中宏网8月14日电(记者 张泉)随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只要一款APP,就能操控家中智能设备,但是,如果该APP将你家WiFi密码悄悄上传到自己服务器中,就有点让人担心了。近日,一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,文章说,京东旗下名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户的个人WiFi密码上传至京东服务器,给用户的网络安全埋下隐患。
中宏网记者了解到,该篇文章最初来自于一个名为嘶吼网的互联网安全新媒体网站,文章中进行相关测试的该网站网络安全团队成员刘晓光(化名)介绍说,他们最初是在社交平台上关注到该事件,并于9日晚间和10日上午前后两次进行了安全性测试。“在嘶吼上面发现一个帖子,帖子上面提到了说他那边检测到了京东微联直接明文上传用户的WiFi的名字和密码,但是看京东的用户协议之后,突然发现它那里面是说不会上传的。发现这个线索之后就进行了一些复测,复测结果印证了这个帖子里面的内容。”刘晓光团队声称,因为协议中并没有明确提到“上传”二字,但他们在测试中抓取到了“证据”,因此认为该软件涉嫌窃取用户隐私:“京东在用户协议里面说它不会上传这个密码,但是我们在测试的时候,就是通过一些技术手段来截取这个APP进行几次操作时候的数据包,来分析这个数据包里面的内容然后发现,它上传这个密码了。”在该文中,还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。
记者在“京东微联”APP上调阅了《京东智能云用户使用协议》,第六条载明:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为,他们就上传WiFi密码等信息向用户进行了说明。京东方面的技术人员也回应称:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,而其他系统很可能只是操作单一的智能硬件,因此无需上传WiFi密码。京东发布公告说,2016年上半年之前,微联设备会上传Wi-Fi相关信息,但是,数据会加密也不会存储在云端;2016年下半年之后,设备不需要上传密码,因此也不会泄露用户信息。官方强调,无论新老设备,通过微联实现互联互通都不会导致用户信息泄露,请用户放心。公告中,京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传WiFi密码,还是该款软件不再上传WiFi密码。在记者采访调查期间,两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,仍然存在上传WiFi信息的情况。
某种意义上,家庭WiFi密码,相当于我们在网上的家门钥匙。其重要作用,可不是不让别人蹭网那么简单,它与家庭网络安全紧密相关。犯罪分子知道了你家WiFi密码,就能控制你家所有智能设备。前不久,浙江省公安部门就破获了一起非法入侵居民“家庭摄像头”的案件,犯罪嫌疑人入侵了近万个家庭摄像头IP,并将摄像头所拍摄的内容在网上兜售。APP未经用户许可,私自上传用户WiFi密码到自己服务器,就是很可怕的事。因为接下来它会如何使用这些密码,公众是一无所知的。如果遭遇黑客破解,或者被人为泄露出去,那就更糟糕了。
根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
目前,“京东微联”正在为消除用户顾虑而进行技术方案调整升级。(完)