引擎再進化: M3 神經網路引擎比前代速度提高最多 60%,讓 iPad Air 能充份運用 iPadOS 18 的 AI 與機器學習功能。
Apple 圖像架構首度登陸 iPad Air: 支援動態快取、硬體加速網格著色,以及硬體光線追蹤技術,遊戲視效與設計繪圖等需求再度躍升。
11 吋 iPad Air:HK$4,599 起;教育優惠價 HK$4,199 起。
13 吋 iPad Air:HK$6,299 起;教育優惠價 HK$5,899 起。
全新配備 M3 的 iPad Air 即日起接受訂購,並將於 3 月 12 日(星期三) 起正式發售。
為 iPad Air 而設的全新精妙鍵盤
除了新一代 iPad Air 之外,Apple 同步推出了專為 iPad Air 設計的 全新精妙鍵盤。此鍵盤以更超值的價格與更多功能,協助用戶提升工作效率和創意發揮。
更大的內置觸控板:能夠支援更精準的操作,特別在需要細部調整、繪圖或影片剪輯時更為方便。
14 鍵功能鍵列:可快速調校螢幕亮度、音量等,更貼近筆電級操作體驗。
磁力貼合、智慧型接點無須藍牙:以磁力吸附 iPad Air,並透過智慧型接點直接連接電源與數據,免去額外藍牙配對的繁複步驟。
USB-C 充電接口:經機械加工的鋁金屬鉸位附帶 USB-C 充電埠,進一步延伸功能彈性。
懸臂式設計,機身為白色:採用深受使用者喜愛的懸臂設計與亮眼白色外觀,兼具實用性與時尚感。
相關新聞報導:
https://unwire.hk/2025/03/04/ipad-air-2025/fun-tech/
2. Google 的 Gemini Deep Research 現在開放所有用戶使用
雖然 Google 在去年年底便推出了其「深度研究」(Deep Research)功能,是首批推出的公司之一,但直至目前為止都僅限付費的 Gemini Advanced 用戶使用。這點終於迎來了改變 —— 從今天開始,所有 Gemini 用戶可以免費試用超過 45 種語言的「深度研究」功能,無需 Gemini Advanced 訂閱。
與 Google 的新 AI 模式相比,「深度研究」的工作速度要慢得多,但最終產出的「報告」也會更加深入而詳細。它將首先創建一個研究計畫,再和用戶確定計畫內容後,才開始在網路上搜尋相關的資訊。先前 Google 發表「深度研究」時,它使用的是該公司當時強大但昂貴的 Gemini 1.5 Pro 模型,而隨著今天的免費化,Google 已將「深度研究」升級到其新的「Gemini 2.0 Flash Thinking Experimental」模型上運行 —— 這個名稱有點長,但簡單來說它就是個比較節省運算資源的推理模型。
Google 在談到這次升級時表示:「這增強了 Gemini 在所有研究階段的能力,包括研究計畫、網頁搜尋、再到推理、分析和報告,最終將創建更高品質、更詳細且更有洞察力的完整報告。」目前包括 ChatGPT 在內,有多間 AI 提供類似的「深度研究」工具,但 Google 依舊處於領先地位。它不僅是最早提供該工具的公司之一,而且現在也是少數將其免費開放的公司之一。
另外,Google 今天宣布推出一項名為 Gemini with personalization 的新實驗性功能。它可以利用你在其他 Google 旗下的應用程式和服務中的資訊,來讓其語言模型的回應更符合需求。依 Google 的說明,Gemini 現在可以根據你過去的搜尋記錄來客製化其回應(當然你要事先同意),並且會在未來能由 Google 相簿、YouTube 觀看記錄等地方獲得與你有關的資訊,讓 Gemini 能「提供更個人化的見解,從更廣泛地了解你的活動和偏好中汲取靈感,從而提供真正與你產生共鳴的回應。」
要啟用該功能的話,要從 Gemini 的模型下拉式選單中選擇「Personalization(Experimental)」。之後會跳出視窗,讓你確認是否連接搜尋歷史。Google 解釋說,Gemini 僅在你確定該資訊可能有用時才會利用你的搜尋記錄。Gemini 和 Gemini Advanced 用戶可以從今天開始就可以透過網路介面使用此功能,而行動裝置則是會隨後推出。
相關新聞報導:
3. 行動電源要攜帶上機要睇一個數字?只有容量也未必得?行動電源登機必知要點
一月尾韓國釜山航空一架準備飛往香港的飛機,在準備起飛時疑似因行動電源導致行李艙起火,事件中無人受傷但飛機就嚴重損需要報廢。這次事件引發了航空安全規定加強,導致禁止將行動電源放置於飛機行李架內,亦嚴禁於飛機內使用或為其充電。其實攜帶上機的行動電源容量亦有規定,那如何知道手中的行動電源是否可以攜帶上飛機?還有沒有其他規定要遵守?本文會逐一講給大家知。
行動電源可否寄艙?
