新华社调查:京东一款APP擅自上传用户WiFi密码 京东回应:不会外泄
随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就能够操控家中的智能设备,不可谓不方便。但是,如果有人告诉你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担心?
随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就能够操控家中的智能设备,不可谓不方便。但是,如果有人告诉你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担心?
为什么“京东微联”要获取用户的WiFi信息?
为验证刘晓光及其技术团队的说法,记者又联系了国内某知名互联网安全企业,对上述过程进行二次验证。在通过多种技术手段验证后,该企业的工程师团队确认,“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。
该团队的一名工程师指出,“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的,因为即使是为了将家用智能设备和WiFi进行关联,也仅需要在家庭局域网内进行即可,没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。
有业内人士将“京东微联”的行为作了一个比喻:“我请了一个保姆来我家干活,结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙,这样的行为对我自身的安全肯定产生了影响。”
据刘晓光的技术团队介绍,除“京东微联”APP外,他们还测试了几款智能设备的操控软件,均没有发现将用户WiFi密码上传的行为。
记者为此向京东公司求证,对方认为,将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术人员回应称:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,为用户提供了良好的使用体验;相比之下,其他系统很可能只能操作单一的智能硬件,因此无需上传WiFi密码,“拿两者做比较是不恰当的。”
事实上,“京东微联”已改变这种配网方式。京东公司在函询中称,他们自2016年下半年开始自研配网方案,该方案仅需在家庭局域网内就能关联智能设备,无须再将WiFi信息发送至云端。此外京东方面还表示,他们将尽快完成系统升级,争取实现全部设备的本地配网。
采访中京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传WiFi密码,还是该款软件不再上传WiFi密码。在记者采访调查期间,两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,仍然存在上传WiFi信息的情况。
专家观点:互联网企业应更好履行网络安全义务
前不久,浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件,犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP,并将摄像头所拍摄的内容在网上兜售。此案一出,舆论再次将视线聚焦到公民的信息安全上来。
在此之前,“WiFi万能钥匙”擅自上传用户WiFi密码的做法,已饱受媒体和公众质疑。而此次京东擅自上传用户WiFi密码的事件,也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为,该行为涉嫌侵犯个人的私密领域,侵害个人隐私权,存在一定的安全隐患,有必要引起用户注意。
根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为,即使企业提供的软件是免费的,其仍应该遵循商业伦理,并采取二次提示等方式,明确向用户告知上传敏感信息的行为,由用户决定是否继续使用该软件。
杨建华表示,有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务,依法依规保障用户和消费者的知情权,对于存在技术缺陷和安全隐患的产品,理应召回或改进。
《京东智能云用户使用协议》第六条显示:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”
并在《用户使用协议》中承诺,“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”
京东针对该事件的具体声明如下:
1。 2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案,在匹配时会通过HTTPS(超文本传输安全协议)加密的方式上传Wi-Fi相关信息至云端完成编码,再回传到设备端完成配网流程,数据不但经过了加密,而且服务端不会存储任何Wi-Fi相关信息。
2。 京东微联在用户协议的第六条第二款中说明了:“在初次添加某款智能硬件设备的过程中,您需为此设备提供Wi-Fi环境接入所需的SSID以及密码,用于智能硬件设备和Wi-Fi环境的一键配置;我们会对这些信息,进行映射处理,但不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”京东一直遵守该承诺,绝不会存储、修改或传播这些信息。
3。 为了统一配网过程,并提高配网成功率,自2016年下半年起,新接入的微联设备已经全部采用了微联自研的全新配网技术,实现了本地配网,已经不需要上传任何Wi-Fi信息。
4。 相关文章中谈到技术专家可以检测微联APP上传Wi-Fi信息,是通过“劫持”自己手机的特殊技术设定实现的;在手机没有被劫持的情况下,第三方不能通过监听HTTPS的方式得到数据明文。
5。 京东一直从技术和流程等方面尽全力保护用户信息,无论新老设备,通过微联实现互联互通都不会导致您的信息泄露。
6。 京东非常重视用户的信息安全和媒体监督,考虑到用户的手机可能被恶意劫持,虽然对HTTPS的劫持是比较困难的操作,但微联仍然将会对敏感信息进行二次加密;同时,微联会坚定、全面推进微联自研配网协议的普及工作,新接入产品不再需要往云端发送用户Wi-Fi信息,统一用户体验,提高配网成功率,并消除用户的困扰。
京东微联为了更好的兼容各家智能硬件设备的配网方式,在2016年下半年前的设备配网时通过HTTPS协议上传Wi-Fi信息,保证匹配的流畅性和信息的安全性,而不会在云端存留信息。
此举也得到了智能硬件企业的支持,以下为部分智能硬件企业相关负责人的声明:
公牛物联网研究所所长 杨睿毅
对于公牛和其它品牌的各类的智能化产品来说,要实现其基本智能功能,接入平台是必需的。而接入任何平台时,都需要进行配网。2016年下半年前,虽然各平台的算法和方式略有不同,但大多需要对Wi-Fi信息进行上传和匹配。这是为了灵活兼容各家厂商的不同的芯片方案,尽可能高速有效的完成配网。是用户要获得智能产品功能和良好用户体验的必要途径。
美的厨房电器高级产品经理 马建良
配网体验是目前智能硬件、智能家电用户的最大槽点,每家厂商配网算法不同,但都需要对Wi-Fi信息作转换,个人认为京东微联上传Wi-Fi信息也是为了灵活兼容各家厂商的芯片,提升用户体验。
长虹白电智能业务总监 李昱兵
每家厂商配网算法不同,但都需要对Wi-Fi信息作转换,京东微联上传Wi-Fi信息也是为了灵活兼容各家厂商的芯片,提升用户体验,但其对信息进行了加密处理,可以保证用户的隐私信息安全。
霍尼空净产品负责人 刘海林
设备的注册需路由器联通,路由器的用户名和密码信息是需要加密进行传输的,由于每家路由器的配网要求不一样,京东微联利用云端计算能力应对不同厂家,对路由器用户密码信息进行加密,随后对设备进行注册,达到更好用户体验。
奥克斯电商总业务总经理 李修平
奥克斯与京东均确认,配网需要对Wi-Fi信息做转换,用户Wi-Fi信息均只用于配网,不存储,不进行转发。
长帝副总经理 宫培谦
从2016年下半年开始,我们配合京东进行了技术升级,新接入的设备的配网采用了新的配网方案。新的配网方案不需要再传输Wi-Fi信息到云端,配网的体验和安全性都得到了全面升级。
相关文章:
- 外媒称京东将大规模裁员 比例最高8%
- 京东快递智能无人配送车亮相北京街头:最多一次能送30多单
- 刘强东罕见发飙:这类员工不尽快清除,留着过年吗?
- 京东回应出售假茅台:运输途中被调包
- 实锤深扒:“发错货”的京东,到底是不是在耍无赖?
- 刘强东:有这 7 种特质的人,我一定重用
- 京东拒绝使用支付宝,却接入微信支付,这算盘打的真好
- 《京东十四条铁律》到底在说什么?
- 京东为什么不用支付宝?
- 京东回应“GUCCI变GUCC”:货源无误,产品召回意大利处理
- JD市值眼看就要追上百度了,10张图告诉你中国互联网公司的此消彼长
- 京东员工老婆写公开信炮轰加班文化
- 京东推iPhone电池更换服务:只要150元
- 快递员发公开信怒怼刘强东:京东一半快递都是我们送的
- 1499元!京东自产平板JDtab正式发布:2K屏
发表回复