警 惕!京東這款APP悄悄上傳你的WiFi密碼,絕大多 數人不知道
隨著資訊社會的高速發展,各類智慧設備已經走入尋常百姓家。
但是,如果有人告訴你,你正在使用的這款APP會將你家的WiFi密碼上傳到對方的伺服器中,你所使用的聯網智慧設備存在被人操控的風險,你是否會擔心?
1
你的WiFi密碼正被悄然上傳
8月10日下午,
在該文中,還附帶有對“京東微聯”APP連接WiFi時的專業資料測試視頻和截圖。經記者核實,該文出自名為“嘶吼網”的網路安全媒體的技術團隊之手。
據團隊成員劉曉光(化名)介紹,他們在知乎上留意到相關內容,並於9日晚間和10日上午前後兩次進行了安全性測試,結果顯示該APP確實存在向京東伺服器上傳使用者WiFi密碼的行為。
記者在“京東微聯”APP上調閱了《京東智慧雲使用者使用協定》,
不過上海一家公司的網路安全專家宋巨集宇認為,
普通用戶在長篇累牘的使用協定中很難找到和讀懂這一說明,“提供”與“上傳”概念不同,作為一名普通使用者無法確切知曉協議中“提供”的具體含義。
一般而言,使用者在上傳敏感資訊前,系統應進行二次提示和確認,如未加以確認,相當於“悄悄”上傳了使用者WiFi密碼。
“京東微聯”缺乏這一環節,因此WiFi密碼被上傳一事絕大多數用戶很可能是毫不知情的。
儘管“京東微聯”APP在《使用者使用協定》中承諾:“不會對原始資訊以及映射處理後的資訊進行任何遠端的存儲或修改,也不會公開、轉讓、用於其他使用目的。
雖然WiFi密碼等敏感資訊是在HTTPS環境下上傳的,外界很難截獲,但是這一過程並非沒有風險。劉曉光說,一旦被駭客截獲,他完全可以進入你的WiFi劫持連接入WiFi的智慧設備,“比如這些設備中包含網路攝像頭,那麼駭客也有機會調閱攝像頭所拍攝的畫面。”
就此問題記者專門函詢了北京京東世紀貿易有限公司,京東技術團隊回應稱,“雖然駭客對HTTPS傳輸通道的劫持是比較困難的,但微聯未來會對敏感資訊進行二次加密。”
2
為什麼“京東微聯”要獲取
使用者的WiFi資訊?
為驗證劉曉光及其技術團隊的說法,記者又聯繫了國內某知名互聯網安全企業,對上述過程進行二次驗證。在通過多種技術手段驗證後,該企業的工程師團隊確認,“京東微聯”確實存在向京東伺服器上傳使用者WiFi密碼的行為。
該團隊的一名工程師指出,“將使用者的WiFi密碼上傳至自己的伺服器”這一步驟完全是“多餘”的,因為即使是為了將家用智慧設備和WiFi進行關聯,也僅需要在家庭局域網內進行即可,沒必要“多此一舉”將使用者的WiFi密碼上傳至雲端。“京東微聯”如此操作令人費解。
有業內人士將“京東微聯”的行為作了一個比喻:“我請了一個保姆來我家幹活,結果這個保姆在未經我允許的情況下擅自去配了一把我家的鑰匙,這樣的行為對我自身的安全肯定產生了影響。”
據劉曉光的技術團隊介紹,除“京東微聯”APP外,他們還測試了幾款智慧設備的操控軟體,均沒有發現將使用者WiFi密碼上傳的行為。
記者為此向京東公司求證,對方認為,將使用者WiFi資訊上傳至雲端僅是出於配網的技術需要。京東方面的技術人員回應稱:“京東微聯”真正做到了跨品牌、跨品類智慧設備的連接,為使用者提供了良好的使用體驗;相比之下,其他系統很可能只能操作單一的智慧硬體,因此無需上傳WiFi密碼,“拿兩者做比較是不恰當的。”
事實上,“京東微聯”已改變這種配網方式。京東公司在函詢中稱,他們自2016年下半年開始自研配網方案,該方案僅需在家庭局域網內就能關聯智慧設備,無須再將WiFi資訊發送至雲端。此外京東方面還表示,他們將儘快完成系統升級,爭取實現全部設備的本地配網。
採訪中京東公司並未明確,2016年下半年以後,是出廠的智慧設備無需上傳WiFi密碼,還是該款軟體不再上傳WiFi密碼。在記者採訪調查期間,兩支網路安全工程師團隊隨機選擇了多款不同時期出廠的智慧硬體設備進行測試,發現“京東微聯”APP在連接部分智慧設備時,仍然存在上傳WiFi資訊的情況。
3
專家觀點:互聯網企業應更好履行網路安全義務
前不久,浙江省公安部門破獲了一起非法入侵居民“家庭攝像頭”的案件,犯罪嫌疑人通過技術手段入侵了近萬個家庭攝像頭IP,並將攝像頭所拍攝的內容在網上兜售。此案一出,輿論再次將視線聚焦到公民的資訊安全上來。
在此之前,“WiFi萬能鑰匙”擅自上傳使用者WiFi密碼的做法,已飽受媒體和公眾質疑。而此次京東擅自上傳使用者WiFi密碼的事件,也引起了法律界和社會學界的專家關注。福建瀛坤律師事務所張翼騰律師認為,該行為涉嫌侵犯個人的私密領域,侵害個人隱私權,存在一定的安全隱患,有必要引起用戶注意。
根據2017年6月1日起施行的《中華人民共和國網路安全法》第四十一條規定:“網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人資訊。”
浙江省人民政府諮詢委員會委員、浙江省社會學學會會長楊建華則認為,即使企業提供的軟體是免費的,其仍應該遵循商業倫理,並採取二次提示等方式,明確向使用者告知上傳敏感資訊的行為,由使用者決定是否繼續使用該軟體。
楊建華表示,有關互聯網企業應該履行與其影響力相匹配的社會責任及網路安全義務,依法依規保障用戶和消費者的知情權,對於存在技術缺陷和安全隱患的產品,理應召回或改進。
目前,“京東微聯”正在為消除用戶顧慮而進行技術方案調整升級。
京東技術團隊回應稱,“雖然駭客對HTTPS傳輸通道的劫持是比較困難的,但微聯未來會對敏感資訊進行二次加密。”2
為什麼“京東微聯”要獲取
使用者的WiFi資訊?
