Log for Ubuntu 台灣社群

駭客可從 Android 手機竊取雙重驗證代碼與私人訊息 （★ 100 分）

這篇報導指出，一種名為「Pixnapping」的新型攻擊方式讓惡意應用程式可以在不到 30 秒內竊取 Android 裝置上的雙重驗證 (2FA, Two-Factor Authentication) 代碼、聊天訊息與其他私密資料。研究團隊發現，這項攻擊不需要任何系統權限即可執行，透過利用 GPU (圖形處理器，Graphics Processing Unit) 的時間差側通道 (side channel)，惡意應用程式能推測螢幕上個別像素的顏色，進而重建出畫面上顯示的資訊。Google Pixel 6 到 9 代、Samsung Galaxy S25 均被證實可能受到影響。Google 已在 2025 年 9 月安全公告中釋出修補，但研究人員表示經修正版仍可繞過防禦，預計需待 12 月安全更新再進一步修補漏洞。

Pixnapping 的運作方式大致分為三個步驟。首先，惡意應用程式透過 Android API (應用程式介面) 呼叫目標應用以顯示敏感畫面，例如驗證碼或訊息。接著，此惡意應用在目標畫面上方執行繪圖操作，一次判定像素顏色是白或非白，並分析渲染一個畫面所需的時間長短來推知像素內容。研究團隊透過這個方法，在 Pixel 系列手機上成功於 30 秒內重建六位數的驗證碼，成功率介於 29% 到 73% 之間。整體而言，這項研究揭露了 Android 在應用隔離上的潛在弱點，雖然實際利用條件苛刻、需要使用者先安裝惡意軟體，仍顯示即使未取得權限的應用也能以極細微的時間差竊取視覺資料。

Hacker News 上的討論集中在兩個焦點：其一是這個攻擊不需權限即可竊取畫面資訊，讓不少開發者對 Android 的安全機制感到震驚；其二是手機作業系統在安全與自由之間的取捨。部分留言指出，Android 一向以應用隔離著稱，這次事件顯示該模型的限制；但也有人認為若過度強化安全會犧牲使用者自由。例如有人以「鎚子與安全剪刀」做比喻，認為 iPhone 像是孩童安全剪刀，安全但受限；Android 則像是一般剪刀，雖有風險但功能完整。此外，也有技術性討論提到這其實是 GPU 渲染時間的側通道攻擊，原理與先前的 GPU.zip 類似，推測 iOS 或其他圖形架構理論上也可能受到同類問題。

不少留言提醒，一般使用者雖難直接遭受此攻擊，但預載應用或第三方廣告 SDK (軟體開發套件) 若被入侵，仍可能成為感染源。有人建議可使用工具「Universal Android Debloater」移除內建軟體，以降低風險；也有網友提到開啟 Google Authenticator 的「隱私保護畫面」功能，可增加解鎖驗證步驟來防堵此類竊取。另有留言批評安全研究報導常以誇張標題吸引關注，實際上這屬於實驗室階段的學術漏洞，而非已在野外被利用的攻擊。

整體來看，Pixnapping 展示了 GPU 層級的安全挑戰，提醒開發者在系統設計時應防範跨應用的側通道風險。社群普遍讚賞研究的創新性，但也指出其實用性受限。多數人認為這類攻擊雖「聰明又邪惡」（clever and evil），卻仍屬學術性研究成果；真正的價值是督促手機平台持續改善底層渲染隔離與時間精度控制，防止更多潛在的視覺資料洩漏。

👥 64 則討論、評論 💬
https://news.ycombinator.com/item?id=45574613

自由軟體基金會宣布啟動 Librephone 專案 （★ 130 分）

自由軟體基金會 (FSF, Free Software Foundation) 宣布啟動名為 Librephone 的新專案，目標是讓行動裝置獲得與自由軟體相容的完整使用自由。該專案旨在透過逆向工程技術，移除手機作業環境中仍受限制的非自由元件，讓使用者能自由研究、修改與分享他們日常依賴的軟體。FSF 執行總監 Zoë Kooyman 表示，雖然科技在四十年間不斷演進，但 FSF 追求軟體自由的使命始終如一，如今將這項倡議延伸至以手機為主要運算設備的新世代使用者。

