随着信息社会的快速发展,各类智能设备已经走进寻常百姓家。 只需要一个APP就可以控制家里的智能设备,并不方便。
然而,如果有人告诉你,你正在使用的APP会将你家的WiFi密码上传到对方的服务器,并且你正在使用的联网智能设备存在被操纵的风险,你会担心吗?
您的 WiFi 密码正在悄悄上传
8月10日下午,一篇题为《窃取隐私、传输明文,京东挑战网络安全法》的文章在网络流传。 文章针对的是京东旗下一款名为“京东微联”的智能家居应用,该软件在未明确告知用户的情况下,擅自将用户输入的个人WiFi密码上传至京东的服务器,对用户造成安全隐患。用户的网络安全。
文章还附有“京东微联”APP连接WiFi时的专业数据测试视频和截图。 经记者核实,该文章系一家名为“Shout.com”的网络安全媒体技术团队撰写。
据团队成员刘晓光(化名)介绍,他们注意到知乎上的相关内容测试软件,并于9日晚和10日上午两次进行了安全测试。 结果显示,该APP确实将用户WiFi密码上传至京东服务器。 的行为.
记者在“京东微联”APP上阅读了《京东智能云用户协议》。 第六条规定:“在首次添加某个智能硬件设备的过程中,需要为该设备提供WiFi环境接入。所需的SSID和密码用于一键配置智能硬件设备和WiFi环境”。 京东认为,他们已经向用户解释了上传WiFi密码等信息的情况。
不过,上海某公司网络安全专家宋宏宇认为,
普通用户很难在冗长的使用协议中找到并理解这一解释。 “提供”和“上传”的概念是不同的。 作为普通用户,不可能了解协议中“提供”的具体含义。
一般来说,用户上传敏感信息之前,系统应该进行两次提示和确认。 不确认就相当于“悄悄”上传用户的WiFi密码。
“京东微联”缺少这个链接,因此绝大多数用户很可能不知道WiFi密码已被上传。
虽然“京东微联”APP在《用户协议》中承诺:“原始信息及映射信息不会被远程存储或修改,也不会被披露、转让或用于其他目的。”但是,网络安全专家认为,用户将WiFi密码等敏感信息上传至服务器本身,给自身信息安全带来一定隐患。
虽然WiFi密码等敏感信息是在HTTPS下上传的,外界很难拦截,但这个过程并非没有风险。 刘晓光表示,一旦被黑客拦截,他完全可以进入你的WiFi,劫持连接WiFi的智能设备。 “例如,如果这些设备包含网络摄像头,黑客也将有机会访问摄像头捕获的图像。”
记者就此事专门致函北京京东世纪贸易有限公司。 京东技术团队回应称,“虽然黑客劫持HTTPS传输通道难度较大,但微联未来会对敏感信息进行重新加密。”
“京东威廉”为何需要收购
用户的 WiFi 信息?
为了验证刘晓光及其技术团队的说法,记者联系了国内一家知名互联网安全公司,对上述流程进行了二次验证。 经过多种技术手段核实,该公司工程团队确认“京东微联”确实将用户的WiFi密码上传至京东服务器。
团队的一位工程师指出,“将用户的WiFi密码上传到自己的服务器”这一步完全是“多余”,因为即使要将家庭智能设备与WiFi关联起来,也只需要在家庭局域网内即可。 说做就做,无需将用户的WiFi密码上传至云端,这是一个“不必要的步骤”。 “京东威廉姆斯”的这种运作方式令人费解。
有业内人士对比“京东威廉姆斯”的行为:“我雇了保姆到我家上班,但保姆未经我允许就给我家配了一把钥匙,这种行为肯定对我自身的安全造成了影响。”
据刘晓光的技术团队介绍,除了“京东微联”APP外,他们还测试了多款智能设备的控制软件,没有发现上传用户WiFi密码的行为。
记者向京东求证。 对方认为,将用户WiFi信息上传至云端只是出于网络分发的技术需要。 京东技术人员回应:“京东微联”真正连接了跨品牌、跨品类的智能设备,为用户提供了良好的用户体验; 相比之下,其他系统可能只能操作单个智能设备。 硬件,因此无需上传WiFi密码。 “将两者进行比较是不合适的。”
事实上,“京东微联”改变了这种网络分销方式。 京东在信中表示,他们在2016年下半年开始开发自主研发的网络分发解决方案。该解决方案只需要能够关联家庭局域网内的智能设备,而不需要向家庭发送WiFi信息。云端。 此外,京东还表示,将尽快完成系统升级,力争实现所有设备本地配送。
采访中,京东并未明确说明2016年下半年之后出厂的智能设备是否不需要上传WiFi密码,或者软件是否将不再上传WiFi密码。 记者采访调查时,两队网络安全工程师随机选取了多款不同时期生产的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时仍然上传WiFi信息。
专家观点:互联网企业应更好履行网络安全义务
不久前,浙江省公安厅破获一起非法侵入居民“家庭摄像头”案件。 犯罪嫌疑人利用技术手段侵入近万个家庭摄像头IP,并将摄像头拍摄的内容在网上出售。 此案一出,舆论再次聚焦公民信息安全。
此前,“WiFi万能钥匙”未经授权上传用户WiFi密码的做法曾受到媒体和公众的质疑。 京东擅自上传用户WiFi密码的事件也引起了法律界和社会学界专家的关注。 福建盈坤律师事务所张毅腾律师认为,这种行为涉嫌侵犯个人隐私和个人隐私权,且存在一定的安全风险测试软件,需要引起用户注意。
根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,并公开收集的情况。明确收集、使用信息的目的、方式和范围,并取得被收集人的同意。网络运营者不得收集与其提供的服务无关的个人信息,不得收集、使用信息。违反法律、行政法规的规定和双方约定使用个人信息的,应当按照法律、行政法规的规定以及与用户的协议处理其保留的个人信息。”
浙江省人民政府咨询委员会委员、浙江省社会学会会长杨建华认为,即使企业提供的软件是免费的,仍应遵循商业道德,采用二次提示等方式明确告知用户上传敏感信息。 行为,由用户决定是否继续使用该软件。
杨建华表示,相关互联网企业应履行与其影响力相称的社会责任和网络安全义务,依法依规保护用户和消费者的知情权,对存在技术缺陷和安全隐患的产品应进行召回或改进。 。
目前,“京东微联”正在调整升级技术方案,消除用户顾虑。
