你的WiFi密碼正被悄然上傳，京東這款APP有安全隱患

資料圖

隨著資訊社會的高速發展， 各類智慧設備已經走入尋常百姓家。 只需要一款APP， 就能夠操控家中的智慧設備， 不可謂不方便。

但是， 如果有人告訴你， 你正在使用的這款APP會將你家的WiFi密碼上傳到對方的伺服器中， 你所使用的聯網智慧設備存在被人操控的風險， 你是否會擔心？

“京東微聯”擅自上傳使用者WiFi密碼

8月10日下午， 一篇題為《竊隱私， 傳明文， 京東劣舉挑戰網安法》的文章在網上傳播， 該文直指京東旗下一款名為“京東微聯”的智慧家居應用軟體在沒有明確告知使用者的前提下， 擅自將使用者輸入的個人WiFi密碼上傳至京東伺服器， 為使用者的網路安全埋下隱患。

在該文中， 還附帶有對“京東微聯”APP連接WiFi時的專業資料測試視頻和截圖。 經記者核實， 該文出自名為“嘶吼網”的網路安全媒體的技術團隊之手。

記者在“京東微聯”APP上調閱了《京東智慧雲使用者使用協定》，

第六條載明：“在初次添加某款智慧硬體設備的過程中， 您需為此設備提供WiFi環境接入所需的SSID以及密碼， 用於智慧硬體設備和WiFi環境的一鍵配置。 ”京東公司據此認為， 他們就上傳WiFi密碼等資訊向使用者進行了說明。

不過上海一家公司的網路安全專家宋巨集宇認為， 普通使用者在長篇累牘的使用協議中很難找到和讀懂這一說明， “提供”與“上傳”概念不同， 作為一名普通使用者無法確切知曉協議中“提供”的具體含義。 宋宏宇說， 一般而言， 使用者在上傳敏感資訊前， 系統應進行二次提示和確認， 如未加以確認， 相當於“悄悄”上傳了使用者WiFi密碼。 “京東微聯”缺乏這一環節， 因此WiFi密碼被上傳一事絕大多數用戶很可能是毫不知情的。

儘管“京東微聯”APP在《使用者使用協定》中承諾：“不會對原始資訊以及映射處理後的資訊進行任何遠端的存儲或修改， 也不會公開、轉讓、用於其他使用目的。 ”但網路安全人士認為， 使用者將WiFi密碼等敏感資訊上傳給伺服器， 本身就給自身資訊安全帶來一定隱患。

雖然WiFi密碼等敏感資訊是在HTTPS環境下上傳的， 外界很難截獲， 但是這一過程並非沒有風險。 劉曉光說， 一旦被駭客截獲， 他完全可以進入你的WiFi劫持連接入WiFi的智慧設備， “比如這些設備中包含網路攝像頭， 那麼駭客也有機會調閱攝像頭所拍攝的畫面。 ”

“京東微聯”為何獲取使用者WiFi資訊

為驗證劉曉光及其技術團隊的說法， 記者又聯繫了國內某知名互聯網安全企業，

對上述過程進行二次驗證。 在通過多種技術手段驗證後， 該企業的工程師團隊確認， “京東微聯”確實存在向京東伺服器上傳使用者WiFi密碼的行為。

該團隊工程師指出， “將使用者WiFi密碼上傳至自己的伺服器”這一步驟完全“多餘”， 因為即使是為了將家用智慧設備和WiFi進行關聯， 也僅需要在家庭局域網內進行即可， 沒必要“多此一舉”將使用者的WiFi密碼上傳至雲端。 “京東微聯”如此操作令人費解。

有業內人士將“京東微聯”的行為作了一個比喻：“我請了一個保姆來我家幹活， 結果這個保姆在未經我允許的情況下擅自去配了一把我家的鑰匙， 這樣的行為對我自身的安全肯定產生了影響。 ”

記者向京東公司求證， 對方認為，

將使用者WiFi資訊上傳至雲端僅出於配網技術需要。 京東技術人員回應稱：“京東微聯”真正做到跨品牌、跨品類智慧設備連接， 為使用者提供了良好的使用體驗；相比之下， 其他系統很可能只能操作單一的智慧硬體， 因此無需上傳WiFi密碼， “拿兩者做比較是不恰當的。 ”

專家觀點>>>

互聯網企業

應更好履行網路安全義務

前不久， 浙江省公安部門破獲了一起非法入侵居民“家庭攝像頭”的案件， 犯罪嫌疑人通過技術手段入侵了近萬個家庭攝像頭IP， 並將攝像頭所拍攝的內容在網上兜售。 此案一出， 輿論再次將視線聚焦到公民的資訊安全上來。

在此之前， “WiFi萬能鑰匙”擅自上傳使用者WiFi密碼的做法， 已飽受媒體和公眾質疑。 而此次京東擅自上傳使用者WiFi密碼的事件， 也引起了法律界和社會學界的專家關注。福建瀛坤律師事務所張翼騰律師認為，該行為涉嫌侵犯個人的私密領域，侵害個人隱私權，存在一定的安全隱患，有必要引起用戶注意。

根據2017年6月1日起施行的《中華人民共和國網路安全法》第四十一條規定：“網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊，不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人資訊。”

浙江省人民政府諮詢委員會委員、浙江省社會學學會會長楊建華則認為，即使企業提供的軟體是免費的，其仍應該遵循商業倫理，並採取二次提示等方式，明確向使用者告知上傳敏感資訊的行為，由使用者決定是否繼續使用該軟體。

楊建華表示，有關互聯網企業應該履行與其影響力相匹配的社會責任及網路安全義務，依法依規保障用戶和消費者的知情權，對於存在技術缺陷和安全隱患的產品，理應召回或改進。

目前，“京東微聯”正在為消除用戶顧慮而進行技術方案調整升級。（據新華社）

【編輯：田甜】

也引起了法律界和社會學界的專家關注。福建瀛坤律師事務所張翼騰律師認為，該行為涉嫌侵犯個人的私密領域，侵害個人隱私權，存在一定的安全隱患，有必要引起用戶注意。

根據2017年6月1日起施行的《中華人民共和國網路安全法》第四十一條規定：“網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊，不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人資訊。”

浙江省人民政府諮詢委員會委員、浙江省社會學學會會長楊建華則認為，即使企業提供的軟體是免費的，其仍應該遵循商業倫理，並採取二次提示等方式，明確向使用者告知上傳敏感資訊的行為，由使用者決定是否繼續使用該軟體。

楊建華表示，有關互聯網企業應該履行與其影響力相匹配的社會責任及網路安全義務，依法依規保障用戶和消費者的知情權，對於存在技術缺陷和安全隱患的產品，理應召回或改進。

目前，“京東微聯”正在為消除用戶顧慮而進行技術方案調整升級。（據新華社）

【編輯：田甜】