正   文

CFCA专家:AFNetWorking SSL漏洞对金融业安全影响有限

  

  最近有媒体报道,iOS网络通信库AFNetworking曝SSL漏洞,影响众多iOS应用。中国金融认证中心(CFCA)安全专家认为,金融行业一般都会采用纵深防御(defense in depth)的策略来应对安全威胁,因此该漏洞对于金融行业来说影响有限。

  CFCA安全专家认为,这个漏洞主要是AFNetworking 低版本未开启证书与域名的一致性校验而导致的。这个漏洞被利用的条件,首先要求iOS设备连接到如钓鱼WIFI等中间人攻击设备,其次,要求攻击者具备一张由可信CA颁发的证书。

  基于此,CFCA安全专家认为,此漏洞对于金融行业来说影响有限,其因有二。一为,金融行业通常会采用纵深防御(defense in depth)的策略来应对安全威胁;二为,手机银行客户端通常使用加密技术对用于用户身份认证与网银支付的敏感数据进行了非对称加密,敏感数据在通信传输过程中为不可读的加密信息,只有在传输到银行服务器后才会使用加密机进行解密。也就是说SSL管道内传输的用户重要数据信息还有一重附加的加密措施对其进行保护。即使利用该漏洞对SSL通道进行攻击,中间攻击人也无法短时间内获取用户敏感信息的明文(即,密码原文)。所以对于使用手机银行的广大用户不必因为这个漏洞而过于恐慌。

  同时对于这个漏洞,金融行业各机构也应该积极应对,尽快升级存在漏洞的APP中AFNetworking 至最新版本。

  “总之对于这个漏洞,如果手机银行用户数据在进入网络传输通道之前已经经过完善的敏感数据加密保护,那么敏感信息泄露的风险相对较低,积极升级修复漏洞即可。”CFCA安全专家如是说。

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888