京東回應(yīng)旗下APP擅自上傳用戶密碼問題 用戶信息不會泄露（俠客密碼查看器）

    隨著信息社會的高速發(fā)展，各類智能設(shè)備已經(jīng)走入尋常百姓家。只需要一款A(yù)PP，就能夠操控家中的智能設(shè)備，不可謂不方便。

    但是，如果有人告訴你，你正在使用的這款A(yù)PP會將你家的WiFi密碼上傳到對方的服務(wù)器中，你所使用的聯(lián)網(wǎng)智能設(shè)備存在被人操控的風(fēng)險，你是否會擔(dān)心？

8月10日下午，一篇題為《竊隱私，傳明文，京東(44.25 -3.59%)劣舉挑戰(zhàn)網(wǎng)安法》的文章在網(wǎng)上傳播，該文直指京東旗下一款名為“京東微聯(lián)”的智能家居應(yīng)用軟件在沒有明確告知用戶的前提下，擅自將用戶輸入的個人WiFi密碼上傳至京東服務(wù)器，為用戶的網(wǎng)絡(luò)安全埋下隱患。

在該文中，還附帶有對“京東微聯(lián)”APP連接WiFi時的專業(yè)數(shù)據(jù)測試視頻和截圖。經(jīng)記者核實，該文出自名為“嘶吼網(wǎng)”的網(wǎng)絡(luò)安全媒體的技術(shù)團(tuán)隊之手。

據(jù)團(tuán)隊成員劉曉光（化名）介紹，他們在知乎上留意到相關(guān)內(nèi)容，并于9日晚間和10日上午前后兩次進(jìn)行了安全性測試，結(jié)果顯示該APP確實存在向京東服務(wù)器上傳用戶WiFi密碼的行為。

記者在“京東微聯(lián)”APP上調(diào)閱了《京東智能云用戶使用協(xié)議》，第六條載明：“在初次添加某款智能硬件設(shè)備的過程中，您需為此設(shè)備提供WiFi環(huán)境接入所需的SSID以及密碼，用于智能硬件設(shè)備和WiFi環(huán)境的一鍵配置。”京東公司據(jù)此認(rèn)為，他們就上傳WiFi密碼等信息向用戶進(jìn)行了說明。

不過上海一家公司的網(wǎng)絡(luò)安全專家宋宏宇認(rèn)為，普通用戶在長篇累牘的使用協(xié)議中很難找到和讀懂這一說明，“提供”與“上傳”概念不同，作為一名普通用戶無法確切知曉協(xié)議中“提供”的具體含義。宋宏宇說，一般而言，用戶在上傳敏感信息前，系統(tǒng)應(yīng)進(jìn)行二次提示和確認(rèn)，如未加以確認(rèn)，相當(dāng)于“悄悄”上傳了用戶WiFi密碼。“京東微聯(lián)”缺乏這一環(huán)節(jié)，因此WiFi密碼被上傳一事絕大多數(shù)用戶很可能是毫不知情的。

盡管“京東微聯(lián)”APP在《用戶使用協(xié)議》中承諾：“不會對原始信息以及映射處理后的信息進(jìn)行任何遠(yuǎn)端的存儲或修改，也不會公開、轉(zhuǎn)讓、用于其他使用目的。”但網(wǎng)絡(luò)安全人士認(rèn)為，用戶將WiFi密碼等敏感信息上傳給服務(wù)器，本身就給自身信息安全帶來一定隱患。

雖然WiFi密碼等敏感信息是在HTTps環(huán)境下上傳的，外界很難截獲，但是這一過程并非沒有風(fēng)險。劉曉光說，一旦被黑客截獲，他完全可以進(jìn)入你的WiFi劫持連接入WiFi的智能設(shè)備，“比如這些設(shè)備中包含網(wǎng)絡(luò)攝像頭，那么黑客也有機(jī)會調(diào)閱攝像頭所拍攝的畫面。”

就此問題記者專門函詢了北京京東世紀(jì)貿(mào)易有限公司，京東技術(shù)團(tuán)隊回應(yīng)稱，“雖然黑客對HTTPS傳輸通道的劫持是比較困難的，但微聯(lián)未來會對敏感信息進(jìn)行二次加密。”

為什么“京東微聯(lián)”要獲取用戶的WiFi信息？

為驗證劉曉光及其技術(shù)團(tuán)隊的說法，記者又聯(lián)系了國內(nèi)某知名互聯(lián)網(wǎng)安全企業(yè)，對上述過程進(jìn)行二次驗證。在通過多種技術(shù)手段驗證后，該企業(yè)的工程師團(tuán)隊確認(rèn)，“京東微聯(lián)”確實存在向京東服務(wù)器上傳用戶WiFi密碼的行為。

該團(tuán)隊的一名工程師指出，“將用戶的WiFi密碼上傳至自己的服務(wù)器”這一步驟完全是“多余”的，因為即使是為了將家用智能設(shè)備和WiFi進(jìn)行關(guān)聯(lián)，也僅需要在家庭局域網(wǎng)內(nèi)進(jìn)行即可，沒必要“多此一舉”將用戶的WiFi密碼上傳至云端。“京東微聯(lián)”如此操作令人費解。

