1. 近日，某病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。样本在执行过程中为了迷惑用户会安装内置的正规APK，真正的恶意程序则隐匿执行，用户在此过程中一般感觉不到异常，从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。

参考链接：https://www.freebuf.com/articles/terminal/224438.html

2. 乌克兰政府招聘门户官网近日被爆出现公民信息被泄漏事件，当地官员声称他们已经发现并修复了他们所说的“漏洞”。乌克兰政府使用 https://career.gov.ua/ 这个门户网站来发布政府岗位招募信息，并要求申请人提交各种身份证明信息，包括全名，地址，身份证件扫描，护照扫描件，文凭和其他毕业文件。

参考链接：https://www.cnbeta.com/articles/tech/934879.htm

3. 在微软例行公布的1月补丁更新列表中，有一个漏洞引起了大家的高度关注：一个位于CryptoAPI.dll椭圆曲线密码(ECC)证书的验证绕过漏洞——CVE-2020-0601。有意思的是，在微软发布公告后，美国国家安全局（NSA）也发布了关于CVE-2020-0601漏洞的预警通告。根据通告可以得知，这个漏洞是由NSA率先独立发现并汇报给微软的（微软在报告中对NSA致谢）。

参考链接：https://www.freebuf.com/vuls/225524.html

4. CheckPoint的研究人员发现，视频共享和社交网络应用程序TikTok中的安全漏洞（已被全球超过10亿的Android和iPhone用户下载）可能会使用户的隐私受到威胁，使攻击者能够操纵用户帐户并暴露个人数据，包括姓名，电子邮件地址和生日。目前不能确认该漏洞是否被利用，但已经修复。

参考链接：https://www.zdnet.com/article/tiktok-fixes-security-flaws-that-could-have-let-hackers-manipulate-accounts-access-personal-data/

5. 近期，有多家国外媒体曝出国内儿童智能手表供应商存在安全防护漏洞问题，黑客发现这些安全漏洞不仅能检索或改变儿童的实时 GPS 位置，还可以给他们打电话，或者悄悄监视孩子的活动范围。据估计，至少有 4700 万的终端设备可能受此影响。有用户调侃，对于这些劣质的儿童智能手表，定位不精准或许成了它们最大的优点。

参考链接：http://tech.163.com/19/1231/10/F1NG7EMM000999LD.html

6. Mozilla释出了Firefox v72.0.1和ESR68.4.1，紧急修复了一个正被利用的漏洞。该漏洞属于类型混淆，影响IonMonkey，它是FirefoxJS引擎SpiderMonkey的JIT编译器。该漏洞由中国安全公司奇虎360发现和报告，细节没有披露。该公司在一则已删除的推文中称，IE也有一个0day漏洞也正被利用。这是Mozilla在过去一年修复的第三个0day漏洞。

参考链接：https://www.solidot.org/story?sid=63215