此前有报道称,发现iOS网络通信库AFNetworking存在SSL漏洞,波及众多iOS应用。对此,中国金融认证中心(CFCA)安全专家表示,该漏洞对于金融行业的影响是非常有限的,因为金融行业一般都会采用纵深防御的策略应对安全威胁。
CFCA安全专家认为,这个漏洞主要是AFNetworking 低版本未开启证书与域名的一致性校验而导致的。这个漏洞被利用的条件,首先要求iOS设备连接到如钓鱼WIFI等中间人攻击设备,其次,要求攻击者具备一张由可信CA颁发的证书。
基于以上的各方条件,CFCA安全专家表示此漏洞对金融行业的影响非常有限,具体原因有以下两点。首先,通常金融行业会使用纵深防御的策略应对安全威胁;其次,手机银行客户端会对用户身份认证和网银支付等信息进行非对称加密。使用加密技术后的敏感数据在通信传输过程中为不可读的加密信息,只有在传输到银行后台后才使用加密机进行解密。由于SSL管道内传输的用户重要数据信息有多一重附加的加密保护措施,所以即便利用漏斗对SSL通道进行攻击,中间攻击人也无法在短时间内获得用户敏感信息的明文。总而言之,广大用户在使用手机银行时不必因为此漏洞而过于紧张。
同时对于这个漏洞,金融行业各机构也应该积极应对,尽快升级存在漏洞的APP中AFNetworking 至最新版本。
“总之对于这个漏洞,如果手机银行用户数据在进入网络传输通道之前已经经过完善的敏感数据加密保护,那么敏感信息泄露的风险相对较低,积极升级修复漏洞即可。”CFCA安全专家如是说。
来源:中国电子银行网