這裡不厭其煩再同大家講一次:不能。航空公司將行動電源列入了備用鋰電池的範疇,因此不能寄艙,只可放於手提行李內。順帶一提,智能手機、手提電腦或平板等不能移除電池的電子產品,必需關閉電源後才可放入行李中作寄艙。
可以帶多少個行動電源上飛機?
每家航空公司的規則都不同,但大多數都有一個共同點,就是不能超過某個瓦時(Watt hour、Wh)。舉個例如國泰航空,他們訂明乘客不可攜帶160瓦時以上的大型鋰電池,而低於100瓦時的亦會有件數限制。要留意手機、平板、電腦、智能手錶等電子產品會當成「一件」。如身上有一部手機、一部電腦、一隻智能手錶、一個外置充電器,視為四件。由於最主要是看可以帶多少個行動電源上機,基本上帶一至兩件行動電源上機是符合規定的,但當然最好是出發前先到各大航空公司網站查詢攜帶鋰電池的規定,尤其是乘坐韓國的航空公司,規則更加嚴格。
如何知道手上的行動電源是否可以帶上機?
前面講到帶上飛機的行動電源,其容量要符合訂下的瓦時規範,而很多人又有一個錯覺,就是很大容量的外置電池(如 20,000mAh)是不能帶上飛機。其實只要知道手上行動電源的瓦時數就可知道能否上機。
計算公式:mAh / 1000*V(電壓)= Wh
目前很多行動電源內裡的電芯其電壓為 3.7V,而小編手上有一枚 20,000mAh 電池,以此公式計算的話就會得出 74 Wh ,低於 100Wh 的規定,可以帶上飛機。不過現在極大部份外置電池已在外殼寫明Wh數值,毋須擔心要自己計數,一看就知是否可以帶上飛機。唯也要留意,有些航空公司會因為行動電源上沒有標示「Wh」而不能帶上飛機,最後只能棄掉,所以入手行動電源時,最好留意本體上面是否有標示Wh數字。
相關新聞報導:
4. 小米首款 Wi-Fi 耳機登場Xiaomi Buds 5 Pro 傳送 96kHz/24bit 無損頻寬可達 4.2Mbps
小米 Xiaomi 正式在歐洲市場推出 Buds 5 Pro,無線耳機採用 Qualcomm S7 Pro 晶片,能夠透過 Wi-Fi 傳輸音訊,同時兼容 Bluetooth,成為首款支援 Qualcomm Expanded Personal Area Network (XPAN) 技術的耳機。相比傳統 Bluetooth 連線,Wi-Fi 模式提供 96kHz/24bit 無損音訊,最高可達 4.2Mbps,聲音品質遠超現時 Bluetooth 技術。Wi-Fi 連接亦能確保用戶在一定範圍內,即使與手機保持距離,仍然能夠穩定傳輸音訊。
Xiaomi Buds 5 Pro 具備兩種型號:傳統 Bluetooth 版本及 Wi-Fi 版本,後者透過 Qualcomm XPAN 技術,確保用戶可在支援 Wi-Fi 網絡的環境下享受更高音質。這項技術最早於 2023 年 10 月由 Qualcomm 發布,而 Xiaomi Buds 5 Pro 則是第一款搭載該技術的耳機。
使用 Wi-Fi 模式,用戶可以體驗 96kHz/24bit 無損音訊,比起目前 Bluetooth LDAC 或 aptX Lossless 更具優勢。而且在 Wi-Fi 範圍內,耳機與手機之間的距離可比傳統 Bluetooth 更遠,仍能維持穩定的音訊傳輸。
雖然 Wi-Fi 版本的 Buds 5 Pro 提供更佳音質,但仍有一些使用條件限制。例如耳機需要連接 Wi-Fi 網絡,因此在沒有 Wi-Fi 的環境下,仍需改用 Bluetooth 連接。另外目前 Wi-Fi 版本的 Buds 5 Pro 只支援 Xiaomi 15 及 15 Ultra,未來是否會開放至其他裝置仍未有明確消息。根據 Qualcomm 的技術規格,這款耳機只可與 8 Gen 3 或 8 Elite 等 Qualcomm 旗艦晶片的手機配對,無法與 iPhone 或其他 Apple 裝置相容。
Xiaomi Buds 5 Pro Wi-Fi 版本擁有 10 小時 續航,而搭配充電盒使用可達 40 小時,比起傳統 Bluetooth 版本的 8 小時 更具優勢,進一步印證 Qualcomm 所宣稱的 Wi-Fi 音訊耗電與 Bluetooth 相近的說法。Buds 5 Pro 採用三單元驅動系統,配備 11mm 動圈單元、PZT 高音單元 及 平面振膜單元,提供更廣頻率響應與細緻音質。耳機支援 主動降噪 (ANC),以及內建 AI 通話錄音、語音轉錄及翻譯 等功能。
