新华社调查：京东旗下一款APP擅自上传用户WiFi密码

sfd255

随着信息社会的高速发展，各类智能设备已经走入寻常百姓家。只需要一款APP，就能够操控家中的智能设备，不可谓不方便。但是，如果有人告诉你，你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中，你所使用的联网智能设备存在被人操控的风险，你是否会担心？



为什么“京东微联”要获取用户的WiFi信息？
为验证刘晓光及其技术团队的说法，记者又联系了国内某知名互联网安全企业，对上述过程进行二次验证。在通过多种技术手段验证后，该企业的工程师团队确认，“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。
该团队的一名工程师指出，“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的，因为即使是为了将家用智能设备和WiFi进行关联，也仅需要在家庭局域网内进行即可，没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。
有业内人士将“京东微联”的行为作了一个比喻：“我请了一个保姆来我家干活，结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙，这样的行为对我自身的安全肯定产生了影响。”



据刘晓光的技术团队介绍，除“京东微联”APP外，他们还测试了几款智能设备的操控软件，均没有发现将用户WiFi密码上传的行为。


记者为此向京东公司求证，对方认为，将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术人员回应称：“京东微联”真正做到了跨品牌、跨品类智能设备的连接，为用户提供了良好的使用体验；相比之下，其他系统很可能只能操作单一的智能硬件，因此无需上传WiFi密码，“拿两者做比较是不恰当的。”
事实上，“京东微联”已改变这种配网方式。京东公司在函询中称，他们自2016年下半年开始自研配网方案，该方案仅需在家庭局域网内就能关联智能设备，无须再将WiFi信息发送至云端。此外京东方面还表示，他们将尽快完成系统升级，争取实现全部设备的本地配网。
采访中京东公司并未明确，2016年下半年以后，是出厂的智能设备无需上传WiFi密码，还是该款软件不再上传WiFi密码。在记者采访调查期间，两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试，发现“京东微联”APP在连接部分智能设备时，仍然存在上传WiFi信息的情况。
专家观点：互联网企业应更好履行网络安全义务
前不久，浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件，犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP，并将摄像头所拍摄的内容在网上兜售。此案一出，舆论再次将视线聚焦到公民的信息安全上来。
在此之前，“WiFi万能钥匙”擅自上传用户WiFi密码的做法，已饱受媒体和公众质疑。而此次京东擅自上传用户WiFi密码的事件，也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为，该行为涉嫌侵犯个人的私密领域，侵害个人隐私权，存在一定的安全隐患，有必要引起用户注意。
根据2017年6月1日起施行的《中华人民共和国网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”
浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为，即使企业提供的软件是免费的，其仍应该遵循商业伦理，并采取二次提示等方式，明确向用户告知上传敏感信息的行为，由用户决定是否继续使用该软件。
杨建华表示，有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务，依法依规保障用户和消费者的知情权，对于存在技术缺陷和安全隐患的产品，理应召回或改进。
目前，“京东微联”正在为消除用户顾虑而进行技术方案调整升级。