我的密码被人改了 现在我只知道自己的yy安全中心修改密码吗怎么改自己密码

来源:蜘蛛抓取(WebSpider) 时间:2014-10-10 04:25 标签: yy安全中心修改密码
我不小心把qq安全中心得验证码给别人了.现在他可以随时改我密码怎么办_百度知道
我不小心把qq安全中心得验证码给别人了.现在他可以随时改我密码怎么办
提问者采纳
最安全的方法是先把密码改掉
如果你有网银验证码支付的就把他开启 一面别人登陆购买
然后一般只是验证码给别人是没有关系的
其他类似问题
为您推荐:
安全中心的相关知识
其他2条回答
验证码有时间限制,没关系,关键在密保。
QQ安全中心验证码是一分钟一变,不是固定的
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁扫描或点击关注中金在线客服
下次自动登录
其它账号登录:
||||||||||||||||||||||||
&&&&>> &正文
iPhone改密码就安全了吗?有一个完整的XCodeGhost事件只有我们知道
来源:腾讯安全应急响应中心&&&
作者:佚名&&&
中金在线微博微信
扫描二维码
中金在线微信
  虎嗅注:这几天XCodeGhost事件在业内已有不小轰动,在昨天与微信iPhone版漏洞事件联系起来(详见:《微信都中毒了,苹果iPhone用户快换密码》)让更多人对XCodeGhost事件始末产生了兴趣。今日(9月19日)上午,《自称 XcodeGhost 作者的家伙出来澄清:不会影响任何App,更不会获取隐私数据》,但解读可能还不够全面,而来自“腾讯安全应急响应中心”的《你以为这就是全部了?我们来告诉你完整的XCodeGhost事件》从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了 作者信息。
  事件溯源
  事情要追溯到一周前。
  9月12日,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过一个周末加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。
  9月13日,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即知会了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。
  9月14日,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。
  图1 CNCERT发布的预警公告
  9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。
  9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告,阿里移动安全也发布了分析报告。
  接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。
  被遗漏的样本行为分析
  1、在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器
  上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。
  上报的域名是,同时我们还发现了攻击者的其他三个尚未使用的域名。
  图2 上传机器数据的恶意代码片段
  2、黑客可以下发伪协议命令在受感染的iPhone中执行
  黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。
  相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!
  图3 控制执行伪协议指令的恶意代码片段
  3、黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口
  和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?图4 控制远程弹窗的恶意代码片段
  4、远程控制模块协议存在漏洞,可被中间人攻击
  在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。
  图5 存在安全漏洞的协议解密代码片段
  值得一提的是,通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的低估了。
  感染途径
  分析过程中我们发现,异常流量APP都是大公司的知名产品,也是都是从AppStore下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然,接下来很快从开发人员的xcode中找到了答案。
  我们发现开发人员使用的xcode路径:
  Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的xcode安装包,却不存在这些目录和“系统组件”。
  图6 被感染恶意代码的xcode包路径
  原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。
  水落石出了,罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。
  通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是通过各种id(除了coderfun,还有使用了很多id,如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都被植入了恶意的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。
  图7 XCodeGhost作者在知名论坛上发布xcode的下载帖
  进一步来看,攻击者做到的效果是只要是通过搜索引擎下载xcode,都会下载到他们的XCodeGHost,还真的做到了幽灵一样的存在。
  影响面
  在清楚危害和传播途径后,我们意识到在如此高级的攻击手法下,被感染的可能不只一个两个APP,于是我们马上对AppStore上的APP进行检测。
  最后我们发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿。
  经过这一事件后,开发小伙伴们纷纷表示以后只敢下官方安装包,还要MD5和SHA1双校验。而这个事件本身所带来的思考,远不止改变不安全的下载习惯这么简单。
  经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到,黑产从业者早已不是单兵作战的脚本小子,而是能力全面的黑客团队。
  总结来看,移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。
责任编辑:cnfol001
好消息!还在为选择留学院校而苦恼吗?还在为复杂的移民申请流程而心烦吗?818出国网微信号汇聚最新的出国资讯,提供便捷的移民留学项目查询和免费权威的专家评估,为你的出国之路添能加油!
微信关注方法:1、扫描左侧二维码:2、搜索“818出国网”(chuguo818)关注818出国网微信。
我来说两句
24小时热门文章
栏目最新文章我梦幻西游被别人绑了7天以上的密保了,密码也被改了,现在我只知道安全码和帐号,怎么解除绑定?要详细_百度知道
我梦幻西游被别人绑了7天以上的密保了,密码也被改了,现在我只知道安全码和帐号,怎么解除绑定?要详细
提问者采纳
如果你绑的是密保卡的话 可以用手机解绑
其他类似问题
为您推荐:
其他1条回答
这个能帮到你的先用安全码冻结此号 由于密保绑定超7天所以安全码解除不了密保 你要用你填写次号的信息 证件 邮箱 安全码 等 通过客服主页 申请被恶意绑定 再申请清空所有绑定密保 完成后自己再重新绑定密保。。
梦幻西游的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁

我要回帖

更多关于 yy安全中心修改密码 的文章

 

随机推荐