随着信息社会的快速发展,各类智能设备已经走进寻常百姓家。 只需要一个APP就可以控制家里的智能设备,并不方便。
然而,如果有人告诉你,你正在使用的APP会将你家的WiFi密码上传到对方的服务器,并且你正在使用的联网智能设备存在被操纵的风险,你会担心吗?
您的 WiFi 密码正在悄悄上传...
8月10日下午,一篇题为《窃取隐私、传输明文,京东挑战网络安全法》的文章在网络流传。 文章针对的是京东旗下一款名为“京东微联”的智能家居应用,该软件在未明确告知用户的情况下,擅自将用户输入的个人WiFi密码上传至京东的服务器,对用户造成安全隐患。用户的网络安全。
文章还附有“京东微联”APP连接WiFi时的专业数据测试视频和截图。 经记者核实,该文章系一家名为“Shout.com”的网络安全媒体技术团队撰写。
“京东微联”APP宣传图
“京东微联”为何要获取用户的WiFi信息?
为了验证刘晓光及其技术团队的说法,记者联系了国内一家知名互联网安全公司,对上述流程进行了二次验证。 经过多种技术手段核实,该公司工程团队确认“京东微联”确实将用户的WiFi密码上传至京东服务器。
团队的一位工程师指出,“将用户的WiFi密码上传到自己的服务器”这一步完全是“多余”,因为即使要将家庭智能设备与WiFi关联起来,也只需要在家庭局域网内即可。 说做就做,无需将用户的WiFi密码上传至云端,这是一个“不必要的步骤”。 “京东威廉姆斯”的这种运作方式令人费解。
有业内人士对比“京东威廉姆斯”的行为:“我雇了保姆到我家上班,但保姆未经我允许就给我家配了一把钥匙,这种行为肯定对我自身的安全造成了影响。”
据刘晓光的技术团队介绍,除了“京东微联”APP外,他们还测试了多款智能设备的控制软件,没有发现上传用户WiFi密码的行为。
记者向京东求证。 对方认为,将用户WiFi信息上传至云端只是出于网络分发的技术需要。 京东技术人员回应:“京东微联”真正连接了跨品牌、跨品类的智能设备,为用户提供了良好的用户体验; 相比之下,其他系统可能只能操作单个智能设备。 硬件,因此无需上传WiFi密码。 “将两者进行比较是不合适的。”
事实上,“京东微联”改变了这种网络分销方式。 京东在信中表示,他们在2016年下半年开始开发自主研发的网络分发解决方案。该解决方案只需要能够关联家庭局域网内的智能设备,而不需要向家庭发送WiFi信息。云端。 此外,京东还表示,将尽快完成系统升级,力争实现所有设备本地配送。
采访中,京东并未明确说明2016年下半年之后出厂的智能设备是否不需要上传WiFi密码,或者软件是否将不再上传WiFi密码。 记者采访调查时,两队网络安全工程师随机选取了多款不同时期生产的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时仍然上传WiFi信息。
专家观点:互联网企业应更好履行网络安全义务
不久前,浙江省公安厅破获一起非法侵入居民“家庭摄像头”案件。 犯罪嫌疑人利用技术手段侵入近万个家庭摄像头IP测试软件,并将摄像头拍摄的内容在网上出售。 此案一出,舆论再次聚焦公民信息安全。
此前,“WiFi万能钥匙”未经授权上传用户WiFi密码的做法曾受到媒体和公众的质疑。 京东擅自上传用户WiFi密码的事件也引起了法律界和社会学界专家的关注。 福建盈坤律师事务所张毅腾律师认为,这种行为涉嫌侵犯个人隐私和个人隐私权,且存在一定的安全风险,需要引起用户注意。
根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,并公开收集的情况。明确收集、使用信息的目的、方式和范围,并取得被收集人的同意。网络运营者不得收集与其提供的服务无关的个人信息,不得收集、使用信息。违反法律、行政法规的规定和双方约定使用个人信息的测试软件,应当按照法律、行政法规的规定以及与用户的协议处理其保留的个人信息。”
浙江省人民政府咨询委员会委员、浙江省社会学会会长杨建华认为,即使企业提供的软件是免费的,仍应遵循商业道德,采用二次提示等方式明确告知用户上传敏感信息。 行为,由用户决定是否继续使用该软件。
杨建华表示,相关互联网企业应履行与其影响力相称的社会责任和网络安全义务,依法依规保护用户和消费者的知情权,对存在技术缺陷和安全隐患的产品应进行召回或改进。 。
目前,“京东微联”正在调整升级技术方案,消除用户顾虑。
