每日安全简讯(20200206)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 垃圾邮件活动利用RTF文档传播恶意软件

借助庞大的僵尸网络，攻击者可以按需生成大规模的垃圾邮件活动，并立即使用它们传播恶意软件。研究人员发现，垃圾邮件浪潮分发恶意RTF文档，这些RTF文档充当着如Tesla或LokiBot等知名信息窃取软件的下载程序。尽管不是特别先进，但垃圾邮件运动利用了一些有趣的社会工程技巧和感染技术，旨在最大限度地提高其感染率。


https://lastlinedevp.wpengine.co ... sual-spam-campaign/

---

2 黑客利用Twitter中的漏洞查找用户的电话号码

Twitter今天发布警告称，攻击者滥用其平台上的合法功能，未经授权确定与数百万用户帐户相关的电话号码。根据Twitter的说法，该漏洞位于一种API中，该API旨在通过将联系人中保存的电话号码与Twitter帐户进行匹配，使用户更容易在Twitter上找到他们可能已经认识的人。尽管该公司不确定该漏洞是否仅被单个攻击者或多个小组利用，但它已经确定了多个参与该攻击的帐户，这些账户分布在很多国家，主要来自伊朗、以色列和马来西亚。


https://thehackernews.com/2020/02/find-twitter-phone-number.html

---

3 谷歌发布2月安全更新修复两个Android漏洞

谷歌已经发布了针对其Android操作系统中一个漏洞的安全更新，该漏洞使黑客能够在受影响的手机上执行远程代码，从而有可能使攻击者获得对该设备的远程访问权限。谷歌在2月发布的Android安全公告中也警告了第二个关键的漏洞，这可能会让远程黑客访问Android手机并获取敏感数据。


https://threatpost.com/critical- ... d-in-update/152539/

---

4 研究人员发现部分汽车自动驾驶系统存在漏洞

研究人员说，包括特斯拉Model X在内的流行汽车所使用的自动驾驶系统可能会被欺骗而检测假图像，这些图像是由无人机投射到道路上或周围广告牌上的真实图像。攻击者可能会利用这个设计漏洞触发系统，让车辆刹车或驶入迎面而来的车道。研究人员表示，幻象攻击并不是安全漏洞，而是“反映了模型的一个基本缺陷，即检测出的对象没有经过区分真假对象的训练。”


https://threatpost.com/tesla-aut ... ntom-images/152491/

---

5 WhatsApp桌面应用程序中存在多个安全漏洞

PerimeterX公司的研究人员Gal Weizman利用他的JavaScript专业知识，在流行的消息传递应用程序WhatsApp中发现多个漏洞，这些漏洞可能允许用户篡改网站预览中的文本内容和链接，以显示虚假内容和修改后的链接（这些链接指向恶意软件），从而使用户有遭受攻击的风险的目的。WhatsApp桌面应用程序中发现的漏洞可用于协助网络钓鱼活动，传播恶意软件、甚至可能传播勒索软件，使数百万用户处于风险之中。


https://www.techradar.com/news/w ... rying-security-flaw

---

6 研究人员披露Pabbly电子邮件遭数据泄露

1月24日，研究人员发现了一个开放且可公开访问的数据库，其中包含数百万条记录和大量电子邮件地址。数据库中有对highinbox.com的引用，该域使用Pabbly的名称将访问者定向到基于权限的电子邮件服务提供商。这些记录似乎可以追溯到2014年，包含客户姓名、电子邮件地址、主题行、电子邮件消息以及更多内部记录，比如主机路径和SMTP数据。任何一个可以上网的人都可以访问数以百万计的自动邮件营销的客户记录。


https://securitydiscovery.com/pabbly-email-marketing/

---