【IT商業(yè)新聞網(wǎng)訊】(記者 陳靜)360安全中心今天中午發(fā)布重大安全警報,稱騰訊公司旗下財付通支付產(chǎn)品出現(xiàn)高危漏洞,導致其數(shù)字簽名證書被黑客利用制作木馬病毒。
該漏洞將影響所有QQ彩鉆、騰訊拍拍以及接入財付通支付平臺的購物與充值網(wǎng)站的用戶,其危害相當于為木馬病毒頒發(fā)了"免死金牌",而目前國內(nèi)僅360安全衛(wèi)士能夠獨家攔截并查殺此類木馬。
360安全專家介紹說,數(shù)字簽名相當于一個程序的"身份證",具備有效數(shù)字簽名的程序通常被視為合法程序。而騰訊財付通漏洞是由于其數(shù)字簽名證書缺乏必要的安全機制,任何人使用手機就可以申請到;同時,該證書也沒有控制使用權(quán)限,可以為任意程序提供數(shù)字簽名。
這意味著,黑客可以毫無顧忌地用財付通數(shù)字簽名制作木馬,因為除360安全衛(wèi)士外,其它殺毒軟件目前尚無法有效攔截和查殺。
此消息經(jīng)360安全衛(wèi)士新浪微博發(fā)出后,引起強烈反響,短短幾分鐘內(nèi)被網(wǎng)友瘋狂轉(zhuǎn)載,對財付通安全性的質(zhì)疑頓時迭起。
截止至2010年底,財付通公司宣布其用戶數(shù)已超5.5億,網(wǎng)友們不禁猜想,一旦在其平臺上出現(xiàn)任何安全漏洞,導致的損失將會難以預(yù)期。
360董事長周鴻祎隨后在微博上稱:"貴公司為了其壟斷中國互聯(lián)網(wǎng)一統(tǒng)天下的目的不斷打壓360,但是360做為中國最大的專業(yè)安全公司依然要從用戶利益出發(fā)保護用戶的安全,也善意的提供解決方案給貴公司,希望貴公司不要總想著為消滅對手去做沒效果的安慰劑型安全軟件,安全是個很專業(yè)的事,和貴公司的娛樂屬性不太符合,請盡快修正漏洞。"
早在今年4月份,有不愿公開身份的網(wǎng)絡(luò)黑客稱,騰訊產(chǎn)品由于高度集成存在至少4處邏輯性安全漏洞。其中一項就包括有可能已登錄QQ的計算機,獲取財付通賬戶余額、Q幣等。并稱如果安全級別過低,可能進行拍拍支付、購買、轉(zhuǎn)賬等操作,同時告誡騰訊應(yīng)該加強多個產(chǎn)品間的協(xié)作管理。
但此舉并未得到騰訊或財付通方面的任何反應(yīng)。
而此次360方面發(fā)現(xiàn)財付通數(shù)字簽名證書的嚴重安全漏洞后,已提交給國家漏洞庫和騰訊公司,并向騰訊公司提供了漏洞修復方案,但騰訊方面仍未表態(tài)將在何時修復該漏洞。
隨后,記者試圖聯(lián)系采訪騰訊方面負責人,以獲取騰訊方面對此次事件的回應(yīng),但騰訊方面始終稱"負責人今天休息,無法接受訪問"。
推薦閱讀
攜程收購久久票務(wù)網(wǎng) 網(wǎng)購火車票仍有政策壁壘
記者在預(yù)訂平臺上發(fā)現(xiàn),與目前本地火車票線下預(yù)訂不同的是,攜程網(wǎng)只能提供一周內(nèi)的高鐵車票查詢預(yù)訂服務(wù),且一次在線只能預(yù)訂5張。如果旅客預(yù)訂成功,車票總費用為火車票票價加5元/張的鐵路客票銷售服務(wù)費,及送票上>>>詳細閱讀
本文標題:財付通被曝現(xiàn)高危漏洞 騰訊方面至今仍無回應(yīng)
地址:http://m.sdlzkt.com/a/01/20111230/208951.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示