最近有媒體報(bào)道,iOS網(wǎng)絡(luò)通信庫AFNetworking曝SSL漏洞,影響眾多iOS應(yīng)用。中國金融認(rèn)證中心(CFCA)安全專家認(rèn)為,金融行業(yè)一般都會采用縱深防御(defense in depth)的策略來應(yīng)對安全威脅,因此該漏洞對于金融行業(yè)來說影響有限。
CFCA安全專家認(rèn)為,這個漏洞主要是AFNetworking 低版本未開啟證書與域名的一致性校驗(yàn)而導(dǎo)致的。這個漏洞被利用的條件,首先要求iOS設(shè)備連接到如釣魚WIFI等中間人攻擊設(shè)備,其次,要求攻擊者具備一張由可信CA頒發(fā)的證書。
基于此,CFCA安全專家認(rèn)為,此漏洞對于金融行業(yè)來說影響有限,其因有二。一為,金融行業(yè)通常會采用縱深防御(defense in depth)的策略來應(yīng)對安全威脅;二為,手機(jī)銀行客戶端通常使用加密技術(shù)對用于用戶身份認(rèn)證與網(wǎng)銀支付的敏感數(shù)據(jù)進(jìn)行了非對稱加密,敏感數(shù)據(jù)在通信傳輸過程中為不可讀的加密信息,只有在傳輸?shù)姐y行服務(wù)器后才會使用加密機(jī)進(jìn)行解密。也就是說SSL管道內(nèi)傳輸?shù)挠脩糁匾獢?shù)據(jù)信息還有一重附加的加密措施對其進(jìn)行保護(hù)。即使利用該漏洞對SSL通道進(jìn)行攻擊,中間攻擊人也無法短時間內(nèi)獲取用戶敏感信息的明文(即,密碼原文)。所以對于使用手機(jī)銀行的廣大用戶不必因?yàn)檫@個漏洞而過于恐慌。
同時對于這個漏洞,金融行業(yè)各機(jī)構(gòu)也應(yīng)該積極應(yīng)對,盡快升級存在漏洞的APP中AFNetworking 至最新版本。
“總之對于這個漏洞,如果手機(jī)銀行用戶數(shù)據(jù)在進(jìn)入網(wǎng)絡(luò)傳輸通道之前已經(jīng)經(jīng)過完善的敏感數(shù)據(jù)加密保護(hù),那么敏感信息泄露的風(fēng)險(xiǎn)相對較低,積極升級修復(fù)漏洞即可。”CFCA安全專家如是說。