坚定秀水富民路 建设康美千岛湖 为争当全国践行“两山”理论标杆县而努力奋斗 | 传媒中心
 收藏本站
 设为首页
 联系我们
首页>>新闻频道>>国内新闻>>财经资讯>>当前页
视频新闻

淳安新闻10月17日17
淳安新闻10月16日17
淳安新闻10月15日17
淳安新闻10月14日17
最新播报
·中国共产党第十九次全国代表大会在京开幕 习近平代表第十八届中央委员会向大会作报告 李克强主持大会
·习近平提出,坚持和平发展道路,推动构建人类命运共同体
·习近平强调,坚持“一国两制”,推进祖国统一
·习近平强调坚持走中国特色强军之路,全面推进国防和军队现代化
·新时代中国特色社会主义思想,明确了这8点!
·习近平提出,坚定文化自信,推动社会主义文化繁荣兴盛
精彩专题
·淳安群众路线网
·淳安农村文化礼堂
·合力“五水共治”
·全力创建“无违建县”
·2014年淳安县两会
·2013杭州千岛湖秀水节
·金峰第五届乡村摄影节
论坛精贴
·会员“雨点”——高空悬挂物要定期检查
·会员“饮者”——公交车站台应该统一,不能厚此薄彼
·会员“过来看看再看看”——文明施工,让城市更美好
·会员“翔龙”——饭店的餐具卫生令人堪忧
·会员“水彩笔”——希望赋予街头电话亭新功能
·会员“清溪GeGe”——垃圾分类这个事,现在的情形相当可惜啊!
·会员“小点点”——建议加强对大型车进城的管理
·会员“一中”—— 说说“小绿”的修理与保养
放大 还原 缩小 | 搜索 | 打印 | 纠错 | 关闭 
“京东微联”:为何要“悄悄”上传我家的WIFI密码?
(2017-08-13 10:37:46)

“京东微联”:为何要“悄悄”上传我家的WIFI密码?

  新华社厦门8月12日电 题:“京东微联”:为何要“悄悄”上传我家的WiFi密码?

  新华社“中国网事”记者颜之宏 王炳坤

  随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就能够操控家中的智能设备,不可谓不方便。

  但是,如果有人告诉你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担心?

  你的WiFi密码正被悄然上传……

  8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。

  在该文中,还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。经记者核实,该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。

  据团队成员刘晓光(化名)介绍,他们在知乎上留意到相关内容,并于9日晚间和10日上午前后两次进行了安全性测试,结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。

  记者在“京东微联”APP上调阅了《京东智能云用户使用协议》,第六条载明:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为,他们就上传WiFi密码等信息向用户进行了说明。

  不过上海一家公司的网络安全专家宋宏宇认为,普通用户在长篇累牍的使用协议中很难找到和读懂这一说明,“提供”与“上传”概念不同,作为一名普通用户无法确切知晓协议中“提供”的具体含义。宋宏宇说,一般而言,用户在上传敏感信息前,系统应进行二次提示和确认,如未加以确认,相当于“悄悄”上传了用户WiFi密码。“京东微联”缺乏这一环节,因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的。

  尽管“京东微联”APP在《用户使用协议》中承诺:“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”但网络安全人士认为,用户将WiFi密码等敏感信息上传给服务器,本身就给自身信息安全带来一定隐患。

  虽然WiFi密码等敏感信息是在HTTPS环境下上传的,外界很难截获,但是这一过程并非没有风险。刘晓光说,一旦被黑客截获,他完全可以进入你的WiFi劫持连接入WiFi的智能设备,“比如这些设备中包含网络摄像头,那么黑客也有机会调阅摄像头所拍摄的画面。”

  就此问题记者专门函询了北京京东世纪贸易有限公司,京东技术团队回应称,“虽然黑客对HTTPS传输通道的劫持是比较困难的,但微联未来会对敏感信息进行二次加密。”

  为什么“京东微联”要获取用户的WiFi信息?

  为验证刘晓光及其技术团队的说法,记者又联系了国内某知名互联网安全企业,对上述过程进行二次验证。在通过多种技术手段验证后,该企业的工程师团队确认,“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。

  该团队的一名工程师指出,“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的,因为即使是为了将家用智能设备和WiFi进行关联,也仅需要在家庭局域网内进行即可,没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。

  有业内人士将“京东微联”的行为作了一个比喻:“我请了一个保姆来我家干活,结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙,这样的行为对我自身的安全肯定产生了影响。”

  据刘晓光的技术团队介绍,除“京东微联”APP外,他们还测试了几款智能设备的操控软件,均没有发现将用户WiFi密码上传的行为。

  记者为此向京东公司求证,对方认为,将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术人员回应称:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,为用户提供了良好的使用体验;相比之下,其他系统很可能只能操作单一的智能硬件,因此无需上传WiFi密码,“拿两者做比较是不恰当的。”

  事实上,“京东微联”已改变这种配网方式。京东公司在函询中称,他们自2016年下半年开始自研配网方案,该方案仅需在家庭局域网内就能关联智能设备,无须再将WiFi信息发送至云端。此外京东方面还表示,他们将尽快完成系统升级,争取实现全部设备的本地配网。

  采访中京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传WiFi密码,还是该款软件不再上传WiFi密码。在记者采访调查期间,两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,仍然存在上传WiFi信息的情况。“京东微联”如此操作,还是令人费解。

  专家观点:互联网企业应更好履行网络安全义务

  前不久,浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件,犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP,并将摄像头所拍摄的内容在网上兜售。此案一出,舆论再次将视线聚焦到公民的信息安全上来。

  在此之前,“WiFi万能钥匙”擅自上传用户WiFi密码的做法,已饱受媒体和公众质疑。而此次京东擅自上传用户WiFi密码的事件,也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为,该行为涉嫌侵犯个人的私密领域,侵害个人隐私权,存在一定的安全隐患,有必要引起用户注意。

  根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

  浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为,即使企业提供的软件是免费的,其仍应该遵循商业伦理,并采取二次提示等方式,明确向用户告知上传敏感信息的行为,由用户决定是否继续使用该软件。

  杨建华表示,有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务,依法依规保障用户和消费者的知情权,对于存在技术缺陷和安全隐患的产品,理应召回或改进。

  目前,“京东微联”正在为消除用户顾虑而进行技术方案调整升级。

  来源:新华社

千岛湖新闻网 责任编辑:姜智荣



凡注明“千岛湖新闻网”来源之作品(文字、图片等),未经允许不得转载。未经允许非法转载 责任自负
 
相关报道
 
关于我们 | 网站地图 | 广告价目 | 法律声明 | 联系我们
浙新办[2005]20号 浙ICP备05073341号 广告经营许可证:杭工商淳广许2004001
淳安县千岛湖传媒中心版权所有 未经授权禁止复制或镜像 网络广告 0571-64831301

杭州网·千岛湖网 网络支持:杭州网络传媒有限公司
Produced By 大汉网络大汉版通发布系统