上周末央行发布了被称为史上最严第三方支付管理办法意见稿，引发各方热议，网民纷纷表示不解，业内人士就各规定进行分析，随后央行进行一连串各种解读。先不论意见稿的内容如何如何，我们先来看看出于什么目的出台这个管理办法的。根据《管理办法(征求意见稿)》总则的第一条，“为规范非银行支付机构(以下简称支付机构)网络支付业务，防范支付风险，保护当事人合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定，制定本办法。”，看到这条相信大家都清楚了，是出于第三方支付安全及风险的角度才制定这个管理办法的。恰巧就这发布这几天，网络上也爆出另外一个有关银联严重漏洞的新闻(见下文)。不知道有这么明显漏洞的银联支付，央行又会出台什么办法进行管理?还是说让它有别于一般第三方支付平台的标准进行“任性”发展。

    随着移动支付的快速发展，国内各大企业都推出了各自的移动支付产品，随之而来的也是移动支付中出现的一些问题，特别是产品设计不当，导致的信息泄露，安全问题日益严重，这不仅需要我们消费者保护自己信息以外，相关支付厂商也应该加强产品测试提高安全级别，特别是一些敏感信息一定要做安全处理，而银联手机支付作为银联官方的移动支付客户端产品，算的上是正经八倍的国家队，特别是前几日银联还搞过的活动，下载量不少，日前被国内最大的安全平台乌云发现，在iOS客户端上存在比较严重漏洞，竟然明文存储密码!作为银联来说实属不该，别忘记了，很多支付产品都需要过银联的安全检测，至于客户端小编不得而知，但是您自己的东西就不经过检查吗?而且银联的回应竟然是无影响，忽略!简直是.........在移动的支付时代，掌握着一手好牌，却打出了这个结局，一点都不值得同情，不知道安卓平台的那边如何，不论如何吧，建议银联移动支付的朋友们，好好检查下，有则改之，没有什么丢人的!银联的安全标准中，应该要求过相关的敏感信息不得明文存储。

    下面来看看漏洞证明

    详细说明：1、就是这个App

    2、使用iTools连接手机，然后共享银联手机支付App的文件

    3、找到各种plist、xml、db等文件

    4、使用SQLlite等工具打开数据库文件

    5、当然越狱手机里的这些敏感很容易被窃取到的，银联应该将用户所处环境想到最坏才对

    漏洞证明：漏洞证明，存储居然都用明文：

    修复方案：打码

    漏洞回应厂商回应：危害等级：无影响厂商忽略(这句话真的假的?)
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。