EToro

热门排行榜

易信

京东回应旗下软件擅自上传用户WiFi密码:经过加密

   2017-08-13 23:34
来源:互联网   阅读:86

(原标题:京东回应旗下应用软件擅自上传用户WiFi密码:经过加密)

央广网北京8月13日消息,据中国之声《新闻晚高峰》报道,智能空调、智能扫地机器人、智能家用摄像头……只需要一款APP就能够操控家中的智能设备,让不少家庭体验到了科技快速发展的便利性。然而,近日一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,称京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。

近日一个名为嘶吼网的互联网安全新媒体网站撰文向京东旗下的一款智能家居软件“开炮”,称其涉嫌窃取用户无线网密码,文章中还附带有数据测试视频和截图。

文章中进行相关测试的该网站网络安全团队成员刘晓光(化名)介绍说,他们最初是在社交平台上关注到该事件,并于9日晚间和10日上午前后两次进行了安全性测试,“网络帖子上面提到了说他那边检测到了京东微联直接明文上传用户的WiFi的名字和密码,但是看京东的(用户)协议之后发现它那里面是说不会上传的。我们发现了这个线索之后进行了一些复测。”

首先,京东微联是否真的上传了用户的无线网密码等信息?

京东微联软件在用户注册时提供的《用户使用协议》中写道:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”

刘晓光团队声称,因为协议中并没有明确提到“上传”二字,但他们在测试中抓取到了“证据”,因此认为该软件涉嫌窃取用户隐私。

第二,京东微联软件上传用户无线网密码,是否尽到了告知义务?

今年6月起施行的《中华人民共和国网络安全法》相关?5a8娑ǎ骸巴缭擞呤占⑹褂酶鋈诵畔ⅲΦ弊裱戏ā⒄薄⒈匾脑颍占褂霉嬖颍魇臼占⑹褂眯畔⒌哪康摹⒎绞胶头段В⒕皇占咄狻!敝泄畔踩馄乐行淖芄こ淌ν蹙衔尴咄苈胗Φ笔粲谟没舾行畔ⅲ砑谏洗坝卸翁崾竞腿啡稀?/p>

王军指出,“目前这样的做法实际上对用户不太公平,应该明确经过用户的授权,明确告知,不能够混在一大堆《用户使用协议》中,而且不能说用户不同意就不给服务,这有点儿霸王条款的感觉。”

此外专家还表示,其上传用户敏感信息是否具有合理性和必要性也值得深究,需要具体问题具体分析。

第三,京东微联软件上传用户的无线网密码是出于何种考虑?

京东方面昨夜发布公告称,2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案,在匹配时会通过HTTPS(超文本传输安全协议)加密的方式上传Wi-Fi相关信息至云端完成编码,再回传到设备端完成配网流程,数据不但经过了加密,而且服务端不会存储任何Wi-Fi相关信息;2016年下半年后的设备不存在数据上传情况,因此无论新老设备,通过微联实现互联互通都不会导致用户信息泄露。

第四,用户隐私信息能否得到安全保障?

依据网络安全法的相关规定:?43d0缭擞哂Φ币勒辗伞⑿姓ü娴墓娑ê陀胗没У脑级ǎ砥浔4娴母鋈诵畔ⅰV泄畔踩馄乐行淖芄こ淌ν蹙硎荆绻诳屯ü喙丶际跏侄位袢√峤坏骄┒⒘氖荩没Т醇蟀踩缦铡1热绾诳屠糜没У牡缒岳醋龀赏绻セ鞯目突Ф耍ā叭饧Α保热缢捣⒉家恍┎缓鲜实男畔ⅲ踔两姓┢疃V捶ú棵抛凡槠鹄吹谝桓龆际亲凡榈接没д饫锢戳耍没Т绰榉场?/p>

不过,京东方面表示,考虑到用户的手机可能被恶意劫持,虽然对HTTPS的劫持是比较困难的操作,但微联仍然将会对敏感信息进行二次加密。

此外截至目前,京东也已委托律师向“嘶吼网”的主体公司北京嘶吼文化传媒有限公司发出了相关律师函,律师函中指出“嘶吼网”通过文章标题和内容捏造虚假事实,要求对方停止相关侵权行为。

(原题为《京东回应旗下应用被指擅自上传用户WiFi密码:经过加密》)

艾拓思