隨著“11.11”購物節(jié)的臨近，手機(jī)支付也受到越來越多關(guān)注。然而，手機(jī)支付雖方便，卻也存在更多安全隱患。近日，烏云漏洞報(bào)告平臺公開了中國民生銀行漏洞，稱該漏洞可導(dǎo)致民生銀行Android客戶端敏感信息泄露。9月14日，名為Elegance的白帽子向?yàn)踉坡┒磮?bào)告平臺提交了這一漏洞，將漏洞細(xì)節(jié)通知了相關(guān)廠商，9月18日，該漏洞獲得了相關(guān)廠商確認(rèn)。目前，該漏洞已交由第三方(cncert國家互聯(lián)網(wǎng)應(yīng)急中心)處理。

　　烏云漏洞報(bào)告平臺在對該漏洞的詳細(xì)描述中稱：“賬戶權(quán)限控制沒做好，漏了幾個地方。導(dǎo)致可查詢?nèi)我赓~號的余額及進(jìn)出帳情況。”

　　該漏洞被證明可查詢賬戶余額：

　　圖中的ip：10.16.6.68疑似內(nèi)網(wǎng)地址

　　如果將參數(shù)中的卡號換成B賬號的卡號，也能實(shí)現(xiàn)查詢，見下圖：

　　相關(guān)廠商對此漏洞已經(jīng)進(jìn)行了確認(rèn)，并將危害等級定為“高”級，且轉(zhuǎn)由CNCERT直接聯(lián)系民生銀行信息化管理部門。