Buds 5 Pro Wi-Fi 版本建議售價為 £189.99(約 240 美元,約港幣 HK$1,872),僅提供黑色款式;而 Bluetooth 版本則為 £159.99(約 200 美元,約港幣 HK$1,560),提供白色與灰色選擇。
相關新聞報導:
https://unwire.hk/2025/03/04/xiaomi-buds-5-pro/mobile-music/headphones/
5. AlipayHK、WeChat都有DeepSeek AI,又多個騰訊元寶,用邊個最好?
雖然大家都已經熟悉了用「自己的方式」來使用官方沒有支援香港的 AI 服務,不過為求便利和免費,DeepSeek 似乎是目前比較好的選擇。一堆國內服務都搶先整合了 DeepSeek 模型,最新甚至連在香港落地的支付工具 AlipayHK 和通訊軟件 WeChat 都有支援,到底用哪個比較好呢?以下是一些快速對比,讓你更好了解兩者差異。
1. AlipayHK 的 DeepSeek
AlipayHK 在原本 app 內的搜索工具中整合了 DeepSeek R1 推理模型的選項,提供聯網搜索功能。毋須創建和登入 DeepSeek 帳戶,點開即可使用。介面和使用上與 DeepSeek 原生 app 的對話機器人無異,在幾個測試問題之中也沒有看到有對 AlipayHK 的服務內容有特別整合。
大家可以當作是一個在 AlipayHK 裡的 DeepSeek 捷徑頁,如果你有在使用 AlipayHK 的習慣,而又未試用過 DeepSeek,這可能是個體驗的機會。
不過對比原生 DeepSeek app,AlipayHK 的版本在回應時需時較長,而且缺少了檔案和圖片上傳的功能,只能作文字對話互動。
2. WeChat 的 DeepSeek
WeChat 的 DeepSeek 是以小程序的方式出現,也就是直接使用官方網頁版服務,所以使用時要登入 DeepSeek,與使用原生 app 的體驗就只差在有沒有下載 app 到手機上。如果你的手機沒有足夠儲存空間或規格比較低,這也是個可以體驗到 DeepSeek 的方式。
如果你是用國內版的微信,同時帳戶有被選中進入灰度測試的話,也能有與 AlipayHK 相似的整合式 DeepSeek AI 查詢功能,只是國際版 WeChat 暫時未有消息。
2a. 騰訊元寶
在 WeChat 的服務頁面中,新增了元寶 app 的下載捷徑,而且強調著有滿血版 DeepSeek 模型的加持。說實話,其實這是想借 DeepSeek 的名號來順帶推廣騰訊自家「混元大模型」的小技巧。
元寶 app 與香港人比較熟悉的 Poe app 相似,可以自選要使用的模型,但元寶只目前支援 DeepSeek R1 和混元大模型。其實比較日常和簡單的 AI 提問,的確使用混元大模型也似乎足夠,而且還沒有 R1 的思考時間,可以更快地獲得回答。
據騰訊自己的介紹,混元大模型的中文創作能力高,而且有多模態生成能力,即用戶可以直接要求生成圖像、翻譯圖片內的文字等,不需要更換其他模型。
目前騰訊元寶 app 在系統設定中只有簡體中文,但用戶可以輸入繁體中文並獲繁中回應。騰訊元寶甚至有個像 ChatGPT 的語音助手模式,可以直接對話,可惜回應語言只有普通話。
相關新聞報導:
在推出 AI 摘要(AI Overview)功能近一年後,Google 準備好了將 AI 搜尋推進到了下一步。從今日起,Google 將在其搜尋引擎中新增一個專門的「AI 模式」(AI Mode)標籤頁,以更接近聊天機器人的形式,幫助你在網路上查找和整理資訊,並且能更方便地提出後續問題。相對於 AI 摘要是在傳統搜尋的框架下,AI 模式要更接近 ChatGPT 搜尋等競品,也為用戶提供更有彈性的使用選擇。
