加密邮件服务 ProtonMail 推出了自己的加密日历服务 ProtonCalendar，扩大了其 Google 产品和服务的隐私替代阵容。ProtonCalendar 目前处于公测阶段，将首先提供给付费用户使用，在 beta 测试结束之后提供给所有用户。ProtonMail CEO Andy Yen 称，他们打造的产品是为了服务于用户而不是利用用户。该公司正接近提供 Google 服务的一整套替代。

微软宣布它成功控制了 50 个被朝鲜黑客组织使用的域名。软件巨人称，这些域名被 Thallium aka APT37 用于发动网络攻击。微软称，它的数字犯罪部门和威胁情报中心团队监视了 Thallium 数个月内的活动，查清了其使用的基础设施。它在 12 月 18 日向法庭递交了针对 Thallium 的诉讼，圣诞节后收到了法庭命令，允许它接管黑客组织使用的域名。这些域名被用于发送钓鱼邮件和托管钓鱼网页。除了跟踪 Thallium 的攻击活动，微软还跟踪了受害者，根据受害者的信息，黑客攻击的目标包括政府工作人员、智囊团、大学教职工，人权组织和反核扩散机构成员。

研究人员利用英特尔 CPU 漏洞实现了对其负载端口的嗅探。CPU 通过一系列端口发送指令，每一个端口服务于一组指令类型，如算术、内存加载/储存、矢量指令，实现负载端口的嗅探意味着能跟踪系统的所有内存访问。研究人员利用是的早些时候曝出的 Microarchitectural Data Sampling（MDS）漏洞。研究人员称，因为所有负荷都必须经过负荷端口，因此在理论上负荷执行的内容都能被观察到。这项研究将可以帮助深入理解英特尔 CPU 微架构的工作原理。

1986 年，当时担任美国劳伦斯伯克利国家实验室系统管理员的 Clifford Stoll 在实验室的计算机系统发现了一名入侵者，他对此展开了调查。在历尽三年多时间之后，他识别了一个向克格勃出售美国情报的黑客小组——成员包括 Markus Hess、Dirk Brzezinski 和 Peter Carl。Stoll 设立了蜜罐，跟踪了这些与德国混沌计算机俱乐部有点松散联系的黑客，将收集的信息转交给了美国和西德的当局。1989 年 3 月 ARD Im Brennpunkt 报道了这起被称为 KGB Hack 的网络间谍活动。时隔三十周年之后，本周末举行的混沌计算机俱乐部年度会议（36C3）回顾了这段历史。

纽约时报早些时候根据调查和美国情报官员的消息报道，一个在中东地区流行的消息应用 ToTok 被阿联酋政府用作间谍工具。报道称，阿联酋政府尝试利用该应用监视用户的每一次通话以及掌握用户之间的关系。ToTok 只发布几个月时间，该应用在中东、亚洲、欧洲和北美地区的苹果和 Google 应用商店下载了数百万次，最大用户群是在阿联酋。ToTok 背后的公司 Breej Holding 被认为是阿联酋监视公司 DarkMatter 的挂名公司。那么 ToTok 是否含有后门或其它恶意功能？安全研究人员对其进行了破解，拦截了其流量进行分析，结果是没有，它就像是一个合法的 VoIP 应用，只是你根本不知道应用开发商/发行商的真实身份。调查发现，ToTok 使用了阿里巴巴的云服务，其大部分代码来自于另一家消息应用开发商 YeeCall，很可能是 Breej Holding 从 YeeCall 获得授权使用了其代码创建了 ToTok。情报官员口中的“间谍工具”就是一个消息应用的“合法功能”，阿联酋政府封掉了 WhatsApp 和 Skype 等流行 VoIP 应用，让 ToTok 成为当地唯一可用的 VoIP 应用，然后利用其合法功能就能获得用户的通讯录、通话和聊天细节，以及位置信息。

腾讯安全研究员披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人员共发现了 5 个漏洞，位于 SQLite 中，统称为 Magellan 2.0，这组漏洞允许攻击者在 Google Chrome 内远程运行恶意代码。Google 与 SQLite 官方已确认并修复了漏洞。如果用户使用 2019 年 12 月 13 日前的旧版本 SQLite 或运行低于 Chrome 79.0.3945.79 并启用了 WebSQL 的设备，那么可能会受到影响。和 Magellan 1.0 类似，这组新漏洞是因为 SQLite 数据库从第三方接受 SQL 命令输入验证不正确导致的。攻击者可以制作包含恶意代码的 SQL 操作命令，当 SQLite 数据库引擎读取该指令时会执行恶意代码。

安全研究员 Ibrahim Balic 利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。可能是为了防止此类的随机号码生成，Twitter 不接受序列格式的通讯录上传。但这一机制显然很容易绕过，Balic 生成了超过 20 亿个手机号码，将其顺序随机化，然后使用 Twitter Android app 上传。在两个月时间里他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户账号。Twitter 在 12 月 20 日封掉了他的账号阻止了他的手机号码匹配。Twitter 发言人已经证实了这一漏洞，表示正致力于让这一漏洞不能再被利用。Web 端的 Twitter 上传功能没有该漏洞。

