×

新闻首页 > 国内 > 正文

新华社调查:京东旗下一款APP擅自上传用户WiFi密码

2017-08-13 08:17:28 来源:新华社微信公众号

新华社调查:京东旗下一款APP擅自上传用户WiFi密码

  随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就能够操控家中的智能设备,不可谓不方便。

  但是,如果有人告诉你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担心?

  你的WiFi密码正被悄然上传

  8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。

新华社调查:京东旗下一款APP擅自上传用户WiFi密码

  在该文中,还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。经记者核实,该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。

  据团队成员刘晓光(化名)介绍,他们在知乎上留意到相关内容,并于9日晚间和10日上午前后两次进行了安全性测试,结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。

  记者在“京东微联”APP上调阅了《京东智能云用户使用协议》,第六条载明:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为,他们就上传WiFi密码等信息向用户进行了说明。

  不过上海一家公司的网络安全专家宋宏宇认为,普通用户在长篇累牍的使用协议中很难找到和读懂这一说明,“提供”与“上传”概念不同,作为一名普通用户无法确切知晓协议中“提供”的具体含义。

  一般而言,用户在上传敏感信息前,系统应进行二次提示和确认,如未加以确认,相当于“悄悄”上传了用户WiFi密码。

  “京东微联”缺乏这一环节,因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的。

新华社调查:京东旗下一款APP擅自上传用户WiFi密码

  尽管“京东微联”APP在《用户使用协议》中承诺:“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”但网络安全人士认为,用户将WiFi密码等敏感信息上传给服务器,本身就给自身信息安全带来一定隐患。

  虽然WiFi密码等敏感信息是在HTTPS环境下上传的,外界很难截获,但是这一过程并非没有风险。刘晓光说,一旦被黑客截获,他完全可以进入你的WiFi劫持连接入WiFi的智能设备,“比如这些设备中包含网络摄像头,那么黑客也有机会调阅摄像头所拍摄的画面。”

  就此问题记者专门函询了北京京东世纪贸易有限公司,京东技术团队回应称,“虽然黑客对HTTPS传输通道的劫持是比较困难的,但微联未来会对敏感信息进行二次加密。”

作者: 编辑:辛欣

推荐阅读

国内

娱乐

军事

国际

俄罗斯风暴场面堪比灾难大片

普京突见叙总统 会谈内容曝光

版权所有:共青团中央网络影视中心信息网络传播视听节目许可证0105108号 京ICP备13016345号-1

联系我们  |  关于我们  |  客服电话:010-57380506
QQ截图20170813082405.png