延庆信息港
旅游
当前位置:首页 > 旅游

銀聯手機客戶端安全漏洞明文存儲密碼標題

发布时间:2019-05-02 06:35:54 编辑:笔名

上周末央行發布了被稱為史上嚴第三方支付管理辦法意見稿,引發各方熱議,民紛紛表示不解,業內人士就各規定進行分析,隨后央行進行一連串各種解讀。先不論意見稿的內容如何如何,我們先來看看出于甚么目的出臺這個管理辦法的。根據《管理辦法(征求意見稿)》總則的條,為規范非銀行支付機構(以下簡稱支付機構)絡支付業務,防范支付風險,保護當事人合法權益,根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》等規定,制定本辦法。,看到這條相信大家都清楚了,是出于第三方支付安全及風險的角度才制定這個管理辦法的。恰巧就這發布這幾天,絡上也爆出另外一個有關銀聯嚴重漏洞的(見下文)。不知道有這么明顯漏洞的銀聯支付,央行又會出臺甚么辦法進行管理?還是說讓它有別于一般第三方支付平臺的標準進行任性發展。

随着移动支付的快速发展,国内各大企业都推出了各自的移动支付产品,随之而来的也是移动支付中出现的一些问题,特别是产品设计不当,导致的信息泄漏,安全问题日益严重,这不仅需要我们消费者保护自己信息以外,相关支付厂商也应该加强产品测试提高安全级别,特别是一些敏感信息一定要做安全处理,而银联支付作为银联官方的移动支付客户端产品,算的上是正经八倍的国家队,特别是前几日银联还搞过的活动,下载量很多,日前被国内的安全平台乌云发现,在iOS客户端上存在比较严重漏洞,居然明文存储密码!作为银联来说实属不该,别忘记了,很多支付产品都需要过银联的安全检测,至于客户端不得而知,但是您自己的东西就不经过检查吗?而且银联的回应居然是无影响,疏忽!简直是.........在移动的支付时代,掌握着一手好牌,却打出了这个结局,一点都不值得同情,不知道安卓平台的那边如何,不论如何吧,建议银联移动支付的朋友们,好好检查下,有则改之,没有什么丢人的!银联的安全标准中,应该要求过相关的敏感信息不得明文存储。

下面来看看漏洞证明

详细说明:1、就是这个App

2、使用iTools连接,然后同享银联支付App的文件

3、找到各种plist、xml、db等文件

4、使用SQLlite等工具打开数据库文件

5、当然越狱里的这些敏感很容易被窃取到的,银联应该将用户所处环境想到坏才对

漏洞证明:漏洞证明,存储居然都用明文:

修复方案:打码

漏洞回应厂商回应:危害等级:无影响厂商忽略(这句话真的假的?)

影响青少年心理发展的因素
常见8招节油方法很关键
嫦娥三号顺利进入环月轨道