腾讯财付通漏洞分析:为木马滥发"免死金牌"

安全
7月7日,360安全中心独家发现腾讯财付通支付产品出现高危漏洞,导致其数字签名证书被黑客利用,其危害相当于为木马病毒颁发了"免死金牌",主要影响QQ彩钻、腾讯拍拍,以及接入财付通支付平台的购物网站用户,目前国内仅360安全卫士能够独家拦截并查杀此类木马。

7月7日,360安全中心独家发现腾讯财付通支付产品出现高危漏洞,导致其数字签名证书被黑客利用,其危害相当于为木马病毒颁发了"免死金牌",主要影响QQ彩钻、腾讯拍拍,以及接入财付通支付平台的购物网站用户,目前国内仅360安全卫士能够独家拦截并查杀此类木马。

据介绍,数字签名相当于软件程序的"身份证",当具备有效数字签名的程序运行时,杀毒软件普遍会自动信任这类程序,无条件予以放行。而腾讯财付通漏洞是由于其数字签名证书缺乏必要的安全机制,任何人使用手机就可以申请到;同时,该证书也没有控制使用权限,可以为任意程序提供数字签名,包括木马病毒。

此前,黑客在对木马病毒进行"免杀"处理时,通常需要定位特征码、加壳等一系列复杂的操作,并且很难突破所有主流杀毒软件。利用腾讯财付通漏洞,即便是一个所有杀毒软件都能杀的木马,几分钟内就可以变为带着腾讯公司身份标识的"合法程序",使绝大多数杀毒软件拦截失效。

截至发稿前,360已将腾讯财付通漏洞细节提交给国家漏洞库和腾讯公司,并向腾讯公司提供了漏洞修复方案。QQ彩钻、腾讯拍拍等财付通用户只要正常开启360安全卫士"木马防火墙",即可有效拦截腾讯财付通木马。

腾讯财付通漏洞分析

漏洞名称:财付通数字证书权限控制漏洞

漏洞描述:财付通的数字证书可以由个人随意申请,仅需要绑定一个手机号码,缺乏严格的身份验证机制。同时,财付通数字证书含有与证书相对应的私钥,且证书的颁发预期目的是"所有权限",这就意味着此证书可以被黑客恶意利用,比如为木马提供数字签名。目前360云查杀系统已捕获相应的木马样本,经测试绝大多数杀毒软件无法防御和查杀此类木马。

 

带有财付通数字签名的木马样本

图1:带有财付通数字签名的木马样本#p#

验证实例:利用财付通漏洞对记事本程序notepad.exe进行代码签名,数字签名信息如下图:

 

利用财付通漏洞为记事本程序加入财付通数字签名

图2:利用财付通漏洞为记事本程序加入财付通数字签名

漏洞影响:使用财付通且安装了Tenpay.com Root CA的电脑,如QQ彩钻用户、腾讯拍拍用户,以及其它接入财付通支付平台的购物网站用户。

防范建议:360木马防火墙能够拦截此类带有财付通数字签名的木马。同时,网民应注意防范陌生可疑的下载站提供的文件,上网购物时避免接收运行陌生人发来的文件。

 

360木马防火墙拦截“财付通木马”

图2:360木马防火墙拦截"财付通木马"

修复方案:财付通对所颁发的数字证书进行预期目的限制,并对申请人加上必要的身份验证。

责任编辑:于爽 来源: 51CTO.com
相关推荐

2011-07-07 10:58:28

2013-08-30 11:20:40

京东财付通腾讯

2012-07-11 17:33:47

2014-06-23 15:27:16

2011-07-18 16:03:33

黑客签名

2015-09-07 09:27:12

网络支付支付安全财付通

2010-01-12 09:26:48

财付通Windows 7

2012-09-19 10:24:47

微信O2O

2017-09-01 15:03:32

锐捷厨柜Wi-Fi

2009-03-10 17:09:29

2021-01-19 10:58:15

漏洞管理漏洞数据泄露

2013-07-09 16:12:47

2009-06-24 11:20:36

互联网

2014-09-25 09:00:57

2013-11-28 11:15:43

微信支付宝支付战争

2010-09-25 10:12:49

2010-02-26 14:37:02

点赞
收藏

51CTO技术栈公众号