686
京東上傳用戶WiFi密碼?踩雷網絡安全
原標題:京東這款app被爆會悄悄上傳你的Wi-Fi密碼,京東深夜回應
人們越來越注重個人網絡隱私安全的今天,還是有些企業鋌而走險。京東又踩上了這顆隨時引爆的雷。根據新華社的報道,京東旗下一款名為“京東微聯”的智能家居app在沒有明確告知用戶的前提下,擅自將用戶輸入的個人Wi-Fi密碼上傳至京東服務器,經新華社調查發現,此行為屬實,並跟兩個安全團隊一起驗證了這一事實。同時也驗證了一句話:不作死就不會死。鑒於原文較長,虎嗅在不影響閱讀體驗的情況下進行了精簡。
根據新華社的報道,8月10日下午,一篇題為《竊隱私,傳明文,京東劣舉挑戰網安法》的文章在網上傳播,該文直指京東旗下一款名為“京東微聯”的智能家居應用軟件在沒有明確告知用戶的前提下,擅自將用戶輸入的個人WiFi密碼上傳至京東服務器,為用戶的網絡安全埋下隱患。
在該文中,還附帶有對“京東微聯”APP連接WiFi時的專業數據測試視頻和截圖。經記者核實,該文出自名為“嘶吼網”的網絡安全媒體的技術團隊之手。
據團隊成員劉曉光(化名)介紹,他們在知乎上留意到相關內容,並於9日晚間和10日上午前後兩次進行了安全性測試,結果顯示該APP確實存在向京東服務器上傳用戶WiFi密碼的行為。
雖然WiFi密碼等敏感信息是在HTTPS環境下上傳的,外界很難截獲,但是這一過程並非沒有風險。劉曉光說,一旦被黑客截獲,他完全可以進入你的WiFi劫持連接入WiFi的智能設備,“比如這些設備中包含網絡攝像頭,那麼黑客也有機會調閱攝像頭所拍攝的畫麵。”
就此問題記者專門函詢了北京京東世紀貿易有限公司,京東技術團隊回應稱,“雖然黑客對HTTPS傳輸通道的劫持是比較困難的,但微聯未來會對敏感信息進行二次加密。”
為驗證劉曉光及其技術團隊的說法,記者又聯係了國內某知名互聯網安全企業,對上述過程進行二次驗證。在通過多種技術手段驗證後,該企業的工程師團隊確認,“京東微聯”確實存在向京東服務器上傳用戶WiFi密碼的行為。
該團隊的一名工程師指出,“將用戶的WiFi密碼上傳至自己的服務器”這一步驟完全是“多餘”的,因為即使是為了將家用智能設備和WiFi進行關聯,也僅需要在家庭局域網內進行即可,沒必要“多此一舉”將用戶的WiFi密碼上傳至雲端。“京東微聯”如此操作令人費解。
有業內人士將“京東微聯”的行為作了一個比喻:“我請了一個保姆來我家幹活,結果這個保姆在未經我允許的情況下擅自去配了一把我家的鑰匙,這樣的行為對我自身的安全肯定產生了影響。”
據劉曉光的技術團隊介紹,除“京東微聯”APP外,他們還測試了幾款智能設備的操控軟件,均沒有發現將用戶WiFi密碼上傳的行為。
記者為此向京東公司求證,對方認為,將用戶WiFi信息上傳至雲端僅是出於配網的技術需要。京東方麵的技術人員回應稱:“京東微聯”真正做到了跨品牌、跨品類智能設備的連接,為用戶提供了良好的使用體驗;相比之下,其他係統很可能隻能操作單一的智能硬件,因此無需上傳WiFi密碼,“拿兩者做比較是不恰當的。”
采訪中京東公司並未明確,2016年下半年以後,是出廠的智能設備無需上傳WiFi密碼,還是該款軟件不再上傳WiFi密碼。在記者采訪調查期間,兩支網絡安全工程師團隊隨機選擇了多款不同時期出廠的智能硬件設備進行測試,發現“京東微聯”APP在連接部分智能設備時,仍然存在上傳WiFi信息的情況。
福建瀛坤律師事務所張翼騰律師認為,該行為涉嫌侵犯個人的私密領域,侵害個人隱私權,存在一定的安全隱患,有必要引起用戶注意。
就在8月12日晚23:00,京東在官方微信公眾號“京東黑板報”針對新華社的報道進行了回應,如下:
今日有媒體報道稱京東微聯(京東智能硬件互聯互通平台)會上傳用戶的Wi-Fi信息並存儲在雲端。針對此報道,京東微聯聲明,對於2016年下半年前的智能設備,為了保證無線網配網的統一性,微聯會通過HTTPS安全協議上傳Wi-Fi信息,隻進行必要的設備配網技術流程,不會在雲端保存;2016年下半年後的設備不存在數據上傳情況;無論新老設備,通過微聯實現互聯互通都不會導致用戶信息泄露,請用戶放心。
具體聲明如下:
1. 2016年上半年之前的微聯設備為了適配不同廠商芯片及模塊的配網通訊方案,在匹配時會通過HTTPS(超文本傳輸安全協議)加密的方式上傳Wi-Fi相關信息至雲端完成編碼,再回傳到設備端完成配網流程,數據不但經過了加密,而且服務端不會存儲任何Wi-Fi相關信息。
2. 京東微聯在用戶協議的第六條第二款中說明了:“在初次添加某款智能硬件設備的過程中,您需為此設備提供Wi-Fi環境接入所需的SSID以及密碼,用於智能硬件設備和Wi-Fi環境的一鍵配置;我們會對這些信息,進行映射處理,但不會對原始信息以及映射處理後的信息進行任何遠端的存儲或修改,也不會公開、轉讓、用於其他使用目的。”京東一直遵守該承諾,絕不會存儲、修改或傳播這些信息。
3. 為了統一配網過程,並提高配網成功率,自2016年下半年起,新接入的微聯設備已經全部采用了微聯自研的全新配網技術,實現了本地配網,已經不需要上傳任何Wi-Fi信息。
4. 相關文章中談到技術專家可以檢測微聯APP上傳Wi-Fi信息,是通過“劫持”自己手機的特殊技術設定實現的;在手機沒有被劫持的情況下,第三方不能通過監聽HTTPS的方式得到數據明文。
5. 京東一直從技術和流程等方麵盡全力保護用戶信息,無論新老設備,通過微聯實現互聯互通都不會導致您的信息泄露。
6. 京東非常重視用戶的信息安全和媒體監督,考慮到用戶的手機可能被惡意劫持,雖然對HTTPS的劫持是比較困難的操作,但微聯仍然將會對敏感信息進行二次加密;同時,微聯會堅定、全麵推進微聯自研配網協議的普及工作,新接入產品不再需要往雲端發送用戶Wi-Fi信息,統一用戶體驗,提高配網成功率,並消除用戶的困擾。
最後更新:2017-08-20 00:58:35