隨著“11.11”購物節(jié)的臨近，手機支付也受到越來越多關(guān)注。然而，手機支付雖方便，卻也存在更多安全隱患。近日，烏云漏洞報告平臺公開了中國民生銀行漏洞，稱該漏洞可導(dǎo)致民生銀行Android客戶端敏感信息泄露。9月14日，名為Elegance的白帽子向烏云漏洞報告平臺提交了這一漏洞，將漏洞細節(jié)通知了相關(guān)廠商，9月18日，該漏洞獲得了相關(guān)廠商確認。目前，該漏洞已交由第三方(cncert國家互聯(lián)網(wǎng)應(yīng)急中心)處理。

　　烏云漏洞報告平臺在對該漏洞的詳細描述中稱：“賬戶權(quán)限控制沒做好，漏了幾個地方。導(dǎo)致可查詢?nèi)我赓~號的余額及進出帳情況。”

　　該漏洞被證明可查詢賬戶余額：

　　圖中的ip：10.16.6.68疑似內(nèi)網(wǎng)地址

　　如果將參數(shù)中的卡號換成B賬號的卡號，也能實現(xiàn)查詢，見下圖：

　　相關(guān)廠商對此漏洞已經(jīng)進行了確認，并將危害等級定為“高”級，且轉(zhuǎn)由CNCERT直接聯(lián)系民生銀行信息化管理部門。