对于OpenSSL的漏洞,有传言称即便是银行网上支付、U盾、银联支付也都并不安全。不过,业内人士昨天向记者坦言,该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。
中国金融认证中心应用开发部总经理林峰表示,OpenSSL的这个漏洞是由于代码实现不严谨造成的。这个漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本,所以可以窃取到内存中的数据。
“如果银行使用了带有该漏洞的OpenSSL开源软件版本,会有一定的影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密保护,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”
林峰还表示,其实这个OpenSSL的漏洞和U盾的安全性没有什么联系,因为用户的交易敏感信息是通过USB接口送入U盾后,在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响。
此外,中国银联相关负责人昨天也回应称,银联核心跨行交易系统运营基于专用网络,与漏洞事件无关。该负责人称,“银联在线支付”等基于互联网的创新业务系统并未使用OpenSSL技术,对于个别外围供应商可能存在的OpenSSL漏洞,银联已通过主动排查,在乌云网等技术人士公开漏洞事件前就已协调供应商消除了隐患,持卡人可以放心使用。
微软百度称未受影响
昨天,微软中国方面向记者回应称,没有任何微软产品受到此漏洞的影响。OpenSSL是开源用以实现SSL协议的产品,微软并没有在旗下产品和服务中使用此开源的解决方案。据悉,多数商业公司使用的SSL加密都是付费的,与本次暴露出漏洞的OpenSSL关系不大。
百度方面也表示,百度钱包不受影响。
电商当当网表示,当当网固有的账户体系非常安全,消费者可放心购物。
盛大方面表示,盛大通行证的认证主要是通过硬件加密等方式来使用https协议,目前已经和供应商确认过,一方面所使用的OpenSSL版本不是会受影响,另一方面针对有可能出现的安全隐患,已在第一时间通过升级进行了处理。
阿里京东回应已修复
昨天早上,此次漏洞事件引发最多泄密担忧的阿里系急忙表示漏洞已经修复。阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。其中淘宝方面还透露,从目前监控的情况来看,未发现账户异常。
京东则表示,已于昨天完成了修补处理,避免了这次漏洞的侵袭。
腾讯昨天早上也发声明称,腾讯已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕。
网易邮箱方面告诉记者,乌云报告提到的网易邮箱OpenSSL漏洞,经过网易邮箱查证,所列域名都是指向了CDN(内容分发网络)服务,收到报告后网易邮箱第一时间反馈给CDN服务商,当晚已经修复。
此外,全球互联网巨头雅虎、谷歌和Facebook也纷纷表示已修复漏洞。谷歌表示:“我们已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁。”
谁能利用“心脏出血”漏洞?
“对于了解这项漏洞的人,要对其加以利用并不困难。”普林斯顿大学计算机科学家菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。