荷兰安全公司 Fox-IT 报告，中国黑客组织 APT20 在最近的攻击中被发现能绕过二步验证。该组织的主要目标是政府机构和管理服务供应商。安全研究人员称，黑客使用 web server 作为进入目标系统的最初入口点，一个利用目标是大型企业和政府机构常用的企业级应用平台 JBoss。APT20 利用漏洞访问这些 web server，安装 web shells，然后逐渐渗透进系统。之后黑客会去寻找管理员账号，以及用于从外网访问内网的 VPN 账号。安全研究人员发现，黑客能绕过 VPN 账号使用的二步认证，他们猜测可能是黑客窃取了 RSA SecurID 软件令牌，用它去生成有效的一次性代码。

本月初，美国联邦检方宣布起诉俄罗斯网络犯罪组织 Evil Corp 的主要成员。该组织被指部署银行木马从美国、英国等国用户的银行账号窃取了超过 7000 万美元。美国政府对该组织主要负责人 Maksim V. Yakubets aka Aqua 开出了 500 万美元的赏金，奖励给提供情报将其逮捕的线人。知名安全博主 Brian Krebs 透露，他与该组织打过交道，甚至义务警告那些账号被黑的企业。他说，Evil Corp 在网上招募钱骡(Money mule)去转移和洗掉他们窃取到的钱，在让钱骡去取钱前 Evil Corp 会先进行一番考察筛选掉不可靠的人，整个过程都是在网络上进行。但招募钱骡的网站存在安全漏洞：用户在注册登陆之后，只要修改地址栏上的数字就能查看其他人的聊天记录。因此，Krebs 有一段时间每天早晨就是查看 Aqua 及其同伙向钱骡发送的提款信息，在钱被取走前从搜索引擎里找到电话号码打电话去警告受害者。很多情况下，电话警告就发生在钱被提取掉前几分钟或几小时；许多警告确实防止了受害者损失大量的钱，但还有很多情况受害者反应迟钝未能阻止未经授权的提款。还有受害者认为 Krebs 是 Evil Corp 的同伙，打电话报警，Krebs 也经常收到 FBI 特工或当地警方打来的电话。

一名前波音员工告诉美国众议院，在两架波音737 Max飞机在几个月内先后坠毁、造成 346 人死亡之前，他曾多次就波音飞机存在的安全问题发出警告，但都被波音无视。美国众议院运输委员会周三公布的文件显示，737飞机生产线前高级经理皮尔逊(Ed Pierson)曾向波音领导层发送一系列电邮和信件，力劝他们停产。美国众议院运输委员会针对这两起事故举行了一系列听证会，皮尔逊是在其中最新一个听证会上作证的。这两起事故造成了波音历史上最严重的危机之一。在这两起事故中，波音737 Max飞机的传感器似乎都出现故障，导致防失速系统失灵。波音无视皮尔逊的警告，让 737 飞机生产线继续生产，因为当时该公司正努力跟上其欧洲竞争对手空客的脚步。

最新版 uTorrent 客户端被多个杀毒引擎标记为“潜在有害应用程序”。uTorrent 背后的 BitTorrent 公司去年被中国区块链公司波场收购。标记 uTorrent 和 BitTorrent 客户端的 10 个杀毒引擎包括 Microsoft Defender、Sophos、Eset Nod32、GData 和 Dr.Web。被标记并不意味着该程序就是恶意程序，也可能是误报，或者与其捆绑的组件有关。uTorrent 客户端从 2012 年起开始引入难以关闭的广告功能，因此很多用户继续使用最后一个不含有广告的版本——即 uTorrent 2.2.1。

安全研究人员发现了一个漏洞允许攻击者劫持 VPN 连接。漏洞存在于使用 Weak Host Model 的 TCP/IP 协议栈，主要影响同一子网络中的 VPN 连接，比如同一个 WiFi 网络。在测试中，研究人员劫持了访问他们控制的无线网络的 VPN 连接。因为漏洞与 TCP/IP 协议栈相关，它影响 Linux 发行版，BSD 发行版、macOS、iOS 和 Android，对 OpenVPN、WireGuard 和 IKEv2/IPSec 都有效。

微软安全研究人员使用一个包含 30 多亿遭泄漏的用户名和密码数据库扫描了微软服务用户账号，发现多达 4400 万用户使用已泄漏的用户名和密码。4400 万账号中有 Microsoft Services Accounts 和 Azure AD 账号。这次扫描帮助用户识别出在不同服务之间重用用户名和密码的用户。微软表示，在发现重用泄漏的密码之后，它会强迫密码重置。对于企业级客户，微软会警告管理员。

