銀聯(lián)手機(jī)客戶端安全漏洞:明文存儲(chǔ)密碼標(biāo)題

2015-08-06 20:11:53來源:威易網(wǎng)作者:

    上周末央行發(fā)布了被稱為史上最嚴(yán)第三方支付管理辦法意見稿,引發(fā)各方熱議,網(wǎng)民紛紛表示不解,業(yè)內(nèi)人士就各規(guī)定進(jìn)行分析,隨后央行進(jìn)行一連串各種解讀。先不論意見稿的內(nèi)容如何如何,我們先來看看出于什么目的

   上周末央行發(fā)布了被稱為史上最嚴(yán)第三方支付管理辦法意見稿,引發(fā)各方熱議,網(wǎng)民紛紛表示不解,業(yè)內(nèi)人士就各規(guī)定進(jìn)行分析,隨后央行進(jìn)行一連串各種解讀。先不論意見稿的內(nèi)容如何如何,我們先來看看出于什么目的出臺(tái)這個(gè)管理辦法的。根據(jù)《管理辦法(征求意見稿)》總則的第一條,“為規(guī)范非銀行支付機(jī)構(gòu)(以下簡(jiǎn)稱支付機(jī)構(gòu))網(wǎng)絡(luò)支付業(yè)務(wù),防范支付風(fēng)險(xiǎn),保護(hù)當(dāng)事人合法權(quán)益,根據(jù)《中華人民共和國中國人民銀行法》、《非金融機(jī)構(gòu)支付服務(wù)管理辦法》等規(guī)定,制定本辦法。”,看到這條相信大家都清楚了,是出于第三方支付安全及風(fēng)險(xiǎn)的角度才制定這個(gè)管理辦法的。恰巧就這發(fā)布這幾天,網(wǎng)絡(luò)上也爆出另外一個(gè)有關(guān)銀聯(lián)嚴(yán)重漏洞的新聞(見下文)。不知道有這么明顯漏洞的銀聯(lián)支付,央行又會(huì)出臺(tái)什么辦法進(jìn)行管理?還是說讓它有別于一般第三方支付平臺(tái)的標(biāo)準(zhǔn)進(jìn)行“任性”發(fā)展。

      隨著移動(dòng)支付的快速發(fā)展,國內(nèi)各大企業(yè)都推出了各自的移動(dòng)支付產(chǎn)品,隨之而來的也是移動(dòng)支付中出現(xiàn)的一些問題,特別是產(chǎn)品設(shè)計(jì)不當(dāng),導(dǎo)致的信息泄露,安全問題日益嚴(yán)重,這不僅需要我們消費(fèi)者保護(hù)自己信息以外,相關(guān)支付廠商也應(yīng)該加強(qiáng)產(chǎn)品測(cè)試提高安全級(jí)別,特別是一些敏感信息一定要做安全處理,而銀聯(lián)手機(jī)支付作為銀聯(lián)官方的移動(dòng)支付客戶端產(chǎn)品,算的上是正經(jīng)八倍的國家隊(duì),特別是前幾日銀聯(lián)還搞過的活動(dòng),下載量不少,日前被國內(nèi)最大的安全平臺(tái)烏云發(fā)現(xiàn),在iOS客戶端上存在比較嚴(yán)重漏洞,竟然明文存儲(chǔ)密碼!作為銀聯(lián)來說實(shí)屬不該,別忘記了,很多支付產(chǎn)品都需要過銀聯(lián)的安全檢測(cè),至于客戶端小編不得而知,但是您自己的東西就不經(jīng)過檢查嗎?而且銀聯(lián)的回應(yīng)竟然是無影響,忽略!簡(jiǎn)直是.........在移動(dòng)的支付時(shí)代,掌握著一手好牌,卻打出了這個(gè)結(jié)局,一點(diǎn)都不值得同情,不知道安卓平臺(tái)的那邊如何,不論如何吧,建議銀聯(lián)移動(dòng)支付的朋友們,好好檢查下,有則改之,沒有什么丟人的!銀聯(lián)的安全標(biāo)準(zhǔn)中,應(yīng)該要求過相關(guān)的敏感信息不得明文存儲(chǔ)。

      下面來看看漏洞證明

      詳細(xì)說明:1、就是這個(gè)App

\


      2、使用iTools連接手機(jī),然后共享銀聯(lián)手機(jī)支付App的文件

      3、找到各種plist、xml、db等文件

\


      4、使用SQLlite等工具打開數(shù)據(jù)庫文件

\


      5、當(dāng)然越獄手機(jī)里的這些敏感很容易被竊取到的,銀聯(lián)應(yīng)該將用戶所處環(huán)境想到最壞才對(duì)

      漏洞證明:漏洞證明,存儲(chǔ)居然都用明文:

\

      修復(fù)方案:打碼

       漏洞回應(yīng)廠商回應(yīng):危害等級(jí):無影響廠商忽略(這句話真的假的?)

關(guān)鍵詞:銀聯(lián)
最新文章