央广网北京8月14日消息(记者王逸群)据经济之声《天下财经》报道,只需要一款APP就能操作家中的智能设备,确实非常便利。然而,这两天,这类APP的安全问题受到质疑。一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,文章说,京东旗下名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户的个人WiFi密码上传至京东服务器,给用户的网络安全埋下隐患。
京东旗下应用软件被曝涉嫌窃取用户隐私
近日一个名为嘶吼网的互联网安全新媒体网站撰文向京东旗下的一款智能家居软件“开炮”,称其涉嫌窃取用户无线网密码,文章中还附带有数据测试视频和截图。
文章中进行相关测试的该网站网络安全团队成员刘晓光(化名)介绍说,他们最初是在社交平台上关注到该事件,并于9日晚间和10日上午前后两次进行了安全性测试。“在嘶吼上面发现一个帖子,帖子上面提到了说他那边检测到了京东微联直接明文上传用户的WiFi的名字和密码,但是看京东的用户协议之后,突然发现它那里面是说不会上传的。发现这个线索之后就进行了一些复测,复测结果印证了这个帖子里面的内容。”
首先,京东微联是否真的上传了用户的无线网密码等信息?
京东微联软件在用户注册时提供的《用户使用协议》中写道:“在初次添加某款智能硬件设备过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”
刘晓光团队声称,因为协议中并没有明确提到“上传”二字,但他们在测试中抓取到了“证据”,因此认为该软件涉嫌窃取用户隐私:“京东在用户协议里面说它不会上传这个密码,但是我们在测试的时候,就是通过一些技术手段来截取这个APP进行几次操作时候的数据包,来分析这个数据包里面的内容然后发现,它上传这个密码了。”
《用户使用协议》是霸王条款
其次,京东微联软件上传用户无线网密码,是否尽到了告知义务?
今年6月起施行的《中华人民共和国网络安全法》相关规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”中国信息安全测评中心总工程师王军认为,无线网密码应当属于用户敏感信息,软件在上传前应进行二次提示和确认。
王军表示:“通常大家都认为,目前这样的做法实际上对用户还是不太公平的,你应该还是明确经过用户的授权,明确告知,不能够混在一大堆(《用户使用协议》)中,而且不能说用户不同意就不给服务,这有点儿霸王条款的感觉。”
此外专家还表示,其上传用户敏感信息是否具有合理性和必要性也值得深究,需要具体问题具体分析。
免费软件也应该遵循商业伦理
那么,京东微联软件为什么要上传用户的无线网密码呢?京东方面的解释是:“京东微联”真正做到了跨品牌、跨品类智能设备的连接,而其他系统很可能只是操作单一的智能硬件,因此无需上传WiFi密码。京东发布公告说, 2016年上半年之前,微联设备会上传Wi-Fi相关信息,但是,数据会加密也不会存储在云端;2016年下半年之后,设备不需要上传密码,因此也不会泄露用户信息。官方强调,无论新老设备,通过微联实现互联互通都不会导致用户信息泄露,请用户放心。
虽然京东做出这样的回应,但是,用户的隐私信息真的绝对安全吗?中国信息安全测评中心总工程师王军表示,如果黑客通过相关技术手段获取提交到京东微联的数据,将带来极大的安全风险。浙江省社会学学会会长杨建华则认为,即使企业提供的软件是免费的,也应该遵循商业伦理,他建议,对于存在技术缺陷和安全隐患的产品,理应改进甚至召回。
科普!地震被埋如何自救