在 2015 年 GitHub 之后，LIHKG 成为最新一个遭到网络大炮攻击的网站。AT&T Cybersecurity 发表报告称，访问两个流行 JS 脚本 http://push.zhanzhang.baidu.com/push.js 和 http://js.passport.qihucdn.com/11.0.1.js 的请求有一定比例遭到劫持，被替换为恶意脚本向 LIHKG 发动 DDoS 攻击。如果这两个脚本地址使用了 HTTPS，那么劫持将不会发生。在今年 8 月的攻击高峰，LIHKG 的每小时请求数超过了 15 亿次。

IBM 的安全部门 X-Force 披露了一种新的数据删除恶意程序被用于对中东企业发动破坏性攻击。该恶意程序被称为 ZeroCleare，被认为是多个伊朗黑客组织协作行动的一部分。攻击的初始阶段从阿姆斯特丹 IP 地址发动，该 IP 与伊朗黑客组织 TG13 Group aka Oilrig 和 APT34 有关联。攻击者通过暴力破解攻击窃取目标的网络账号，利用一个 SharePoint 漏洞向 SharePoint 植入 web shell，尝试安装 TeamViewer 远程访问工具，使用修改版的 Mimikatz 窃取更多网络凭证。渗透到企业网络之后，攻击者开始传播 ZeroCleare 恶意程序，在被感染的机器上覆写主引导记录和硬盘分区。受害者主要位于被伊朗视为竞争对手国家的能源和工业部门。

Python 安全团队从 PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建，利用名字相似的方法去模仿已知的流行库：python3-dateutil 试图模仿流行的 dateutil 库，jeIlyfish 模仿 jellyfish 库。德国开发者 Lukas Martini 上周日发现了这两个恶意库，在通知安全团队之后它们被立即移除。Martini 称，恶意代码只存在于 jeIlyfish 中，python3-dateutil 本身不包含恶意代码，但它会导入 jeIlyfish 库。dateutil 开发团队成员 Paul Ganssle 分析后认为，恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥，然后发送到一个 IP 地址。

智能电视正逐渐进入到千家万户，和许多能联网设备一样，厂商并没有将安全放在最重要的位置，它的安全漏洞为黑客打开了一扇窥视之窗，而很多智能电视还配备了摄像头和麦克风。FBI 就智能电视的安全性向消费者发出了警告。FBI 称，除了电视厂商和应用开发者可能会监听和监视你之外，黑客也可能潜入进来。黑客可能不会直接访问你锁定的计算机，但不安全的电视可会其提供了方便之门。黑客可能会控制不安全的智能电视，而最糟糕的情况是会控制摄像头和麦克风进行监听和监视。

安全公司 Promon 的研究员披露了一个正被利用的 Android 漏洞 StrandHogg，恶意程序能利用该漏洞窃取用户的银行账号。漏洞存在于名为 TaskAffinity 的多任务功能中，它允许应用假定多任务环境中运行的其它应用或任务的身份。恶意程序可利用该功能设置它的一个活动去匹配信任第三方应用的包名字。组合其它欺骗方法恶意应用可以劫持目标任务，请求权限去执行敏感任务如记录音频、拍摄照片、阅读短信，或钓鱼登录凭证。安全研究人员发现了 36 个恶意应用正在利用该漏洞，其中包括了窃取银行账号的恶意应用，部分应用甚至进入 Google Play 官方市场。Google 在接到报告之后已经下架了相关应用，但影响所有 Android 版本的这一漏洞尚未修复。

深圳手机制造商一加在官方论坛发布了安全警告，称未经授权的第三方访问了部分客户的订单信息，表示支付信息、密码和账号都安全，但部分用户的名字、联系电话和运货地址都可能暴露，可能导致用户收到广告和钓鱼邮件。一加称它立即采取措施阻止了入侵者并加强了安全，通知了受影响的用户，表示将竭尽所能防止类似的事故再次发生。这不是一加第一次发生安全事故，因此用户在论坛上回应说，一加并没有吸取上一次事故的教训。上一次事故发生在 2017 年 11 月中旬到 2018 年 1 月 11 日，它的网站支付页面被植入脚本窃取用户的信用卡信息。

Google Project Zero 官方博客详细描述了一个 Android 0day 漏洞 Bad Binder 的发现和修复过程。补丁已包含在 10 月份 Android 的安全更新中，如果你的手机安全补丁程序级别为 2019 年 10 月，那么问题已被修复。Project Zero 开发者称，在夏末他们收到情报称以色列间谍软件开发商 NSO 正在利用一个 Android 0day 漏洞在目标设备上安装间谍软件 Pegasus。这是一个内核提权释放后使用漏洞，影响 Pixel 1 和 2，但不影响 Pixel 3 和 3a，它在内核版本 Linux kernel 4.14 中已经修复。利用这些情报安全研究人员很快识别了漏洞。该漏洞最早是在 2017 年 11 月发现和报告的，2018 年 2 月修复，在 Linux 4.14、Android 3.18、Android 4.4 和 Android 4.9 内核中修复，但没有包含在每月的 Android 安全通报中，因此很多已发布设备如 Pixel 和 Pixel 2 都没有打上补丁。