[设为首页] [加入收藏]
  项目介绍 更多>>
· 浙江省印发燃煤电厂超低排
· 600亿、211亿、171亿 煤制
· 图表丨2017年1
· 还在生产的煤矿有哪些?山
· 国核运行干部调整:田军任
· 浙江平湖市家庭屋顶光伏建
· 一周核准、中标、开工火电
· 福建省关于印发《福建省石
  活动简报 更多>>
  科学发展 更多>>
· 浙江省印发燃煤电厂超低排
· 600亿、211亿、171亿 煤制
· 图表丨2017年1
· 还在生产的煤矿有哪些?山
· 国核运行干部调整:田军任
· 浙江平湖市家庭屋顶光伏建
· 一周核准、中标、开工火电
· 福建省关于印发《福建省石
  下载中心
  对外援助 更多>>
· 浙江省印发燃煤电厂超低排
· 600亿、211亿、171亿 煤制
· 图表丨2017年1
· 还在生产的煤矿有哪些?山
· 国核运行干部调整:田军任
· 浙江平湖市家庭屋顶光伏建
· 一周核准、中标、开工火电
· 福建省关于印发《福建省石
您所在的位置是: 主页 > 新闻动态 >

警惕!京东这款APP悄悄上传你的WiFi密码,绝大多数人不知道

随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就可以操控家中的智能设备,不堪称不便利。

但是,假如有人告知你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担忧?

1

你的WiFi密码正被悄悄上传

8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑衅网安法》的文章在网上流传,该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的条件下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。

在该文中,还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。经记者核实,该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。

据团队成员刘晓光(化名)介绍,他们在知乎上留心到相关内容,并于9日晚间和10日上午前后两次进行了安全性测试,成果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。

记者在“京东微联”APP上调阅了《京东智能云用户使用协议》,第六条载明:“在首次增添某款智能硬件设备的过程中,您需为此设备供给WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为,他们就上传WiFi密码等信息向用户进行了解释。

不外上海一家公司的网络安全专家宋宏宇认为,

普通用户在长篇累牍的使用协议中很难找到和读懂这一阐明,“提供”与“上传”概念不同,作为一名一般用户无法确实知晓协议中“提供”的详细含意。

一般而言,用户在上传敏感信息前,系统应进行二次提示和确认,如未加以确认,相当于“静静”上传了用户WiFi密码。

“京东微联”缺少这一环节,因此WiFi密码被上传一事绝大多数用户很可能是绝不知情的。

只管“京东微联”APP在《用户使用协议》中许诺:“不会对原始信息以及映射处置后的信息进行任何远端的存储或修改,也不会公然、转让、用于其余应用目标。”但网络保险人士认为,用户将WiFi密码等敏感信息上传给服务器,自身就给自身信息安全带来一定隐患。

固然WiFi密码等敏感信息是在HTTPS环境下上传的,外界很难截获,但是这一过程并非没有危险。刘晓光说,一旦被黑客截获,他完全能够进入你的WiFi劫持衔接入WiFi的智能设备,“好比这些装备中包括网络摄像头,那么黑客也有机遇调阅摄像头所拍摄的画面。”

就此问题记者专门函询了北京京东世纪贸易有限公司,京东技术团队回应称,“虽然黑客对HTTPS传输通道的劫持是比较艰苦的,但微联未来会对敏感信息进行二次加密。”

2

为什么“京东微联”要获取

用户的WiFi信息?

为验证刘晓光及其技巧团队的说法,记者又接洽了国内某知名互联网平安企业,对上述过程进行二次验证。在通过多种技术手腕验证后,该企业的工程师团队确认,“京东微联”确切存在向京东服务器上传用户WiFi密码的行为。

该团队的一名工程师指出,“将用户的WiFi密码上传至本人的服务器”这一步骤完全是“过剩”的,因为即使是为了将家用智能设备和WiFi进行关系,也仅需要在家庭局域网内进行即可,没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如斯操作令人费解。

有业内人士将“京东微联”的行为作了一个比方:“我请了一个保姆来我家干活,结果这个保姆在未经我允许的情形下擅自去配了一把我家的钥匙,这样的行为对我本身的安全确定发生了影响。”

据刘晓光的技术团队介绍,除“京东微联”APP外,他们还测试了几款智能设备的操控软件,均没有发现将用户WiFi密码上传的行为。

记者为此向京东公司求证,对方认为,将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术职员回应称:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,为用户提供了良好的使用休会;相比之下,其他系统很可能只能操作单一的智能硬件,因此无需上传WiFi密码,“拿两者做比较是不适当的。”

事实上,“京东微联”已转变这种配网方式。京东公司在函询中称,他们自2016年下半年开端自研配网计划,该方案仅需在家庭局域网内就能关联智能设备,无须再将WiFi信息发送至云端。此外京东方面还表现,他们将尽快完成系统进级,争取实现全部设备的本地配网。

采访中京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传WiFi密码,仍是该款软件不再上传WiFi密码。 在记者采访考察期间,两支网络安全工程师团队随机选择了多款不同时代出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,依然存在上传WiFi信息的情况。

3

专家观点: 互联网企业 应更好实行网络安全义务

前即将,浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件,犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP,并将摄像头所拍摄的内容在网上抛售。此案一出,舆论再次将视线聚焦到公民的信息安全上来。

在此之前,“WiFi万能钥匙”擅自上传用户WiFi密码的做法,已饱受媒体和大众质疑。而此次京东擅自上传用户WiFi密码的事件,也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师以为,该行为涉嫌侵占个人的私密范畴,损害个人隐私权,存在一定的安全隐患,有必要引起用户注意。

依据2017年6月1日起执行的《中华人民共和国网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规矩,昭示收集、使用信息的目的、方式和范围,并经被收集者赞成。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的划定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保留的个人信息。”

浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为,即便企业提供的软件是免费的,其仍应该遵守贸易伦理,并采用二次提示等方式,明白向用户告诉上传敏感信息的行为,由用户决议是否持续使用该软件。

杨建华表示,有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务,依法依规保障用户和消费者的知情权,对于存在技术缺点和安全隐患的产品,理当召回或改良。

目前,“京东微联”正在为消除用户顾虑而进行技术方案调整升级。

来源:新华社

记者:颜之宏、王炳坤

监制:陈知春

编辑:王朝

实习:马越、郑薛飞腾

起源:新华社

免责申明:本文仅代表作者个人观点,与本网无关。其原创性以及文中陈说文字和内容未经本站证实,对本文以及其中全体或者部分内容、文字的真实性、完整性、及时性本站不作任何保障或承诺,请读者仅作参考,并请自行核实相关内容。

上一篇:【高清组图】新疆乌恰县内招生民族特色集体婚礼举行 11对新人幸
下一篇:没有了

友情链接


  备案号:京ICP备06054364号-1
中国外资扶贫网 版权所有