随着“11.11”购物节的临近,手机支付也受到越来越多关注。然而,手机支付虽方便,却也存在更多安全隐患。近日,乌云漏洞报告平台公开了中国民生银行漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。9月14日,名为Elegance的白帽子向乌云漏洞报告平台提交了这一漏洞,将漏洞细节通知了相关厂商,9月18日,该漏洞获得了相关厂商确认。目前,该漏洞已交由第三方(cncert国家互联网应急中心)处理。
乌云漏洞报告平台在对该漏洞的详细描述中称:“账户权限控制没做好,漏了几个地方。导致可查询任意账号的余额及进出帐情况。”
该漏洞被证明可查询账户余额:
图中的ip:10.16.6.68疑似内网地址
如果将参数中的卡号换成B账号的卡号,也能实现查询,见下图:
相关厂商对此漏洞已经进行了确认,并将危害等级定为“高”级,且转由CNCERT直接联系民生银行信息化管理部门。
