新華社調查:京東旗下APP悄悄上傳用戶WiFi密碼
2017年08月12日20:41

  新華社廈門8月12日電 題:“京東微聯”:為何要“悄悄”上傳我家的WiFi密碼?

  新華社“中國網事”記者顏之宏 王炳坤

  隨著信息社會的高速發展,各類智能設備已經走入尋常百姓家。只需要一款APP,就能夠操控家中的智能設備,不可謂不方便。

  但是,如果有人告訴你,你正在使用的這款APP會將你家的WiFi密碼上傳到對方的服務器中,你所使用的聯網智能設備存在被人操控的風險,你是否會擔心?

  你的WiFi密碼正被悄然上傳

  8月10日下午,一篇題為《竊隱私,傳明文,京東劣舉挑戰網安法》的文章在網上傳播,該文直指京東旗下一款名為“京東微聯”的智能家居應用軟件在沒有明確告知用戶的前提下,擅自將用戶輸入的個人WiFi密碼上傳至京東服務器,為用戶的網絡安全埋下隱患。

  在該文中,還附帶有對“京東微聯”APP連接WiFi時的專業數據測試視頻和截圖。經記者核實,該文出自名為“嘶吼網”的網絡安全媒體的技術團隊之手。

  據團隊成員劉曉光(化名)介紹,他們在知乎上留意到相關內容,並於9日晚間和10日上午前後兩次進行了安全性測試,結果顯示該APP確實存在向京東服務器上傳用戶WiFi密碼的行為。

  記者在“京東微聯”APP上調閱了《京東智能雲用戶使用協議》,第六條載明:“在初次添加某款智能硬件設備的過程中,您需為此設備提供WiFi環境接入所需的SSID以及密碼,用於智能硬件設備和WiFi環境的一鍵配置。”京東公司據此認為,他們就上傳WiFi密碼等信息向用戶進行了說明。

  不過上海一家公司的網絡安全專家宋宏宇認為,普通用戶在長篇累牘的使用協議中很難找到和讀懂這一說明,“提供”與“上傳”概念不同,作為一名普通用戶無法確切知曉協議中“提供”的具體含義。宋宏宇說,一般而言,用戶在上傳敏感信息前,系統應進行二次提示和確認,如未加以確認,相當於“悄悄”上傳了用戶WiFi密碼。“京東微聯”缺乏這一環節,因此WiFi密碼被上傳一事絕大多數用戶很可能是毫不知情的。

  儘管“京東微聯”APP在《用戶使用協議》中承諾:“不會對原始信息以及映射處理後的信息進行任何遠端的存儲或修改,也不會公開、轉讓、用於其他使用目的。”但網絡安全人士認為,用戶將WiFi密碼等敏感信息上傳給服務器,本身就給自身信息安全帶來一定隱患。

  雖然WiFi密碼等敏感信息是在HTTPS環境下上傳的,外界很難截獲,但是這一過程並非沒有風險。劉曉光說,一旦被黑客截獲,他完全可以進入你的WiFi劫持連接入WiFi的智能設備,“比如這些設備中包含網絡攝像頭,那麼黑客也有機會調閱攝像頭所拍攝的畫面。”

  就此問題記者專門函詢了北京京東世紀貿易有限公司,京東技術團隊回應稱,“雖然黑客對HTTPS傳輸通道的劫持是比較困難的,但微聯未來會對敏感信息進行二次加密。”

  為什麼“京東微聯”要獲取用戶的WiFi信息?

  為驗證劉曉光及其技術團隊的說法,記者又聯繫了國內某知名互聯網安全企業,對上述過程進行二次驗證。在通過多種技術手段驗證後,該企業的工程師團隊確認,“京東微聯”確實存在向京東服務器上傳用戶WiFi密碼的行為。

  該團隊的一名工程師指出,“將用戶的WiFi密碼上傳至自己的服務器”這一步驟完全是“多餘”的,因為即使是為了將家用智能設備和WiFi進行關聯,也僅需要在家庭局域網內進行即可,沒必要“多此一舉”將用戶的WiFi密碼上傳至雲端。“京東微聯”如此操作令人費解。

  有業內人士將“京東微聯”的行為作了一個比喻:“我請了一個保姆來我家幹活,結果這個保姆在未經我允許的情況下擅自去配了一把我家的鑰匙,這樣的行為對我自身的安全肯定產生了影響。”

  據劉曉光的技術團隊介紹,除“京東微聯”APP外,他們還測試了幾款智能設備的操控軟件,均沒有發現將用戶WiFi密碼上傳的行為。

  記者為此向京東公司求證,對方認為,將用戶WiFi信息上傳至雲端僅是出於配網的技術需要。京東方面的技術人員回應稱:“京東微聯”真正做到了跨品牌、跨品類智能設備的連接,為用戶提供了良好的使用體驗;相比之下,其他系統很可能只能操作單一的智能硬件,因此無需上傳WiFi密碼,“拿兩者做比較是不恰當的。”

  事實上,“京東微聯”已改變這種配網方式。京東公司在函詢中稱,他們自2016年下半年開始自研配網方案,該方案僅需在家庭局域網內就能關聯智能設備,無須再將WiFi信息發送至雲端。此外京東方面還表示,他們將盡快完成系統升級,爭取實現全部設備的本地配網。

  採訪中京東公司並未明確,2016年下半年以後,是出廠的智能設備無需上傳WiFi密碼,還是該款軟件不再上傳WiFi密碼。在記者採訪調查期間,兩支網絡安全工程師團隊隨機選擇了多款不同時期出廠的智能硬件設備進行測試,發現“京東微聯”APP在連接部分智能設備時,仍然存在上傳WiFi信息的情況。“京東微聯”如此操作,還是令人費解。

  專家觀點:互聯網企業應更好履行網絡安全義務

  前不久,浙江省公安部門破獲了一起非法入侵居民“家庭攝像頭”的案件,犯罪嫌疑人通過技術手段入侵了近萬個家庭攝像頭IP,並將攝像頭所拍攝的內容在網上兜售。此案一出,輿論再次將視線聚焦到公民的信息安全上來。

  在此之前,“WiFi萬能鑰匙”擅自上傳用戶WiFi密碼的做法,已飽受媒體和公眾質疑。而此次京東擅自上傳用戶WiFi密碼的事件,也引起了法律界和社會學界的專家關注。福建瀛坤律師事務所張翼騰律師認為,該行為涉嫌侵犯個人的私密領域,侵害個人隱私權,存在一定的安全隱患,有必要引起用戶注意。

  根據2017年6月1日起施行的《中華人民共和國網絡安全法》第四十一條規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。”

  浙江省人民政府諮詢委員會委員、浙江省社會學學會會長楊建華則認為,即使企業提供的軟件是免費的,其仍應該遵循商業倫理,並採取二次提示等方式,明確向用戶告知上傳敏感信息的行為,由用戶決定是否繼續使用該軟件。

  楊建華表示,有關互聯網企業應該履行與其影響力相匹配的社會責任及網絡安全義務,依法依規保障用戶和消費者的知情權,對於存在技術缺陷和安全隱患的產品,理應召回或改進。

  目前,“京東微聯”正在為消除用戶顧慮而進行技術方案調整升級。

關注我們Facebook專頁
    相關新聞
      更多瀏覽