FSF 已聘請在自由軟體領域資歷深厚的工程師 Rob Savoye（曾參與 DejaGNU、Gnash 與 OpenStreetMap 等專案）領導技術開發，現階段重點在分析 Android 系統分支與裝置韌體中的專有二進位模組，特別參考 LineageOS 這類部分仍包含閉源元件的行動作業系統。首位出資者暨 FSF 董事會成員 John Gilmore 指出，他長期使用搭載 MicroG 與 F-Droid 的 LineageOS 手機，雖可避免 Google 內建的監控程式，但仍受限於不得不使用部分專有韌體，這促使他資助 Librephone 以徹底取代這些封閉元件。

初期階段，Librephone 將遴選出現有智慧型手機中最容易實現自由化的一款，透過有系統的除錯與替換，達到完整自由的 Android 相容作業系統。同時，該計畫也歡迎其他開發者或組織合作，共同推進自由手機生態。Savoye 強調，打造全自由軟體的現代手機不會是容易或低成本的任務，但可建立在過去眾多開源努力的基礎上，這是「站在巨人肩膀上的計畫」，並呼籲志同道合者投入貢獻或捐款。

在 Hacker News 的討論中，許多開發者對 FSF 正面臨的技術挑戰與其策略方向表達關注。部分評論認為此舉呼應了近期對「自由軟體仍未真正普及」的討論，認為現階段選擇以 Android 為基礎是務實的入手點，比起從頭建構一套全新系統更具可行性。一些回應指出，雖然去除專有韌體與二進位模組是必要任務，但手機自由化的最大難題在於應用層面，因為銀行、政府與大型平台常要求使用官方應用程式或通過 Google／Apple 驗證的系統，這種依賴使使用者難以完全脫離封閉生態。

也有參與者呼籲 Librephone 應同時維持與 Linux 桌面生態及 KDE Plasma Mobile 等行動介面專案的相容性，以共享既有資源並避免重複開發。有網友提及手機晶片組內建的調變器 (modem) 韌體仍是自由軟體運動的最大障礙之一，許多系統級晶片 (SoC, System on a Chip) 內含大型閉源模組，難以用自由軟體替代。不過，也有支持者認為 FSF 專注 Android 的策略可先搶佔實用基礎，待生態成熟後再漸進拓展。另有留言感謝 Gilmore 與社群工程師的長期支持，認為這項行動延續了 FSF 的核心信念：讓每一位使用者真正掌控自己的裝置與運算自由。

👥 49 則討論、評論 💬
https://news.ycombinator.com/item?id=45586339

這樣我就可以刷ubport 了(^^;;

油卡79折，e卡79折，黄金，面交验货大量出，滴滴 @huangyu5173 ！！
~;*F|I4R

硬碟價格趨勢 （★ 102 分）

這篇名為「Disk Prices」的討論起源於一個追蹤全球硬碟價格的網站，許多使用者分享自己觀察到的儲存裝置市場變化與購買經驗。原作者指出，近來二手與翻新的硬碟價格普遍上漲，以前常見的 10TB 產品約 80 美元，如今漲到超過 150 美元且缺貨頻繁，不少參與者也表示在美國市場的多個零售通路上看到類似現象。這趨勢引發使用者探討價格飆升背後的原因，包括疫情後供應吃緊、原料成本上升，以及消費者需求轉向大容量儲存等綜合因素。

眾多留言聚焦於通膨、美元貶值與關稅政策對硬碟價格的連動效應。有討論指出美元過去幾年出現貶值，導致進口產品價格上漲，同時美國對電子零組件徵收的關稅使提升產能或投資難度加劇，一部分網友將此歸因於整體經濟政策導向。有網友對照過往案例，提到 2000 年代初期韓、美、日多家記憶體晶片製造商曾因共謀哄抬價格而遭調查與罰款，暗示硬體產業長期存在潛在的價格協同行為。另有人指出近年 SSD 雖普及，但高容量 HDD 在備份與伺服器用途上仍具成本優勢，因此當生產線趨於集中時，市場彈性自然下降。

討論中也延伸至雲端儲存與本地存放成本的比較。多位技術使用者指出，以 Amazon Web Services (AWS) 為例的雲端存放每 TB 每年約需 12 美元，看似划算，但若考量長期持有與網路(Internet) 傳輸費，實際成本可能超過自行購置硬碟。也有工程師分享透過 `diskprices.com` 估算儲存壽命與保固週期後，能將單位儲存成本從每 TB-年 5 美元降到 2 美元，對個人備份與企業中小專案而言非常有吸引力。其他留言提到 LTO-9 磁帶系統與 HDD 成本的臨界點，指出雖然磁帶驅動器本身昂貴，但在高容量長期備份上反而具經濟效益。