據 Google 搜尋產品副總裁 Robby Stein 的說法,AI 模式源於 Google 收到的與 AI 摘要相關的反饋。他表示,自從向超過 10 億用戶推出 AI 摘要以來,人們一直告訴 Google 他們希望從搜尋中獲得更多 AI 生成的摘要 —— 事實上,還有些人會特地在他們的搜尋關鍵字後面添加「AI」,以促使 Google 以 AI 摘要來回應。
AI 模式正是為這些用戶設計的功能。當你使用 AI 模式進行搜尋時,Gemini 會即時由當下的搜尋結果進行統整,甚至在各種主題和資料來源中進行更進一步的搜尋。它還會利用 Google 建置多年 Knowledge Graph 知識庫,來補充它在網路上找到的資訊。
如果這聽起來有似曾相識的感覺,是因為它在操作上與 Google 的「深度研究」頗有異曲同工之妙,只是最初「創建研究計畫」的部份被自動化了,同時搜尋的廣度和花費的時間也會比深度研究小很多,讓你更快能獲得回應。此外,如果 AI 模式不確定它能否給出可靠的答案,該工具也會轉為顯示常規的搜尋結果,這也是深度研究所不具備的能力了。
有趣的是,在測試中 Google 發現人們使用 AI 模式的方式與他們使用傳統搜尋引擎的方式不同。在撰寫查詢文字時,我們都已經習慣了在搜尋引擎中使用「關鍵字」,並且靠著增減關鍵字來縮窄搜尋的範圍;然而使用 AI 模式時,人們會更傾向以自然語言來組織搜尋,查詢文字的長度平均大約是傳統搜尋引擎的兩倍。不僅如此,有四分之一的搜尋用戶會以提出後續問題的方式,來與 AI 模式交談,並獲得更準確的結果。
新的 AI 模式目前使用的是一個特別訂製的 Gemini 2.0 模型,初步將率先對美國的 Google One AI Premium 訂戶開放,並同步在桌機和行動裝置上開放測試。不過目前並非全部 AI 模式預計未來將具備的功能都已經上線,Google 打算慢慢為這個模式加入比較圖表等更豐富的呈現方式。
另外,Google 在去年年底發表 Gemini 2.0 時,曾表示使用新模型來增強 AI 摘要是優先事項,現在美國用戶可以嘗試這個改進了。Gemini 2.0 在編程、高等數學和多模搜尋上特別強大,因此 Google 希望改用了 Gemini 2.0 的 AI 摘要,能在這些方面提供更快、更高品質的答覆。
相關新聞報導:
https://hk.news.yahoo.com/google-%E6%8E%A8%E5%87%BA-ai-mode-ai-%E6%A8%A1%E5%BC%8F-062229523.html
*************************************************************************
丁部
數碼世界消息
1. Apple改善兒童註冊的流程從而加強對兒童的私隱的保護
Apple公司在不久前,宣布了一系列新的保障兒童的安全的措施而這些措施,旨在加強父母監控的功能,以及加強在其平台上的兒童的隱私的保護。
在此次的變更中的其中一個關鍵功能,是引入了一個確定年齡的系統,該系統可讓父母向應用程序開發者分享孩子的年齡範圍,而無需披露孩子的確切的生日或敏感的個人信息。該計劃使開發者能夠在保持用戶隱私的同時,向用戶提供適合用戶的年齡的內容和體驗。父母對此功能有完全控制權,他們可以選擇是否與第三方應用程序分享孩子的年齡範圍。
除此以外,Apple還對App Store的年齡評級的歸類進行了改進。年齡評級類別將從以前的只有兩個年齡層級,擴展到變更後的四個不同的年齡層級:4+、13+、16+和18+。這種變更旨在更清楚地展示相關應用程式所適合的年齡層,並讓父母能夠在更準確的情況下判斷是否允許他們的孩子訪問該應用程式。
為了進一步支持家庭用戶,Apple引入了一個簡化的過程,用於設置和管理兒童帳戶。這個新的設置過程將使父母更容易為孩子建立一個具有準確年齡信息和適當內容限制的兒童帳戶。如果父母在設置該帳戶的過程中錯誤地輸入了孩子的年齡,他們在稍後時間仍可修改相關的設定。
資料來源:
2. Gemini Code Assist 向開發者提供每月最多180,000個免費的代碼完成指令
