連部分設備仍可上傳WiFi密碼 京東微聯App正在調整
2017/08/13 11:08 | 來源 / 南方日報

  (原標題:你家WiFi密碼正被悄然上傳?)

  隨著資訊社會的高速發展,各類智慧設備已經走入尋常百姓家。只需要一款App,就能夠操控家中的智慧設備,不可謂不方便。

  但是,如果有人告訴你,你正在使用的這款App會將你家的WiFi密碼上傳到對方的伺服器中,你所使用的聯網智慧設備存在被人操控的風險,你是否會擔心?

  的確存在安全隱患

  8月10日下午,一篇題為《竊隱私,傳明文,京東劣舉挑戰網安法》的文章在網上傳播,該文直指京東旗下一款名為“京東微聯”的智慧家居應用軟體在沒有明確告知使用者的前提下,擅自將使用者輸入的個人WiFi密碼上傳至京東伺服器,為使用者的網路安全埋下隱患。經記者核實,該文出自名為“嘶吼網”的網路安全媒體的技術團隊之手。

  記者在“京東微聯”App上調閱了《京東智慧雲使用者使用協定》,第六條載明:“在初次添加某款智慧硬體設備的過程中,您需為此設備提供WiFi環境接入所需的SSID以及密碼,用於智慧硬體設備和WiFi環境的一鍵配置。”京東公司據此認為他們已向用戶進行了說明。

  不過上海一家公司的網路安全專家宋巨集宇認為,普通使用者在長篇累牘的使用協議中很難找到和讀懂這一說明。使用者在上傳敏感資訊前,系統應進行二次提示和確認。如未加以確認,相當於“悄悄”上傳了使用者WiFi密碼。

  儘管“京東微聯”App在《使用者使用協定》中承諾“不會公開、轉讓、用於其他使用目的”,但網路安全人士認為,使用者將WiFi密碼等敏感資訊上傳給伺服器,本身就給自身資訊安全帶來一定隱患。“嘶吼網”團隊成員劉曉光說,一旦被駭客截獲,他完全可以進入你的WiFi劫持連接入WiFi的智慧設備。

  為何要獲取使用者資訊?

  據劉曉光的技術團隊介紹,除“京東微聯”App外,他們還測試了幾款智慧設備的操控軟體,均沒有發現將使用者WiFi密碼上傳的行為。

  對此,京東方面的技術人員回應稱:“京東微聯”真正做到了跨品牌、跨品類智慧設備的連接,為使用者提供了良好的使用體驗;相比之下,其他系統很可能只能操作單一的智慧硬體,因此無需上傳WiFi密碼,“拿兩者做比較是不恰當的。”

  事實上,“京東微聯”已改變這種配網方式。京東公司在函詢中稱,他們自2016年下半年開始自研配網方案,該方案僅需在家庭局域網內就能關聯智慧設備,無須再將WiFi資訊發送至雲端。此外京東方面還表示,他們將儘快完成系統升級,爭取實現全部設備的本地配網。

  採訪中京東公司並未明確,2016年下半年以後,是出廠的智慧設備無需上傳WiFi密碼,還是該款軟體不再上傳WiFi密碼。在記者採訪調查期間,兩支網路安全工程師團隊隨機選擇了多款不同時期出廠的智慧硬體設備進行測試,發現“京東微聯”App在連接部分智慧設備時,仍然存在上傳WiFi資訊的情況。

  互聯網企業應更好履行網路安全義務

  此次京東擅自上傳使用者WiFi密碼的事件,引起了法律界和社會學界的專家關注。福建瀛坤律師事務所張翼騰律師認為,該行為涉嫌侵犯個人的私密領域,侵害個人隱私權,存在一定的安全隱患,有必要引起用戶注意。

  浙江省人民政府諮詢委員會委員、浙江省社會學學會會長楊建華則認為,即使企業提供的軟體是免費的,其仍應該遵循商業倫理,並採取二次提示等方式,明確向使用者告知上傳敏感資訊的行為,由使用者決定是否繼續使用該軟體。

  楊建華表示,有關互聯網企業應該履行與其影響力相匹配的社會責任及網路安全義務,依法依規保障用戶和消費者的知情權,對於存在技術缺陷和安全隱患的產品,理應召回或改進。

  目前,“京東微聯”正在為消除用戶顧慮而進行技術方案調整升級。

  據新華社廈門8月12日電

  ■神回復

  @光光:應該是說,我請了一個保姆來干活,保姆把家里的鑰匙製作方法報送總公司進行備案,所以一旦總公司被盜,千萬戶的鑰匙都有可能被人配出來……

  (實習編輯 韓蓉)