上周末央行发布了被称为史上最严第三方支付管理办法意见稿,引发各方热议,网民纷纷表示不解,业内人士就各规定进行分析,随后央行进行一连串各种解读。先不论意见稿的内容如何如何,我们先来看看出于什么目的出台这个管理办法的。根据《管理办法(征求意见稿)》总则的第一条,“为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定,制定本办法。”,看到这条相信大家都清楚了,是出于第三方支付安全及风险的角度才制定这个管理办法的。恰巧就这发布这几天,网络上也爆出另外一个有关银联严重漏洞的新闻(见下文)。不知道有这么明显漏洞的银联支付,央行又会出台什么办法进行管理?还是说让它有别于一般第三方支付平台的标准进行“任性”发展。
随着移动支付的快速发展,国内各大企业都推出了各自的移动支付产品,随之而来的也是移动支付中出现的一些问题,特别是产品设计不当,导致的信息泄露,安全问题日益严重,这不仅需要我们消费者保护自己信息以外,相关支付厂商也应该加强产品测试提高安全级别,特别是一些敏感信息一定要做安全处理,而银联手机支付作为银联官方的移动支付客户端产品,算的上是正经八倍的国家队,特别是前几日银联还搞过的活动,下载量不少,日前被国内最大的安全平台乌云发现,在iOS客户端上存在比较严重漏洞,竟然明文存储密码!作为银联来说实属不该,别忘记了,很多支付产品都需要过银联的安全检测,至于客户端小编不得而知,但是您自己的东西就不经过检查吗?而且银联的回应竟然是无影响,忽略!简直是.........在移动的支付时代,掌握着一手好牌,却打出了这个结局,一点都不值得同情,不知道安卓平台的那边如何,不论如何吧,建议银联移动支付的朋友们,好好检查下,有则改之,没有什么丢人的!银联的安全标准中,应该要求过相关的敏感信息不得明文存储。
下面来看看漏洞证明
详细说明:1、就是这个App
2、使用iTools连接手机,然后共享银联手机支付App的文件
3、找到各种plist、xml、db等文件
4、使用SQLlite等工具打开数据库文件
5、当然越狱手机里的这些敏感很容易被窃取到的,银联应该将用户所处环境想到最坏才对
漏洞证明:漏洞证明,存储居然都用明文:
修复方案:打码
漏洞回应厂商回应:危害等级:无影响厂商忽略(这句话真的假的?)