原标题:你家WiFi密码正被悄然上传?
随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款App,就能够操控家中的智能设备,不可谓不方便。
但是,如果有人告诉你,你正在使用的这款App会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担心?
的确存在安全隐患
8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,该文直指旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。经记者核实,该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。
记者在“京东微联”App上调阅了《京东智能云用户使用协议》,第六条载明:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为他们已向用户进行了说明。
不过上海一家公司的网络安全专家宋宏宇认为,普通用户在长篇累牍的使用协议中很难找到和读懂这一说明。用户在上传敏感信息前,系统应进行二次提示和确认。如未加以确认,相当于“悄悄”上传了用户WiFi密码。
尽管“京东微联”App在《用户使用协议》中承诺“不会公开、转让、用于其他使用目的”,但网络安全人士认为,用户将WiFi密码等敏感信息上传给服务器,本身就给自身信息安全带来一定隐患。“嘶吼网”团队成员刘晓光说,一旦被黑客截获,他完全可以进入你的WiFi劫持连接入WiFi的智能设备。
为何要获取用户信息?
据刘晓光的技术团队介绍,除“京东微联”App外,他们还测试了几款智能设备的操控软件,均没有发现将用户WiFi密码上传的行为。
对此,京东方面的技术人员回应称:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,为用户提供了良好的使用体验;相比之下,其他系统很可能只能操作单一的智能硬件,因此无需上传WiFi密码,“拿两者做比较是不恰当的。”
事实上,“京东微联”已改变这种配网方式。京东公司在函询中称,他们自2016年下半年开始自研配网方案,该方案仅需在家庭局域网内就能关联智能设备,无须再将WiFi信息发送至云端。此外京东方面还表示,他们将尽快完成系统升级,争取实现全部设备的本地配网。
采访中京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传WiFi密码,还是该款软件不再上传WiFi密码。在记者采访调查期间,两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试,发现“京东微联”App在连接部分智能设备时,仍然存在上传WiFi信息的情况。
互联网企业应更好履行网络安全义务
此次京东擅自上传用户WiFi密码的事件,引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为,该行为涉嫌侵犯个人的私密领域,侵害个人隐私权,存在一定的安全隐患,有必要引起用户注意。
浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为,即使企业提供的软件是免费的,其仍应该遵循商业伦理,并采取二次提示等方式,明确向用户告知上传敏感信息的行为,由用户决定是否继续使用该软件。
杨建华表示,有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务,依法依规保障用户和消费者的知情权,对于存在技术缺陷和安全隐患的产品,理应召回或改进。
目前,“京东微联”正在为消除用户顾虑而进行技术方案调整升级。
据新华社厦门8月12日电
■神回复
@光光:应该是说,我请了一个保姆来干活,保姆把家里的钥匙制作方法报送总公司进行备案,所以一旦总公司被盗,千万户的钥匙都有可能被人配出来……