美國應(yīng)用分析服務(wù)公司SourceDNA周一發(fā)布報(bào)告稱，1500項(xiàng)iOS應(yīng)用存在“HTTPS-crippling”的漏洞，并提及“Alibaba.com” 移動應(yīng)用 (阿里巴巴海外B2B業(yè)務(wù))，阿里巴巴移動安全團(tuán)隊(duì)第一時(shí)間進(jìn)行了風(fēng)險(xiǎn)確認(rèn)，“Alibaba.com” 移動應(yīng)用早已使用了自有證書強(qiáng)校驗(yàn)措施，因此不會受到本次爆出問題的SDK以及其他第三方SDK影響，沒有用戶信息泄漏風(fēng)險(xiǎn)。

此外，根據(jù)這次漏洞的實(shí)現(xiàn)原理，如果有黑客想利用本次爆出的HTTPS-crippling漏洞攻擊證書強(qiáng)校驗(yàn)的應(yīng)用，必須在每臺手機(jī)上手工安裝證書，才能發(fā)起攻擊，在實(shí)際場景中幾乎無法實(shí)現(xiàn)，屬于低危漏洞，廣大用戶無需過多擔(dān)心。 

阿里巴巴非常重視用戶信息保護(hù)，對用戶信息、交易數(shù)據(jù)、訂單信息等高度敏感的業(yè)務(wù)數(shù)據(jù)，使用了業(yè)界安全最佳實(shí)踐，不斷升級加密算法，數(shù)據(jù)傳輸過程中使用了先進(jìn)的加簽加密措施，確保用戶信息安全無虞。

 隨著移動互聯(lián)網(wǎng)的不斷發(fā)展，阿里巴巴成立了專門的移動安全部門，擁有多位頂級安全專家，自主開發(fā)了“聚安全”平臺，為阿里的移動業(yè)務(wù)全程保駕護(hù)航，針對所有阿里系的移動應(yīng)用提供實(shí)時(shí)檢測和全面監(jiān)控，能夠第一時(shí)間發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞和惡意代碼并全量修復(fù)，并且運(yùn)用自研的安全加固和安全組件SDK等功能，對阿里系A(chǔ)PP代碼進(jìn)行安全提升，防止其被黑客攻擊。APP傳輸?shù)暮诵男畔⒁步?jīng)過多層加密，無法在阿里以外的渠道進(jìn)行解密。

移動互聯(lián)網(wǎng)安全需要全社會共同努力，因此阿里巴巴也已將自主開發(fā)的“聚安全”平臺向業(yè)界和開發(fā)者免費(fèi)開放，為更多移動APP提供全鏈路的安全服務(wù)。http://jaq.alibaba.com/