為驗證劉曉光及其技術團隊的說法,記者又聯繫了國內某知名互聯網安全企業,對上述過程進行二次驗證。在通過多種技術手段驗證後,該企業的工程師團隊確認,“京東微聯”確實存在向京東伺服器上傳使用者WiFi密碼的行為。
該團隊的一名工程師指出,“將使用者的WiFi密碼上傳至自己的伺服器”這一步驟完全是“多餘”的,因為即使是為了將家用智慧設備和WiFi進行關聯,也僅需要在家庭局域網內進行即可,沒必要“多此一舉”將使用者的WiFi密碼上傳至雲端。“京東微聯”如此操作令人費解。
有業內人士將“京東微聯”的行為作了一個比喻:“我請了一個保姆來我家幹活,結果這個保姆在未經我允許的情況下擅自去配了一把我家的鑰匙,這樣的行為對我自身的安全肯定產生了影響。”
據劉曉光的技術團隊介紹,除“京東微聯”APP外,他們還測試了幾款智慧設備的操控軟體,均沒有發現將使用者WiFi密碼上傳的行為。
記者為此向京東公司求證,對方認為,將使用者WiFi資訊上傳至雲端僅是出於配網的技術需要。京東方面的技術人員回應稱:“京東微聯”真正做到了跨品牌、跨品類智慧設備的連接,為使用者提供了良好的使用體驗;相比之下,其他系統很可能只能操作單一的智慧硬體,因此無需上傳WiFi密碼,“拿兩者做比較是不恰當的。”
事實上,“京東微聯”已改變這種配網方式。京東公司在函詢中稱,他們自2016年下半年開始自研配網方案,該方案僅需在家庭局域網內就能關聯智慧設備,無須再將WiFi資訊發送至雲端。此外京東方面還表示,他們將儘快完成系統升級,爭取實現全部設備的本地配網。
採訪中京東公司並未明確,2016年下半年以後,是出廠的智慧設備無需上傳WiFi密碼,還是該款軟體不再上傳WiFi密碼。在記者採訪調查期間,兩支網路安全工程師團隊隨機選擇了多款不同時期出廠的智慧硬體設備進行測試,發現“京東微聯”APP在連接部分智慧設備時,仍然存在上傳WiFi資訊的情況。
3
專家觀點:互聯網企業應更好履行網路安全義務
前不久,浙江省公安部門破獲了一起非法入侵居民“家庭攝像頭”的案件,犯罪嫌疑人通過技術手段入侵了近萬個家庭攝像頭IP,並將攝像頭所拍攝的內容在網上兜售。此案一出,輿論再次將視線聚焦到公民的資訊安全上來。
在此之前,“WiFi萬能鑰匙”擅自上傳使用者WiFi密碼的做法,已飽受媒體和公眾質疑。而此次京東擅自上傳使用者WiFi密碼的事件,也引起了法律界和社會學界的專家關注。福建瀛坤律師事務所張翼騰律師認為,該行為涉嫌侵犯個人的私密領域,侵害個人隱私權,存在一定的安全隱患,有必要引起用戶注意。
根據2017年6月1日起施行的《中華人民共和國網路安全法》第四十一條規定:“網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人資訊。”
浙江省人民政府諮詢委員會委員、浙江省社會學學會會長楊建華則認為,即使企業提供的軟體是免費的,其仍應該遵循商業倫理,並採取二次提示等方式,明確向使用者告知上傳敏感資訊的行為,由使用者決定是否繼續使用該軟體。
楊建華表示,有關互聯網企業應該履行與其影響力相匹配的社會責任及網路安全義務,依法依規保障用戶和消費者的知情權,對於存在技術缺陷和安全隱患的產品,理應召回或改進。
目前,“京東微聯”正在為消除用戶顧慮而進行技術方案調整升級。