游客:|登录 |注册 |忘记密码
加载中...

千亿qy966.com零距离网络

版块导航

最千亿qy966.com
酒都眺望网友报料千亿qy966.com万事通千亿qy966.com发布闲聊八卦早读分享
吃喝玩
发现美食发现好耍爱上厨房音乐电影商家自荐千亿qy966.com棋牌京东爆款
买房子
我要买房V友侃房业主之家二手房子
爱家居
装修讨论装修日记建材软装最美效果图家装会所
开车子
千亿qy966.com车友我要买车我要学车维修保养二手车租赁拼车
兴趣圈
骑行圈子徒步圈子水族圈子宠物圈子滑翔圈子跑步圈子垂钓圈子摄影圈子花草圈子书画圈子
爱旅行
游记分享线路攻略V友同行自驾邀约商家发布
幸福家
亲子活动情感男女孕妈学校征婚交友谈婚论嫁婚纱影楼妈咪宝贝
做公益
酒都义工公益综合我要求助大学生创业
小广告
招聘求职出租求租跳蚤市场商家自荐家政便民
行业圈
金融理财教育成长健康医疗千亿qy966.com特产
合作区
警民网事翠屏城事法苑之窗千亿qy966.com工商天顺拓展今日临港千亿qy966.com公交律师服务
办公室
事务板英联俱乐部休息室档案柜
查看: 5163|回复: 6

[百姓话题] 新华社喊话京东 你这个在别人家当保姆的 怎么在偷偷配主人家钥匙?

[复制链接]
楼主
发表于 2017-8-12 21:45 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
今天看到新华社公众号的一篇文章,提醒大家注意手机上安装的软件偷偷干的一些行为;关注网络安全,严防个人隐私泄露原文如下:


随着信息社会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就能够操控家中的智能设备,不可谓不方便。

但是,如果有人告诉你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联网智能设备存在被人操控的风险,你是否会担心?


1

你的WiFi密码正被悄然上传

8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。

在该文中,还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。经记者核实,该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。
据团队成员刘晓光(化名)介绍,他们在知乎上留意到相关内容,并于9日晚间和10日上午前后两次进行了安全性测试,结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。

记者在“京东微联”APP上调阅了《京东智能云用户使用协议》,第六条载明:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为,他们就上传WiFi密码等信息向用户进行了说明。

不过上海一家公司的网络安全专家宋宏宇认为,

普通用户在长篇累牍的使用协议中很难找到和读懂这一说明,“提供”与“上传”概念不同,作为一名普通用户无法确切知晓协议中“提供”的具体含义。

一般而言,用户在上传敏感信息前,系统应进行二次提示和确认,如未加以确认,相当于“悄悄”上传了用户WiFi密码。

“京东微联”缺乏这一环节,因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的。

尽管“京东微联”APP在《用户使用协议》中承诺:“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”但网络安全人士认为,用户将WiFi密码等敏感信息上传给服务器,本身就给自身信息安全带来一定隐患。

虽然WiFi密码等敏感信息是在HTTPS环境下上传的,外界很难截获,但是这一过程并非没有风险。刘晓光说,一旦被黑客截获,他完全可以进入你的WiFi劫持连接入WiFi的智能设备,“比如这些设备中包含网络摄像头,那么黑客也有机会调阅摄像头所拍摄的画面。”

就此问题记者专门函询了北京京东世纪贸易有限公司,京东技术团队回应称,“虽然黑客对HTTPS传输通道的劫持是比较困难的,但微联未来会对敏感信息进行二次加密。”
2

为什么“京东微联”要获取
用户的WiFi信息?

为验证刘晓光及其技术团队的说法,记者又联系了国内某知名互联网安全企业,对上述过程进行二次验证。在通过多种技术手段验证后,该企业的工程师团队确认,“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。

该团队的一名工程师指出,“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的,因为即使是为了将家用智能设备和WiFi进行关联,也仅需要在家庭局域网内进行即可,没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。

有业内人士将“京东微联”的行为作了一个比喻:“我请了一个保姆来我家干活,结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙,这样的行为对我自身的安全肯定产生了影响。”

据刘晓光的技术团队介绍,除“京东微联”APP外,他们还测试了几款智能设备的操控软件,均没有发现将用户WiFi密码上传的行为。

记者为此向京东公司求证,对方认为,将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术人员回应称:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,为用户提供了良好的使用体验;相比之下,其他系统很可能只能操作单一的智能硬件,因此无需上传WiFi密码,“拿两者做比较是不恰当的。”

事实上,“京东微联”已改变这种配网方式。京东公司在函询中称,他们自2016年下半年开始自研配网方案,该方案仅需在家庭局域网内就能关联智能设备,无须再将WiFi信息发送至云端。此外京东方面还表示,他们将尽快完成系统升级,争取实现全部设备的本地配网。

采访中京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传WiFi密码,还是该款软件不再上传WiFi密码。在记者采访调查期间,两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,仍然存在上传WiFi信息的情况。

3

专家观点:互联网企业应更好履行网络安全义务

前不久,浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件,犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP,并将摄像头所拍摄的内容在网上兜售。此案一出,舆论再次将视线聚焦到公民的信息安全上来。

在此之前,“WiFi万能钥匙”擅自上传用户WiFi密码的做法,已饱受媒体和公众质疑。而此次京东擅自上传用户WiFi密码的事件,也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为,该行为涉嫌侵犯个人的私密领域,侵害个人隐私权,存在一定的安全隐患,有必要引起用户注意。

根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为,即使企业提供的软件是免费的,其仍应该遵循商业伦理,并采取二次提示等方式,明确向用户告知上传敏感信息的行为,由用户决定是否继续使用该软件。

杨建华表示,有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务,依法依规保障用户和消费者的知情权,对于存在技术缺陷和安全隐患的产品,理应召回或改进。

目前,“京东微联”正在为消除用户顾虑而进行技术方案调整升级。

  也就是说,到现在京东的app还在继续“当保姆去偷偷配你家门钥匙的行为”...

希望我的分享能对大家有帮助,长按识别二维码聊更多话题


点评

京东算个屁啊!有些人喊着做公仆,结果比主人还牛逼  发表于 2017-8-14 15:57
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶3 踩
回复

使用道具 举报

沙发
发表于 2017-8-12 23:03 | 只看该作者
回复 支持 反对

使用道具 举报

3
发表于 2017-8-13 00:42 来自零距离APP | 只看该作者
 
擅自盗取客户信息,应该严惩不贷。
 
回复 支持 反对

使用道具 举报

4
 楼主| 发表于 2017-8-14 11:43 来自零距离APP | 只看该作者
 
360、百度、这些都有,现在只有先从提高防范意识开始……
 
回复 支持 反对

使用道具 举报

5
发表于 2017-8-14 14:38 来自零距离APP | 只看该作者
 
活在别人眼睛里。。。。
 
回复 支持 反对

使用道具 举报

6
发表于 2017-8-14 16:03 | 只看该作者
人家不是跟公仆学的嘛
回复 支持 反对

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则