最近有媒體報道，iOS網絡通信庫AFNetworking曝SSL漏洞，影響眾多iOS應用。中國金融認證中心（CFCA）安全專家認為，金融行業一般都會采用縱深防御（defense in depth）的策略來應對安全威脅，因此該漏洞對于金融行業來說影響有限。

CFCA安全專家認為，這個漏洞主要是AFNetworking 低版本未開啟證書與域名的一致性校驗而導致的。這個漏洞被利用的條件，首先要求iOS設備連接到如釣魚WIFI等中間人攻擊設備，其次，要求攻擊者具備一張由可信CA頒發的證書。

基于此，CFCA安全專家認為，此漏洞對于金融行業來說影響有限，其因有二。一為，金融行業通常會采用縱深防御（defense in depth）的策略來應對安全威脅；二為，手機銀行客戶端通常使用加密技術對用于用戶身份認證與網銀支付的敏感數據進行了非對稱加密，敏感數據在通信傳輸過程中為不可讀的加密信息，只有在傳輸到銀行服務器后才會使用加密機進行解密。也就是說SSL管道內傳輸的用戶重要數據信息還有一重附加的加密措施對其進行保護。即使利用該漏洞對SSL通道進行攻擊，中間攻擊人也無法短時間內獲取用戶敏感信息的明文（即，密碼原文）。所以對于使用手機銀行的廣大用戶不必因為這個漏洞而過于恐慌。

同時對于這個漏洞，金融行業各機構也應該積極應對，盡快升級存在漏洞的APP中AFNetworking 至最新版本。

“總之對于這個漏洞，如果手機銀行用戶數據在進入網絡傳輸通道之前已經經過完善的敏感數據加密保護，那么敏感信息泄露的風險相對較低，積極升級修復漏洞即可。”CFCA安全專家如是說。