每日安全简讯(20260108)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Kimwolf僵尸网络感染数百万台安卓设备

研究人员近期发现Aisuru DDoS僵尸网络的安卓变种Kimwolf自去年8月以来已感染超200万设备，主要瞄准安卓智能电视和廉价流媒体盒子。该僵尸网络特殊之处在于诸多设备出厂前已被植入恶意代码，用户开机联网后数分钟内，黑客即可入侵家庭网络。全球范围内越南、巴西等国受害者集中，67%受感染设备无任何防护。黑客通过出租设备带宽（低至0.2美元/GB）、秘密安装应用赚取佣金、提供DDoS租用服务牟利，其发起的攻击流量峰值达29.7太比特/秒。

https://hackread.com/android-tv-streaming-devices-infected-kimwolf-botnet/

---

2 D-Link多款老旧路由器曝远程代码执行漏洞

研究人员警告，D-Link多款老旧DSL路由器存在高危远程代码执行（RCE）漏洞CVE-2026-0625，CVSS v4.0评分达9.3，目前已被野外活跃利用，数千台无法修复的设备面临全面入侵风险。该漏洞位于路由器DNS配置界面的dnscfg.cgi端点，因输入验证不当，未授权远程攻击者可直接通过web界面注入并执行任意shell命令。受影响端点曾与2016-2019年DNSChanger攻击相关联，威胁演员疑似复用旧攻击手段。受影响型号包括DSL-526B等四款，这些设备于2020年初被D-Link宣布停止支持（EOL），无补丁可用，已成永久脆弱的“废弃软件”。

https://securityonline.info/cve-2026-0625-critical-actively-exploited-rce-hits-unpatchable-d-link-routers/

---

3 谷歌修复了Android中的杜比解码器漏洞

谷歌在2026年1月的Android安全更新中，修复了高危杜比音频解码器漏洞CVE-2025-54957，该漏洞由谷歌Project Zero研究员于2025年10月发现，此前已在2025年12月率先为Pixel手机修复，目前补丁已向所有Android设备推送。漏洞存在于杜比DD+解码器中，处理特制DD+比特流时会因整数溢出导致越界写入，可能覆盖指针；在Android系统上属0点击漏洞，因系统会自动解码所有传入的音频消息和附件以进行转录，无需用户交互。需注意的是，该漏洞仅在手动编辑的“有效”特制比特流下触发，杜比官方工具无法生成此类比特流，但与其他漏洞结合时，可能提升Pixel及其他Android设备的受攻击风险。

https://securityaffairs.com/186591/security/google-fixes-critical-dolby-decoder-bug-in-android-january-update.html

---

4 美国得克萨斯州登顿县社区诊所数据泄露事件影响10.9万名患者

美国得克萨斯州登顿县社区行为健康中心向卫生与公众服务部民权办公室（OCR）报告了一起重大数据泄露事件，约10.9万现任及前任患者的受保护健康信息遭未授权访问。调查显示，2024年12月24日至25日期间，中心计算机网络出现异常活动，第三方非法入侵网络。2025年2月21日，中心在官网发布临时泄露通知，但当时尚未确定受影响人数及具体泄露数据类型；10月确认泄露信息含姓名、地址、病历号、诊断记录、用药信息、医保信息及生物识别标识等。2025年11月5日，事件正式上报OCR，各州总检察长已获通知。泄露发生一年后，受影响者开始收到个人通知函，截至发函时未发现信息被滥用。

https://www.hipaajournal.com/denton-county-mhmr-center-data-breach/

---

5 美国FCC敲定针对骚扰电话违规者的新经济处罚措施

美国联邦通信委员会（FCC）敲定针对骚扰电话违规者的新经济处罚措施，新规将于2月5日生效，源于此前拜登总统语音遭克隆的事件。新规要求电信运营商每年重新认证其在骚扰电话缓解数据库（RMD）中信息的准确性，对提交虚假或不准确信息的运营商处以1万美元罚款，对收到新信息后10个工作日内未更新每条记录的处以1000美元罚款。同时，FCC为数据库访问增设双因素认证保护，并要求有线竞争局设立新渠道举报不合格申报。此前FCC已要求运营商通过RMD验证呼叫者身份，但因电信网络庞大分散，验证易缺失，且监管机构未落实核查与执行。两年前某政治顾问用语音克隆技术冒充拜登向选民发送虚假语音邮件，传输运营商虽高度确认呼叫者身份仍致违规，推动了此次新规。

https://cyberscoop.com/fcc-finalizes-new-penalties-for-robocall-violators/

---

6 美国间谍软件公司pcTattletale创始人认罪

美国间谍软件公司pcTattletale创始人布莱恩·弗莱明在圣地亚哥联邦法院认罪，被控计算机入侵、销售宣传非法监控软件及共谋罪。这是自2014年以来美国联邦首次成功起诉跟踪软件运营商，可能为后续相关起诉奠定基础。弗莱明至少自2016年起运营pcTattletale远程监控软件，该软件需物理植入受害者设备，可秘密上传消息、照片、位置等数据。其特殊之处在于公然宣传软件用于“秘密监视配偶伴侣”，国土安全调查局（HSI）自2021年6月展开调查，特工曾卧底收集证据，2022年搜查其密歇根州住所并查获相关记录，其支付账户交易总额超60万美元。

https://techcrunch.com/2026/01/06/founder-of-spyware-maker-pctattletale-pleads-guilty-to-hacking-and-advertising-surveillance-software/

---