但是,如果有人告訴妳,妳正在使用的APP會把妳的WiFi密碼上傳到對方服務器,妳正在使用的聯網智能設備有被操控的風險,妳會擔心嗎?
您的WiFi密碼正在悄悄上傳...
8月10日下午,壹篇題為《竊取隱私,傳明文,JD。COM挑戰網絡安全法的惡劣例子”在網上傳播,其中指出壹款名為“JD。JD.COM旗下的“COM威廉”在未明確告知用戶的情況下,將用戶輸入的個人WiFi密碼上傳至JD.COM服務器,為用戶的網絡安全埋下隱患。
在這篇文章中,還有專業的數據測試視頻和截圖“JD。COM威廉”應用程序連接到WiFi。經記者核實,此文來自名為“嘶吼網”的網絡安全媒體技術團隊。
據隊員劉(化名)介紹,他們在知乎上註意到了相關內容,並於9日晚和10左右進行了兩次安全測試。結果顯示,該應用程序確實將用戶的WiFi密碼上傳到了JD.COM服務器。
記者在“京東”上閱讀了《京東智能雲用戶使用協議》。COM威廉”應用程序。第六條規定:“在首次添加智能硬件設備的過程中,您需要向設備提供WiFi環境訪問所需的SSID和密碼,用於智能硬件設備和WiFi環境的壹鍵配置。”據此,JD.COM公司認為他們已經向用戶說明了上傳WiFi密碼等信息。
不過,上海某公司網絡安全專家宋宏宇認為,普通用戶很難在冗長的使用協議中找到並理解這種解釋。“提供”和“上傳”的概念是不同的,所以作為普通用戶,無法確切知道協議中“提供”的具體含義。宋宏宇表示,壹般來說,用戶上傳敏感信息之前,系統要進行二次提示和確認。如果沒有確認,就相當於“悄悄”上傳了用戶的WiFi密碼。“JD。COM威廉”缺少這個鏈接,所以大多數用戶可能不知道WiFi密碼被上傳了。
雖然“JD。COM威廉”APP在用戶使用協議中承諾:“原始信息和映射信息不會被遠程存儲或修改,也不會被披露、轉移或用於其他目的。”但網絡安全人士認為,用戶將WiFi密碼等敏感信息上傳到服務器,本身就給自身信息安全帶來壹定隱患。
雖然在HTTPS環境下上傳WiFi密碼等敏感信息,外界很難截獲,但這個過程並非沒有風險。劉說,壹旦被黑客攔截,他完全可以進入妳的WiFi,劫持連接WiFi的智能設備。“例如,如果這些設備包括網絡攝像頭,那麽黑客也有機會讀取攝像頭拍攝的圖片。”
就此問題,記者專門詢問了北京JD.COM世紀貿易有限公司,JD.COM的技術團隊回應“雖然黑客很難劫持HTTPS傳輸通道,但威廉未來會對敏感信息進行二次加密。”
JD.COM威廉為什麽要獲取用戶的WiFi信息?
為驗證劉及其技術團隊所言,記者聯系了國內某知名互聯網安全企業,對上述流程進行了第二次驗證。企業的工程團隊經過各種技術手段的驗證,確認“JD。“確實把用戶的WiFi密碼上傳到了JD.COM的服務器上。
該團隊的壹名工程師指出,“將用戶的WiFi密碼上傳到自己的服務器”這壹步完全是“多余的”,因為即使是將家庭智能設備與WiFi關聯起來,也只需要在家庭局域網中完成,不需要“另起爐竈”將用戶的WiFi密碼上傳到雲端。令人費解的是,“JD。COM威廉”是這樣運作的。
有業內人士將“京東”的行為比作。COM威廉":“我請了壹個保姆來我家工作,結果這個保姆未經我允許就配了壹把我家的鑰匙。這種行為肯定對我自身的安全造成了影響。”
據的技術團隊劉介紹,除了“JD。COM威廉”APP,他們還測試了幾款智能設備的控制軟件,均未發現上傳用戶WiFi密碼的行為。
為此,記者向JD.COM公司求證。對方以為把用戶的WiFi信息上傳到雲端只是出於配電網的技術需要。JD。COM的技術人員回應稱“京東。COM威廉”真正實現了跨品牌、跨品類的智能設備互聯,為用戶提供了良好的體驗;相比之下,其他系統很可能只操作單壹的智能硬件,所以不需要上傳WiFi密碼。“把兩者相提並論是不合適的。”
事實上,“JD。COM威廉”改變了這種分銷模式。JD.COM公司在信中表示,從2016下半年開始,已經制定了自己的配送網絡方案。該方案可以只在家庭局域網內連接智能設備,不需要發送WiFi信息到雲端。此外,JD.COM還表示,他們將盡快完成系統升級,力爭實現所有設備的本地分配網絡。
采訪中,JD.COM公司並未明確表示,2016下半年以後,出廠的智能設備不需要上傳WiFi密碼,否則該軟件將不再上傳WiFi密碼。在記者采訪調查過程中,兩個團隊的網絡安全工程師隨機抽取了多個不同時期制造的智能硬件設備進行測試,發現“JD。COM威廉”應用程序在連接壹些智能設備時仍上傳了WiFi信息。
專家觀點:互聯網公司應更好地履行網絡安全義務。
前不久,浙江省公安部門破獲了壹起非法入侵居民“家用攝像頭”的案件。犯罪嫌疑人通過技術手段入侵近萬個家用攝像頭IP,將攝像頭拍攝的內容在網上出售。此案壹出,輿論再次聚焦公民信息安全。
在此之前,“WiFi萬能鑰匙”未經授權上傳用戶WiFi密碼的做法壹直受到媒體和公眾的質疑。JD.COM擅自上傳用戶WiFi密碼的事件也引起了法律和社會領域專家的關註。福建英坤律師事務所張律師認為,這種行為涉嫌侵犯個人隱私和個人隱私,存在壹定的安全隱患,需要引起用戶的註意。
根據07年6月17日起施行的《中華人民共和國網絡安全法》第四十壹條規定,“網絡運營者收集、使用個人信息,應當遵循合法、公正、必要的原則,公開收集、使用規則,明示信息收集、使用的目的、方式和範圍,並取得被收集者的同意。網絡經營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當按照法律、行政法規的規定和與用戶的約定處理其保存的個人信息。”
浙江省人民政府咨詢委員會委員、浙江省社會學學會會長楊建華認為,即使企業提供的軟件是免費的,仍然應該遵循商業道德,通過二次提示的方式明確告知用戶上傳敏感信息的行為,由用戶決定是否繼續使用該軟件。
楊建華表示,互聯網企業應當履行與其影響力相匹配的社會責任和網絡安全義務,依法依規保障用戶和消費者的知情權,對存在技術缺陷和安全風險的產品進行召回或改進。
目前,“京東。COM威廉”正在調整和升級其技術方案,以消除用戶的顧慮。
個人好像沒有多少秘密,都是被別人時時刻刻監控著的。為什麽法律上沒有規定?拿出約束力,給這類企業念個咒語。