7月7日，360安全中心獨家發現騰訊財付通支付產品出現高危漏洞，導致其數字簽名證書被黑客利用，其危害相當于為木馬病毒頒發了"免死金牌"，主要影響QQ彩鉆、騰訊拍拍，以及接入財付通支付平臺的購物網站用戶，目前國內僅360安全衛士能夠獨家攔截并查殺此類木馬。

據介紹，數字簽名相當于軟件程序的"身份證"，當具備有效數字簽名的程序運行時，殺毒軟件普遍會自動信任這類程序，無條件予以放行。而騰訊財付通漏洞是由于其數字簽名證書缺乏必要的安全機制，任何人使用手機就可以申請到；同時，該證書也沒有控制使用權限，可以為任意程序提供數字簽名，包括木馬病毒。

此前，黑客在對木馬病毒進行"免殺"處理時，通常需要定位特征碼、加殼等一系列復雜的操作，并且很難突破所有主流殺毒軟件。利用騰訊財付通漏洞，即便是一個所有殺毒軟件都能殺的木馬，幾分鐘內就可以變為帶著騰訊公司身份標識的"合法程序"，使絕大多數殺毒軟件攔截失效。

截至發稿前，360已將騰訊財付通漏洞細節提交給國家漏洞庫和騰訊公司，并向騰訊公司提供了漏洞修復方案。QQ彩鉆、騰訊拍拍等財付通用戶只要正常開啟360安全衛士"木馬防火墻"，即可有效攔截騰訊財付通木馬。

騰訊財付通漏洞分析

漏洞名稱：財付通數字證書權限控制漏洞

漏洞描述：財付通的數字證書可以由個人隨意申請，僅需要綁定一個手機號碼，缺乏嚴格的身份驗證機制。同時，財付通數字證書含有與證書相對應的私鑰，且證書的頒發預期目的是"所有權限"，這就意味著此證書可以被黑客惡意利用，比如為木馬提供數字簽名。目前360云查殺系統已捕獲相應的木馬樣本，經測試絕大多數殺毒軟件無法防御和查殺此類木馬。

圖1：帶有財付通數字簽名的木馬樣本#p#

驗證實例：利用財付通漏洞對記事本程序notepad.exe進行代碼簽名，數字簽名信息如下圖：

圖2：利用財付通漏洞為記事本程序加入財付通數字簽名

漏洞影響：使用財付通且安裝了Tenpay.com Root CA的電腦，如QQ彩鉆用戶、騰訊拍拍用戶，以及其它接入財付通支付平臺的購物網站用戶。

防范建議：360木馬防火墻能夠攔截此類帶有財付通數字簽名的木馬。同時，網民應注意防范陌生可疑的下載站提供的文件，上網購物時避免接收運行陌生人發來的文件。

圖2：360木馬防火墻攔截"財付通木馬"

修復方案：財付通對所頒發的數字證書進行預期目的限制，并對申請人加上必要的身份驗證。