此外，部分技術愛好者也評價網站設計本身的極簡性與功能性，有人稱其為設計靈感來源，提及它與類似的工具如 `productchart.com`、`MTG Top 8` 或舊時代的 `pricewatch.com`，都以直接呈現資料為特色。使用者普遍認為此類統整性網站有實用價值，特別在偵測假容量硬碟與分類精準度方面表現良好。整體而言，這場討論除了反映市場價格波動，也展現科技愛好者對硬體供應鏈、國際金融與數位基礎架構之間聯動性的深層關注。

👥 46 則討論、評論 💬
https://news.ycombinator.com/item?id=45587280

英特爾發表針對推論最佳化的 Xe3P 顯示卡，配備 160GB 顯示記憶體 （★ 100 分）

英特爾正式揭露代號為 Crescent Island 的新一代企業級 GPU，專為人工智慧推論 (AI inference) 任務設計，採用全新的 Xe3P Celestial 微架構。該卡主打每瓦效能最佳化與成本控制，配備高達 160GB 的 LPDDR5X 記憶體，能支援大型語言模型 (LLM, Large Language Model) 的運算。英特爾指出這款產品將支援多種資料類型，特別針對「tokens-as-a-service」及推論場域設計。不過它尚未進入量產階段，預計要到 2026 年下半年才會交付客戶樣品，正式上市可能延到 2027 年。

Crescent Island 將採用氣冷設計並強調高能效，比起 GDDR 系列記憶體產品在效能上略為保守，換取更大的容量與更低的功耗成本。英特爾目前正在使用 Arc Pro B 系列 GPU 持續最佳化開放原始碼軟體堆疊，包括 Project Battlematrix 與 Xe Linux 驅動改進。該公司同時也在 OCP Global Summit 上展示 Gaudi 3 機架級參考設計，每機架可容納最多 64 顆加速器，具備 8.2TB 高頻寬記憶體並支援液冷。Gaudi 3 雖獲暫時喘息，但由於驅動維護人員流失與主線 Linux 核心 (kernel) 支援仍未完成，未來仍可能被 Crescent Island 和 Jaguar Shores 取代。

Hacker News 的討論聚焦於這款 GPU 對市場與技術生態的意涵。部分開發者關心英特爾是否仍封閉生態，但多數人指出英特爾的 OpenVINO 平台已完全開源，並能運行 PyTorch 與 ONNX 模型，甚至 PyTorch 本身也原生支援 Intel GPU，因此生態整合不成問題。許多評論認為此產品屬於「提早一年公布」的策略，用於提前取得企業採購排程與行銷話題，因為資料中心採購流程冗長，若要在 2027 年出貨，2025 年宣布正合時宜。

在產業面，部分評論者指出，Crescent Island 採用 LPDDR5X 而非 GDDR7 記憶體的設計可降低成本並容納更大容量，但頻寬明顯偏低，可能影響 AI 計算延遲。有人推測英特爾或許會增加通道數以彌補效能，而其他人則認為這將是面向國防、情報或企業級市場的產品，「平民版」價格恐遙不可及。也有參與者樂觀看待其在本地推論 (local inference) 領域的潛力，若能以接近消費級 GPU 的價格提供穩定軟體與大量記憶體容量，將能吸引開發者與中小企業。

幾位資深使用者回顧英特爾過往如 Larrabee、Xeon Phi 等多次失敗的 GPU 嘗試，認為公司在 AI 加速器市場缺乏信任度。儘管現階段缺乏具體規格與效能資訊，部分觀察者仍肯定英特爾持續投入自家晶圓廠製造並加強 Linux 開源支援的決心。有評論談及整體 AI 市場的泡沫化風險，認為像這樣提前四季宣布的產品或許更多是為了股東信心與資本市場的敘事，但也有人認為，AI 推論與本地部署需求仍會穩定成長，Crescent Island 至少展現英特爾在 AI 硬體戰場上重回舞台的意圖。

👥 72 則討論、評論 💬
https://news.ycombinator.com/item?id=45583243

160！！

顯卡記憶體 GB 當古早時期的 MB 看的時代來了嗎

windows xp 好像只能吃到 3.6GB