7月7日，360安全中心獨(dú)家發(fā)現(xiàn)騰訊財(cái)付通支付產(chǎn)品出現(xiàn)高危漏洞，導(dǎo)致其數(shù)字簽名證書被黑客利用，其危害相當(dāng)于為木馬病毒頒發(fā)了"免死金牌"，主要影響QQ彩鉆、騰訊拍拍，以及接入財(cái)付通支付平臺(tái)的購物網(wǎng)站用戶，目前國內(nèi)僅360安全衛(wèi)士能夠獨(dú)家攔截并查殺此類木馬。

據(jù)介紹，數(shù)字簽名相當(dāng)于軟件程序的"身份證"，當(dāng)具備有效數(shù)字簽名的程序運(yùn)行時(shí)，殺毒軟件普遍會(huì)自動(dòng)信任這類程序，無條件予以放行。而騰訊財(cái)付通漏洞是由于其數(shù)字簽名證書缺乏必要的安全機(jī)制，任何人使用手機(jī)就可以申請到；同時(shí)，該證書也沒有控制使用權(quán)限，可以為任意程序提供數(shù)字簽名，包括木馬病毒。

此前，黑客在對木馬病毒進(jìn)行"免殺"處理時(shí)，通常需要定位特征碼、加殼等一系列復(fù)雜的操作，并且很難突破所有主流殺毒軟件。利用騰訊財(cái)付通漏洞，即便是一個(gè)所有殺毒軟件都能殺的木馬，幾分鐘內(nèi)就可以變?yōu)閹еv訊公司身份標(biāo)識(shí)的"合法程序"，使絕大多數(shù)殺毒軟件攔截失效。

截至發(fā)稿前，360已將騰訊財(cái)付通漏洞細(xì)節(jié)提交給國家漏洞庫和騰訊公司，并向騰訊公司提供了漏洞修復(fù)方案。QQ彩鉆、騰訊拍拍等財(cái)付通用戶只要正常開啟360安全衛(wèi)士"木馬防火墻"，即可有效攔截騰訊財(cái)付通木馬。

騰訊財(cái)付通漏洞分析

漏洞名稱：財(cái)付通數(shù)字證書權(quán)限控制漏洞

漏洞描述：財(cái)付通的數(shù)字證書可以由個(gè)人隨意申請，僅需要綁定一個(gè)手機(jī)號(hào)碼，缺乏嚴(yán)格的身份驗(yàn)證機(jī)制。同時(shí)，財(cái)付通數(shù)字證書含有與證書相對應(yīng)的私鑰，且證書的頒發(fā)預(yù)期目的是"所有權(quán)限"，這就意味著此證書可以被黑客惡意利用，比如為木馬提供數(shù)字簽名。目前360云查殺系統(tǒng)已捕獲相應(yīng)的木馬樣本，經(jīng)測試絕大多數(shù)殺毒軟件無法防御和查殺此類木馬。

圖1：帶有財(cái)付通數(shù)字簽名的木馬樣本#p#

驗(yàn)證實(shí)例：利用財(cái)付通漏洞對記事本程序notepad.exe進(jìn)行代碼簽名，數(shù)字簽名信息如下圖：

圖2：利用財(cái)付通漏洞為記事本程序加入財(cái)付通數(shù)字簽名

漏洞影響：使用財(cái)付通且安裝了Tenpay.com Root CA的電腦，如QQ彩鉆用戶、騰訊拍拍用戶，以及其它接入財(cái)付通支付平臺(tái)的購物網(wǎng)站用戶。

防范建議：360木馬防火墻能夠攔截此類帶有財(cái)付通數(shù)字簽名的木馬。同時(shí)，網(wǎng)民應(yīng)注意防范陌生可疑的下載站提供的文件，上網(wǎng)購物時(shí)避免接收運(yùn)行陌生人發(fā)來的文件。

圖2：360木馬防火墻攔截"財(cái)付通木馬"

修復(fù)方案：財(cái)付通對所頒發(fā)的數(shù)字證書進(jìn)行預(yù)期目的限制，并對申請人加上必要的身份驗(yàn)證。