阿里云優(yōu)惠券 先領券再下單

上周末央行發(fā)布了被稱為史上最嚴第三方支付管理辦法意見稿，引發(fā)各方熱議，網民紛紛表示不解，業(yè)內人士就各規(guī)定進行分析，隨后央行進行一連串各種解讀。先不論意見稿的內容如何如何，我們先來看看出于什么目的出臺這個管理辦法的。根據《管理辦法(征求意見稿)》總則的第一條，“為規(guī)范非銀行支付機構(以下簡稱支付機構)網絡支付業(yè)務，防范支付風險，保護當事人合法權益，根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》等規(guī)定，制定本辦法。”，看到這條相信大家都清楚了，是出于第三方支付安全及風險的角度才制定這個管理辦法的。恰巧就這發(fā)布這幾天，網絡上也爆出另外一個有關銀聯(lián)嚴重漏洞的新聞(見下文)。不知道有這么明顯漏洞的銀聯(lián)支付，央行又會出臺什么辦法進行管理?還是說讓它有別于一般第三方支付平臺的標準進行“任性”發(fā)展。

隨著移動支付的快速發(fā)展，國內各大企業(yè)都推出了各自的移動支付產品，隨之而來的也是移動支付中出現的一些問題，特別是產品設計不當，導致的信息泄露，安全問題日益嚴重，這不僅需要我們消費者保護自己信息以外，相關支付廠商也應該加強產品測試提高安全級別，特別是一些敏感信息一定要做安全處理，而銀聯(lián)手機支付作為銀聯(lián)官方的移動支付客戶端產品，算的上是正經八倍的國家隊，特別是前幾日銀聯(lián)還搞過的活動，下載量不少，日前被國內最大的安全平臺烏云發(fā)現，在IOS客戶端上存在比較嚴重漏洞，竟然明文存儲密碼!作為銀聯(lián)來說實屬不該，別忘記了，很多支付產品都需要過銀聯(lián)的安全檢測，至于客戶端小編不得而知，但是您自己的東西就不經過檢查嗎?而且銀聯(lián)的回應竟然是無影響，忽略!簡直是.........在移動的支付時代，掌握著一手好牌，卻打出了這個結局，一點都不值得同情，不知道安卓平臺的那邊如何，不論如何吧，建議銀聯(lián)移動支付的朋友們，好好檢查下，有則改之，沒有什么丟人的!銀聯(lián)的安全標準中，應該要求過相關的敏感信息不得明文存儲。

下面來看看漏洞證明

詳細說明：1、就是這個APP

2、使用iTools連接手機，然后共享銀聯(lián)手機支付App的文件

3、找到各種plist、xml、db等文件

4、使用sqllite等工具打開數據庫文件

5、當然越獄手機里的這些敏感很容易被竊取到的，銀聯(lián)應該將用戶所處環(huán)境想到最壞才對

漏洞證明：漏洞證明，存儲居然都用明文：

修復方案：打碼

漏洞回應廠商回應：危害等級：無影響廠商忽略(這句話真的假的?)

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！