银联手机客户端安全漏洞：明文存储密码标题

　　上周末央行发布了被称为史上最严第三方支付管理办法意见稿，引发各方热议，网民纷纷表示不解，业内人士就各规定进行分析，随后央行进行一连串各种解读。先不论意见稿的内容如何如何，我们先来看看出于什么目的出台这个管理办法的。根据《管理办法(征求意见稿)》总则的第一条，“为规范非银行支付机构(以下简称支付机构)网络支付业务，防范支付风险，保护当事人合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定，制定本办法。”，看到这条相信大家都清楚了，是出于第三方支付安全及风险的角度才制定这个管理办法的。恰巧就这发布这几天，网络上也爆出另外一个有关银联严重漏洞的新闻(见下文)。不知道有这么明显漏洞的银联支付，央行又会出台什么办法进行管理?还是说让它有别于一般第三方支付平台的标准进行“任性”发展。

　　随着移动支付的快速发展，国内各大企业都推出了各自的移动支付产品，随之而来的也是移动支付中出现的一些问题，特别是产品设计不当，导致的信息泄露，安全问题日益严重，这不仅需要我们消费者保护自己信息以外，相关支付厂商也应该加强产品测试提高安全级别，特别是一些敏感信息一定要做安全处理，而银联手机支付作为银联官方的移动支付客户端产品，算的上是正经八倍的国家队，特别是前几日银联还搞过的活动，下载量不少，日前被国内最大的安全平台乌云发现，在IOS客户端上存在比较严重漏洞，竟然明文存储密码!作为银联来说实属不该，别忘记了，很多支付产品都需要过银联的安全检测，至于客户端小编不得而知，但是您自己的东西就不经过检查吗?而且银联的回应竟然是无影响，忽略!简直是.........在移动的支付时代，掌握着一手好牌，却打出了这个结局，一点都不值得同情，不知道安卓平台的那边如何，不论如何吧，建议银联移动支付的朋友们，好好检查下，有则改之，没有什么丢人的!银联的安全标准中，应该要求过相关的敏感信息不得明文存储。

　　下面来看看漏洞证明

　　详细说明：1、就是这个APP

　　

　　2、使用iTools连接手机，然后共享银联手机支付App的文件

　　3、找到各种plist、xml、db等文件

　　

　　4、使用sqllite等工具打开数据库文件

　　

　　5、当然越狱手机里的这些敏感很容易被窃取到的，银联应该将用户所处环境想到最坏才对

　　

　　漏洞证明：漏洞证明，存储居然都用明文：

　　修复方案：打码

　　漏洞回应厂商回应：危害等级：无影响厂商忽略(这句话真的假的?)