近日一个名为嘶吼网的互联网安全新媒体网站撰文向京东旗下的一款智能家居软件“开炮”,称其涉嫌窃取用户无线网密码,文章中还附带有数据测试视频和截图。
文章中进行相关测试的该网站网络安全团队成员刘晓光(化名)介绍说,他们最初是在社交平台上关注到该事件,并于9日晚间和10日上午前后两次进行了安全性测试,“网络帖子上面提到了说他那边检测到了京东微联直接明文上传用户的WiFi的名字和密码,但是看京东的(用户)协议之后发现它那里面是说不会上传的。我们发现了这个线索之后进行了一些复测。”
首先,京东微联是否真的上传了用户的无线网密码等信息?
京东微联软件在用户注册时提供的《用户使用协议》中写道:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”
刘晓光团队声称,因为协议中并没有明确提到“上传”二字,但他们在测试中抓取到了“证据”,因此认为该软件涉嫌窃取用户隐私。
第二,京东微联软件上传用户无线网密码,是否尽到了告知义务?
今年6月起施行的《中华人民共和国网络安全法》相关规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”中国信息安全测评中心总工程师王军认为,无线网密码应当属于用户敏感信息,软件在上传前应进行二次提示和确认。
王军指出,“目前这样的做法实际上对用户不太公平,应该明确经过用户的授权,明确告知,不能够混在一大堆《用户使用协议》中,而且不能说用户不同意就不给服务,这有点儿霸王条款的感觉。”
此外专家还表示,其上传用户敏感信息是否具有合理性和必要性也值得深究,需要具体问题具体分析。
第三,京东微联软件上传用户的无线网密码是出于何种考虑?
京东方面昨夜发布公告称,2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案,在匹配时会通过HTTPS(超文本传输安全协议)加密的方式上传Wi-Fi相关信息至云端完成编码,再回传到设备端完成配网流程,数据不但经过了加密,而且服务端不会存储任何Wi-Fi相关信息;2016年下半年后的设备不存在数据上传情况,因此无论新老设备,通过微联实现互联互通都不会导致用户信息泄露。
第四,用户隐私信息能否得到安全保障?
依据网络安全法的相关规定:网络运营者应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。中国信息安全测评中心总工程师王军表示,如果黑客通过相关技术手段获取提交到京东微联的数据,将给用户带来极大安全风险。比如黑客利用用户的电脑来做成网络攻击的客户端(“肉鸡”),比如说发布一些不合适的信息,甚至进行诈骗活动。执法部门追查起来第一个都是追查到用户这里来了,给用户带来麻烦。
不过,京东方面表示,考虑到用户的手机可能被恶意劫持,虽然对HTTPS的劫持是比较困难的操作,但微联仍然将会对敏感信息进行二次加密。
此外截至目前,京东也已委托律师向“嘶吼网”的主体公司北京嘶吼文化传媒有限公司发出了相关律师函,律师函中指出“嘶吼网”通过文章标题和内容捏造虚假事实,要求对方停止相关侵权行为