Google日前宣布,在全球推出其基於人工智能的編碼工具Gemini Code Assist的免費版本,該工具針對個別的開發者,當中包括學生,自由身工作者,業餘愛好者和初創企業。此舉旨在讓進階的編碼輔助工具變得更加普及,讓用戶能夠在不會產生成本的情況下,生成和完成各種編程語言的代碼塊。
Gemini Code Assist的優勢之一,是其慷慨的政策。Gemini Code Assist的免費用戶,每月可免費進行最多180,000個代碼完成指令,相比之下,其競爭對手Github Copilot每月僅免費提供2,000個代碼完成指令。
Gemini Code Assist由Google的Gemini 2.0 人工智能模型提供支持,它不僅可以協助代碼的生成和完成,而且用戶還可以通過聊天機器人的接口,與該工具進行互動。該功能允許開發者以自然語言輸入指令,例如「請替我建構一個簡單的HTML表單,當中需要包含姓名,電子郵件和訊息的欄位,然後添加一個提交的按鈕」,這樣便可簡化編碼的過程,並可減少開發者需要在不同資源之間切換的情況。
Gemini Code Assist能夠無縫集成在當今主流的開發環境(包括Visual Studio Code,github和Jetbrains)中,並支持公共領域中的所有編程語言。
資料來源:
在過去的一段時間至今,當新用戶在Gmail進行帳戶註冊時,Google都會詢問客戶的手機號碼,並以此手機號碼進行基於SMS短訊的身份驗證。此外,Google也會把SMS的驗證程序應用在部份的登錄程序,例如驗證閒置帳戶的登錄者是否帳戶的所有者。
雖然Google已經在2024年引入了一個選項,那便是在用戶並未提供電話號碼的情況下,讓用戶以兩步驗證來取代,但根據福布斯的一份報告所示,Google計劃在稍後時間改變上述的身份驗證方法。
雖然SMS短訊的身份驗證總比根本沒有身份驗證的程序要好,但SMS短訊的系統存在相當多的重大問題。首先,SMS會以非加密的文字方式傳送,這意味著一但相關短訊被攔截後,其他人可以輕鬆地閱讀當中的內容。另一個是網絡釣魚的問題,這種情況有正在上升的趨勢,而這種情況是跟該驗證程序跟電話號碼綁定有關的。在過去,欺詐團體會通過針對用戶的網絡服務供應商的攻擊,從而獲得對用戶電話號碼的訪問。
Google表示,他們計劃不再使用SMS短訊來進行身份驗證,而是改用QR碼的新驗證程序。在實施QR碼的身份驗證程序後,用戶不需要輸入發送給他們手機號碼的六位數代碼來進行身份驗證,取而代之的是,用戶只需使用手機的鏡頭掃描QR碼來進行身份驗證。
Google認為,這種新的身份驗證程序對於他們公司及用戶均是有益的。因為這種驗證程序不涉及把驗證碼傳送到用戶的電話號碼,這樣便不會面臨網絡釣魚的風險。
資料來源:
https://www.ghacks.net/2025/02/24/gmail-google-plans-to-end-sms-verification-in-favor-of-qr-codes/
4. Microsoft更新Copilot,防止Copilot向用戶給予盜版建議
根據報導,一位Reddit用戶詢問Copilot:「是否有可以激活Windows 11的腳本?」,隨後,Copilot便向該用戶展示了詳細的做法,當中便包含了透過一段powershell命令以激活Windows 11。
隨後,Microsoft迅速地更新了其Copilot系統,以防止其再向用戶提供關於那些非經官方授權的激活Windows 11的建議。
現在,當用戶詢問Copilot關於繞過Microsoft的官方授權系統以激活Windows的解決方法時,Copilot均會拒絕這種請求,並會向用戶展示一條訊息,當中會指出未經官方授權的激活Windows的做法是非法的,並且這種做法是違反了Microsoft的服務條款。Copilot會建議用戶訪問Microsoft的官方支持網頁,以獲取合法激活Windows的方法。
資料來源:
https://www.cryptopolitan.com/copilot-can-help-you-pirate-windows-11/