有業(yè)內(nèi)人士將“京東微聯(lián)”的行為作了一個比喻：“我請了一個保姆來我家干活，結(jié)果這個保姆在未經(jīng)我允許的情況下擅自去配了一把我家的鑰匙，這樣的行為對我自身的安全肯定產(chǎn)生了影響。”

據(jù)劉曉光的技術(shù)團(tuán)隊介紹，除“京東微聯(lián)”APP外，他們還測試了幾款智能設(shè)備的操控軟件，均沒有發(fā)現(xiàn)將用戶WiFi密碼上傳的行為。

記者為此向京東公司求證，對方認(rèn)為，將用戶WiFi信息上傳至云端僅是出于配網(wǎng)的技術(shù)需要。京東方面的技術(shù)人員回應(yīng)稱：“京東微聯(lián)”真正做到了跨品牌、跨品類智能設(shè)備的連接，為用戶提供了良好的使用體驗；相比之下，其他系統(tǒng)很可能只能操作單一的智能硬件，因此無需上傳WiFi密碼，“拿兩者做比較是不恰當(dāng)?shù)摹?rdquo;

事實上，“京東微聯(lián)”已改變這種配網(wǎng)方式。京東公司在函詢中稱，他們自2016年下半年開始自研配網(wǎng)方案，該方案僅需在家庭局域網(wǎng)內(nèi)就能關(guān)聯(lián)智能設(shè)備，無須再將WiFi信息發(fā)送至云端。此外京東方面還表示，他們將盡快完成系統(tǒng)升級，爭取實現(xiàn)全部設(shè)備的本地配網(wǎng)。

采訪中京東公司并未明確，2016年下半年以后，是出廠的智能設(shè)備無需上傳WiFi密碼，還是該款軟件不再上傳WiFi密碼。在記者采訪調(diào)查期間，兩支網(wǎng)絡(luò)安全工程師團(tuán)隊隨機(jī)選擇了多款不同時期出廠的智能硬件設(shè)備進(jìn)行測試，發(fā)現(xiàn)“京東微聯(lián)”APP在連接部分智能設(shè)備時，仍然存在上傳WiFi信息的情況。“京東微聯(lián)”如此操作，還是令人費解。

專家觀點：互聯(lián)網(wǎng)企業(yè)應(yīng)更好履行網(wǎng)絡(luò)安全義務(wù)

前不久，浙江省公安部門破獲了一起非法入侵居民“家庭攝像頭”的案件，犯罪嫌疑人通過技術(shù)手段入侵了近萬個家庭攝像頭IP，并將攝像頭所拍攝的內(nèi)容在網(wǎng)上兜售。此案一出，輿論再次將視線聚焦到公民的信息安全上來。

在此之前，“WiFi萬能鑰匙”擅自上傳用戶WiFi密碼的做法，已飽受媒體和公眾質(zhì)疑。而此次京東擅自上傳用戶WiFi密碼的事件，也引起了法律界和社會學(xué)界的專家關(guān)注。福建瀛坤律師事務(wù)所張翼騰律師認(rèn)為，該行為涉嫌侵犯個人的私密領(lǐng)域，侵害個人隱私權(quán)，存在一定的安全隱患，有必要引起用戶注意。

根據(jù)2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》第四十一條規(guī)定：“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。”

浙江省人民政府咨詢委員會委員、浙江省社會學(xué)學(xué)會會長楊建華則認(rèn)為，即使企業(yè)提供的軟件是免費的，其仍應(yīng)該遵循商業(yè)倫理，并采取二次提示等方式，明確向用戶告知上傳敏感信息的行為，由用戶決定是否繼續(xù)使用該軟件。

楊建華表示，有關(guān)互聯(lián)網(wǎng)企業(yè)應(yīng)該履行與其影響力相匹配的社會責(zé)任及網(wǎng)絡(luò)安全義務(wù)，依法依規(guī)保障用戶和消費者的知情權(quán)，對于存在技術(shù)缺陷和安全隱患的產(chǎn)品，理應(yīng)召回或改進(jìn)。

目前，“京東微聯(lián)”正在為消除用戶顧慮而進(jìn)行技術(shù)方案調(diào)整升級。

京東回應(yīng)不會泄漏用戶信息

針對此報道，京東微聯(lián)聲明，對于2016年下半年前的智能設(shè)備，為了保證無線網(wǎng)配網(wǎng)的統(tǒng)一性，微聯(lián)會通過HTTPS安全協(xié)議上傳WiFi信息，只進(jìn)行必要的設(shè)備配網(wǎng)技術(shù)流程，不會在云端保存;2016年下半年后的設(shè)備不存在數(shù)據(jù)上傳情況;無論新老設(shè)備，通過微聯(lián)實現(xiàn)互聯(lián)互通都不會導(dǎo)致用戶信息泄露，請用戶放心。