腾讯财付通漏洞遭黑客利用威胁QQ彩钻等付新时代

腾讯财付通漏洞遭黑客利用 威胁彩钻等付费用户

北京时间7月7日，360安全中心发布重大安全警报称，腾讯公司旗下财付通支付产品出现高危漏洞，导致其数字签名证书被黑客利用制作木马病毒，而绝大多数杀毒软件无法防范。该漏洞将影响所有彩钻、腾讯拍拍以及接入财付通支付平台的购物与充值站的用户。目前，360已将该漏洞细节提交给国家漏洞库和腾讯公司，同时360安全卫士和360杀毒进行了紧急升级，能够防御并查杀财付通木马。

360安全专家介绍说，数字签名相当于一个程序的身份证，具备有效数字签名的程序通常被视为合法程序。而腾讯财付通漏洞是由于其数字签名证书缺乏必要的安全机制，任何人使用就可以申请到；同时，该证书也没有控制使用权限，可以为任意程序提供数字签名。这意味着，黑客可以毫无顾忌地用财付通数字签名制作木马，因为除360安全卫士外，其它杀毒软件目前尚无法有效拦截和查杀。

据验证，财付通数字签名在装有财付通根证书的电脑上会自动生效（使用财付通且安装了 Root CA）。因此，该漏洞主要威胁彩钻付费用户、腾讯拍拍用户，以及其它接入财付通支付平台的购物和充值站用户，用户量保守估计也在千万级水平。

360安全中心监测发现，上已经出现了带有腾讯财付通数字签名的木马，感染量约为1.2万台电脑。从数字签名的时间戳判断，该木马最早出现在7月3日中午，是一款能够联下载大量木马病毒的下载器，最明显的中招现象是浏览器首页被篡改为7241址导航。由于财付通漏洞已经被黑客公开利用，此类木马的数量和感染量正在急剧上升，预计将成为未来一段时期最主要的木马。

此前，国际知名厂商RealTek也曾发生数字签名证书泄露事故，Stuxnet病毒就是利用RealTek数字签名逃避杀毒软件检测，破坏伊朗核电站等工业设施。与RealTek不同的是，腾讯财付通的数字签名证书更容易被黑客获取，因而对普通民影响更大。

360安全中心紧急呼吁，腾讯财付通用户安装360安全卫士，只要正常开启360安全卫士木马防火墙功能，就能有效拦截腾讯财付通木马。用户也可以手动执行360安全卫士木马查杀竹立家表示功能，检查自己电脑是否已经受到腾讯财付通木马感染。

截至发稿前，腾讯公司尚未表态将在何时修复财付通数字证书的高危漏洞。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感而是发生在中国兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。