https://www.ghacks.net/2025/03/03/microsoft-updates-copilot-to-prevent-assistance-with-windows-11-piracy/
5. 研究員利用超級馬里奧兄弟去評估人工智能的表現
該馬里奧人工智能基準(Mario AI Benchmark)是基於任天堂公共領域的平台遊戲而開發的,而該工具是開源的。這個工具是強化機器學習算法和遊戲人工智能技術的測試平台,使研究員能夠評估人工智能代理可如何在錯綜複雜的遊戲環境中探索和互動。
在最近,來自加州大學聖地亞哥Hao人工智能實驗室的科學家提出了使用超級馬里奧兄弟來測試人工智能表現的方法。他們認為,與以前的標準相比,如基於寶可夢遊戲的基準,超級馬里奧兄弟遊戲更具挑戰性。這種方法可以評估人工智能在現實場景中學習、適應和思考策略的能力。
通過利用超級馬里奧兄弟的遊戲作為測試平台,研究員可以觀察人工智能模型如何實時進行決策,如何回避障礙,以及如何執行目標為本的任務。這種方法不僅可以提升人工智能的開發,而且還拉近了人工智能在動態環境中,理論研究與實際應用之間的差距。
資料來源:
https://www.ghacks.net/2025/03/04/researchers-utilize-super-mario-bros-to-benchmark-ai-performance/
日前,SquareX Labs的研究員發現了一種新的網絡攻擊手法,他們稱之為變形的網頁瀏覽器插件(Polymorphic Extensions),通過這種攻擊,惡意插件可以變形成為其他網頁瀏覽器插件,包括密碼管理器,加密錢包和銀行應用程式,並可以竊取用戶的敏感信息。
根據報導,SquareX的研究員首先將一個冒充為基於人工智能的市場推廣工具發佈到Chrome Store上,這樣可以讓用戶誤以為該插件的真正用途是其所聲稱的那樣。
當用戶在其基於chromium核心的網頁瀏覽器上安裝了這種插件後,插件會嘗試檢測該網頁瀏覽器上是否有其他針對目標的插件。
隨後,該變形的網頁瀏覽器插件會將已偵測到的目標插件的清單傳送回他們的伺服器,而攻擊者會指示變形的網頁瀏覽器插件變形為那些目標的插件。
以SquareX的攻擊示範為例子,他們便暫時禁用了1Password的密碼管理器,並指示變形的網頁瀏覽器插件將其工具列上的圖示變形為1Password的密碼管理器的圖示,並會展示一個跟1Password的密碼管理器一樣的登入框,提示用戶輸入登入資訊。
當該變形的網頁瀏覽器插件獲取了上述資訊後,它會將那些資訊傳送回攻擊者的伺服器,並且變形的網頁瀏覽器插件會變形回原本的樣子,並會重新激活原本被禁用的插件,這會樣用戶看起來一切均如常。
SquareX Labs已將上述安全性風險向Google報告了,並就此向Google提出了相關的改善建議。
資料來源:
*********************************************************************
好了,這一期的無障礙數碼科技通訊要和大家說再見,多謝大家的支持。
*********************************************************************
編輯小組 :
葉俊賢 (項目助理)
黃志威 (會員)
鍾智明 (會員)
聲明:本通訊內容所提及的産品及其銷售或代理商,與香港失明人協進會及編輯團隊無利益關係。
=============================================================
香港失明人協進會版權聲明:本會乃此通訊的版權擁有者,絕不容許由第三方定期傳閱或複製通訊。本 會只容許個別文章(包括資料來源,通訊訂閱詳情和網址)或個別期數的通訊(包括這個聲明)可傳達到個人或群組,但必須明確地向接收者表明如要獲得定期的通訊,必須向香港失明人協進會個別 訂閱。有關文章複製、稿件或其他版權方面的查詢,請電郵至 enewsletter@hkbu.org.hk
「香港失明人協進會為有限公司註冊的慈善團體」
=============================================================
