7月7日，360安全中心独家发现腾讯财付通支付产品出现高危漏洞，导致其数字签名证书被黑客利用，其危害相当于为木马病毒颁发了“免死金牌”，主要影响QQ彩钻、腾讯拍拍，以及接入财付通支付平台的购物网站用户，目前国内仅360安全卫士能够独家拦截并查杀此类木马。

　　据介绍，数字签名相当于软件程序的“身份证”，当具备有效数字签名的程序运行时，杀毒软件普遍会自动信任这类程序，无条件予以放行。而腾讯财付通漏洞是由于其数字签名证书缺乏必要的安全机制，任何人使用手机就可以申请到；同时，该证书也没有控制使用权限，可以为任意程序提供数字签名，包括木马病毒。

　　此前，黑客在对木马病毒进行“免杀”处理时，通常需要定位特征码、加壳等一系列复杂的操作，并且很难突破所有主流杀毒软件。利用腾讯财付通漏洞，即便是一个所有杀毒软件都能杀的木马，几分钟内就可以变为带着腾讯公司身份标识的“合法程序”，使绝大多数杀毒软件拦截失效。

　　截至发稿前，360已将腾讯财付通漏洞细节提交给国家漏洞库和腾讯公司，并向腾讯公司提供了漏洞修复方案。QQ彩钻、腾讯拍拍等财付通用户只要正常开启360安全卫士“木马防火墙”，即可有效拦截腾讯财付通木马。

　　腾讯财付通漏洞分析

　　漏洞名称：财付通数字证书权限控制漏洞

　　漏洞描述：财付通的数字证书可以由个人随意申请，仅需要绑定一个手机号码，缺乏严格的身份验证机制。同时，财付通数字证书含有与证书相对应的私钥，且证书的颁发预期目的是“所有权限”，这就意味着此证书可以被黑客恶意利用，比如为木马提供数字签名。目前360云查杀系统已捕获相应的木马样本，经测试绝大多数杀毒软件无法防御和查杀此类木马。

图1：带有财付通数字签名的木马样本

　　验证实例：利用财付通漏洞对记事本程序notepad.exe进行代码签名，数字签名信息如下图：

图2：利用财付通漏洞为记事本程序加入财付通数字签名

　　漏洞影响：使用财付通且安装了Tenpay.com Root CA的电脑，如QQ彩钻用户、腾讯拍拍用户，以及其它接入财付通支付平台的购物网站用户。

　　防范建议：360木马防火墙能够拦截此类带有财付通数字签名的木马。同时，网民应注意防范陌生可疑的下载站提供的文件，上网购物时避免接收运行陌生人发来的文件。

图2：360木马防火墙拦截“财付通木马”

　　修复方案：财付通对所颁发的数字证书进行预期目的限制，并对申请人加上必要的身份验证。