京東這款APP悄悄上傳你的WiFi密碼

信息安全公益宣傳，信息安全知識啟蒙。

加微信群或QQ群可免費索取：學習教程

教程列表見微信公眾號底部菜單

隨著信息社會的高速發展，各類智能設備已經走入尋常百姓家。只需要一款APP，就能夠操控家中的智能設備，不可謂不方便。

但是，如果有人告訴你，你正在使用的這款APP會將你家的WiFi密碼上傳到對方的伺服器中，你所使用的聯網智能設備存在被人操控的風險，你是否會擔心？

你的WiFi密碼正被悄然上傳

8月10日下午，一篇題為《竊隱私，傳明文，京東劣舉挑戰網安法》的文章在網上傳播，該文直指京東旗下一款名為「京東微聯」的智能家居應用軟體在沒有明確告知用戶的前提下，擅自將用戶輸入的個人WiFi密碼上傳至京東伺服器，為用戶的網路安全埋下隱患。

在該文中，還附帶有對「京東微聯」APP連接WiFi時的專業數據測試視頻和截圖。經記者核實，該文出自名為「嘶吼網」的網路安全媒體的技術團隊之手。

據團隊成員劉曉光（化名）介紹，他們在知乎上留意到相關內容，並於9日晚間和10日上午前後兩次進行了安全性測試，結果顯示該APP確實存在向京東伺服器上傳用戶WiFi密碼的行為。

記者在「京東微聯」APP上調閱了《京東智能雲用戶使用協議》，第六條載明：「在初次添加某款智能硬體設備的過程中，您需為此設備提供WiFi環境接入所需的SSID以及密碼，用於智能硬體設備和WiFi環境的一鍵配置。」京東公司據此認為，他們就上傳WiFi密碼等信息向用戶進行了說明。

不過上海一家公司的網路安全專家宋宏宇認為，

普通用戶在長篇累牘的使用協議中很難找到和讀懂這一說明，「提供」與「上傳」概念不同，作為一名普通用戶無法確切知曉協議中「提供」的具體含義。

一般而言，用戶在上傳敏感信息前，系統應進行二次提示和確認，如未加以確認，相當於「悄悄」上傳了用戶WiFi密碼。

「京東微聯」缺乏這一環節，因此WiFi密碼被上傳一事絕大多數用戶很可能是毫不知情的。

儘管「京東微聯」APP在《用戶使用協議》中承諾：「不會對原始信息以及映射處理后的信息進行任何遠端的存儲或修改，也不會公開、轉讓、用於其他使用目的。」但網路安全人士認為，用戶將WiFi密碼等敏感信息上傳給伺服器，本身就給自身信息安全帶來一定隱患。

雖然WiFi密碼等敏感信息是在HTTPS環境下上傳的，外界很難截獲，但是這一過程並非沒有風險。劉曉光說，一旦被黑客截獲，他完全可以進入你的WiFi劫持連接入WiFi的智能設備，「比如這些設備中包含網路攝像頭，那麼黑客也有機會調閱攝像頭所拍攝的畫面。」

就此問題記者專門函詢了北京京東世紀貿易有限公司，京東技術團隊回應稱，「雖然黑客對HTTPS傳輸通道的劫持是比較困難的，但微聯未來會對敏感信息進行二次加密。」

為什麼「京東微聯」要獲取

用戶的WiFi信息？

為驗證劉曉光及其技術團隊的說法，記者又聯繫了國內某知名互聯網安全企業，對上述過程進行二次驗證。在通過多種技術手段驗證后，該企業的工程師團隊確認，「京東微聯」確實存在向京東伺服器上傳用戶WiFi密碼的行為。

該團隊的一名工程師指出，「將用戶的WiFi密碼上傳至自己的伺服器」這一步驟完全是「多餘」的，因為即使是為了將家用智能設備和WiFi進行關聯，也僅需要在家庭區域網內進行即可，沒必要「多此一舉」將用戶的WiFi密碼上傳至雲端。「京東微聯」如此操作令人費解。

有業內人士將「京東微聯」的行為作了一個比喻：「我請了一個保姆來我家幹活，結果這個保姆在未經我允許的情況下擅自去配了一把我家的鑰匙，這樣的行為對我自身的安全肯定產生了影響。」

據劉曉光的技術團隊介紹，除「京東微聯」APP外，他們還測試了幾款智能設備的操控軟體，均沒有發現將用戶WiFi密碼上傳的行為。

記者為此向京東公司求證，對方認為，將用戶WiFi信息上傳至雲端僅是出於配網的技術需要。京東方面的技術人員回應稱：「京東微聯」真正做到了跨品牌、跨品類智能設備的連接，為用戶提供了良好的使用體驗；相比之下，其他系統很可能只能操作單一的智能硬體，因此無需上傳WiFi密碼，「拿兩者做比較是不恰當的。」

事實上，「京東微聯」已改變這種配網方式。京東公司在函詢中稱，他們自2016年下半年開始自研配網方案，該方案僅需在家庭區域網內就能關聯智能設備，無須再將WiFi信息發送至雲端。此外京東方面還表示，他們將儘快完成系統升級，爭取實現全部設備的本地配網。

採訪中京東公司並未明確，2016年下半年以後，是出廠的智能設備無需上傳WiFi密碼，還是該款軟體不再上傳WiFi密碼。在記者採訪調查期間，兩支網路安全工程師團隊隨機選擇了多款不同時期出廠的智能硬體設備進行測試，發現「京東微聯」APP在連接部分智能設備時，仍然存在上傳WiFi信息的情況。

專家觀點：互聯網企業應更好履行網路安全義務

下面閱讀原文，有啥 ？