隨著“11.11”購(gòu)物節(jié)的臨近，手機(jī)支付也受到越來(lái)越多關(guān)注。然而，手機(jī)支付雖方便，卻也存在更多安全隱患。近日，烏云漏洞報(bào)告平臺(tái)公開(kāi)了中國(guó)民生銀行漏洞，稱該漏洞可導(dǎo)致民生銀行Android客戶端敏感信息泄露。9月14日，名為Elegance的白帽子向?yàn)踉坡┒磮?bào)告平臺(tái)提交了這一漏洞，將漏洞細(xì)節(jié)通知了相關(guān)廠商，9月18日，該漏洞獲得了相關(guān)廠商確認(rèn)。目前，該漏洞已交由第三方(cncert國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)處理。

　　烏云漏洞報(bào)告平臺(tái)在對(duì)該漏洞的詳細(xì)描述中稱：“賬戶權(quán)限控制沒(méi)做好，漏了幾個(gè)地方。導(dǎo)致可查詢?nèi)我赓~號(hào)的余額及進(jìn)出帳情況。”

　　該漏洞被證明可查詢賬戶余額：

　　圖中的ip：10.16.6.68疑似內(nèi)網(wǎng)地址

　　如果將參數(shù)中的卡號(hào)換成B賬號(hào)的卡號(hào)，也能實(shí)現(xiàn)查詢，見(jiàn)下圖：

　　相關(guān)廠商對(duì)此漏洞已經(jīng)進(jìn)行了確認(rèn)，并將危害等級(jí)定為“高”級(jí)，且轉(zhuǎn)由CNCERT直接聯(lián)系民生銀行信息化管理部門(mén)。