解析腾讯财付通漏洞：为木马发放“通行证”

　　近期爆出的腾讯财付通漏洞让众多网购用户谈虎色变，那么其原理究竟是怎么样，木马制作都又是如何利用此漏洞达到目的的?本文就详细的为你解析财付通漏洞是如何为木马发放“通行证”的。

　　据介绍，数字签名相当于软件程序的“身份证”，当具备有效数字签名的程序运行时，杀毒软件普遍会自动信任这类程序，无条件予以放行。而腾讯财付通漏洞是由于其数字签名证书缺乏必要的安全机制，任何人使用手机就可以申请到;同时，该证书也没有控制使用权限，可以为任意程序提供数字签名，包括木马病毒。

　　2011年7月7日，360安全中心独家发现腾讯财付通支付产品出现高危漏洞，导致其数字签名证书被黑客利用，其危害相当于为木马病毒颁发了“通行证”，主要影响QQ彩钻、腾讯拍拍，以及接入财付通支付平台的购物网站用户，目前国内仅360安全卫士能够独家拦截并查杀此类木马。

　　此前，黑客在对木马病毒进行“免杀”处理时，通常需要定位特征码、加壳等一系列复杂的操作，并且很难突破所有主流杀毒软件。利用腾讯财付通漏洞，即便是一个所有杀毒软件都能杀的木马，几分钟内就可以变为带着腾讯公司身份标识的“合法程序”，使绝大多数杀毒软件拦截失效。

　　截至发稿前，360已将腾讯财付通漏洞细节提交给国家漏洞库和腾讯公司，并向腾讯公司提供了漏洞修复方案。QQ彩钻、腾讯拍拍等财付通用户只要正常开启360安全卫士“木马防火墙”，即可有效拦截腾讯财付通木马。

　　腾讯财付通漏洞分析

　　漏洞名称：财付通数字证书权限控制漏洞

　　漏洞描述：财付通的数字证书可以由个人随意申请，仅需要绑定一个手机号码，缺乏严格的身份验证机制。同时，财付通数字证书含有与证书相对应的私钥，

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点