美国应用分析服务公司SourceDNA周一发布报告称,1500项iOS应用存在“HTTPS-crippling”的漏洞,并提及“Alibaba.com” 移动应用 (阿里巴巴海外B2B业务),阿里巴巴移动安全团队第一时间进行了风险确认,“Alibaba.com” 移动应用早已使用了自有证书强校验措施,因此不会受到本次爆出问题的SDK以及其他第三方SDK影响,没有用户信息泄漏风险。
此外,根据这次漏洞的实现原理,如果有黑客想利用本次爆出的HTTPS-crippling漏洞攻击证书强校验的应用,必须在每台手机上手工安装证书,才能发起攻击,在实际场景中几乎无法实现,属于低危漏洞,广大用户无需过多担心。
阿里巴巴非常重视用户信息保护,对用户信息、交易数据、订单信息等高度敏感的业务数据,使用了业界安全最佳实践,不断升级加密算法,数据传输过程中使用了先进的加签加密措施,确保用户信息安全无虞。
随着移动互联网的不断发展,阿里巴巴成立了专门的移动安全部门,拥有多位顶级安全专家,自主开发了“聚安全”平台,为阿里的移动业务全程保驾护航,针对所有阿里系的移动应用提供实时检测和全面监控,能够第一时间发现风险漏洞和恶意代码并全量修复,并且运用自研的安全加固和安全组件SDK等功能,对阿里系APP代码进行安全提升,防止其被黑客攻击。APP传输的核心信息也经过多层加密,无法在阿里以外的渠道进行解密。
移动互联网安全需要全社会共同努力,因此阿里巴巴也已将自主开发的“聚安全”平台向业界和开发者免费开放,为更多移动APP提供全链路的安全服务。http://jaq.alibaba.com/