纽约时报早些时候根据调查和美国情报官员的消息报道，一个在中东地区流行的消息应用 ToTok 被阿联酋政府用作间谍工具。报道称，阿联酋政府尝试利用该应用监视用户的每一次通话以及掌握用户之间的关系。ToTok 只发布几个月时间，该应用在中东、亚洲、欧洲和北美地区的苹果和 Google 应用商店下载了数百万次，最大用户群是在阿联酋。ToTok 背后的公司 Breej Holding 被认为是阿联酋监视公司 DarkMatter 的挂名公司。那么 ToTok 是否含有后门或其它恶意功能？安全研究人员对其进行了破解，拦截了其流量进行分析，结果是没有，它就像是一个合法的 VoIP 应用，只是你根本不知道应用开发商/发行商的真实身份。调查发现，ToTok 使用了阿里巴巴的云服务，其大部分代码来自于另一家消息应用开发商 YeeCall，很可能是 Breej Holding 从 YeeCall 获得授权使用了其代码创建了 ToTok。情报官员口中的“间谍工具”就是一个消息应用的“合法功能”，阿联酋政府封掉了 WhatsApp 和 Skype 等流行 VoIP 应用，让 ToTok 成为当地唯一可用的 VoIP 应用，然后利用其合法功能就能获得用户的通讯录、通话和聊天细节，以及位置信息。

腾讯安全研究员披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人员共发现了 5 个漏洞，位于 SQLite 中，统称为 Magellan 2.0，这组漏洞允许攻击者在 Google Chrome 内远程运行恶意代码。Google 与 SQLite 官方已确认并修复了漏洞。如果用户使用 2019 年 12 月 13 日前的旧版本 SQLite 或运行低于 Chrome 79.0.3945.79 并启用了 WebSQL 的设备，那么可能会受到影响。和 Magellan 1.0 类似，这组新漏洞是因为 SQLite 数据库从第三方接受 SQL 命令输入验证不正确导致的。攻击者可以制作包含恶意代码的 SQL 操作命令，当 SQLite 数据库引擎读取该指令时会执行恶意代码。

安全研究员 Ibrahim Balic 利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。可能是为了防止此类的随机号码生成，Twitter 不接受序列格式的通讯录上传。但这一机制显然很容易绕过，Balic 生成了超过 20 亿个手机号码，将其顺序随机化，然后使用 Twitter Android app 上传。在两个月时间里他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户账号。Twitter 在 12 月 20 日封掉了他的账号阻止了他的手机号码匹配。Twitter 发言人已经证实了这一漏洞，表示正致力于让这一漏洞不能再被利用。Web 端的 Twitter 上传功能没有该漏洞。