导语:据知乎网友爆料,京东旗下智能家居应用“京东微联”被曝违反国内个人信息保护法律,未经授权私自收集用户的WiFi密码,明文上传至云端。

昨天下班时分,嘶吼编辑刷知乎时看到,有网友称,做测试时意外发现京东微联App有异常行为,会偷偷明文上传用户当前使用的WiFi密码。

这位知乎网友做了个演示:Ta打开京东微联App,对一款智能硬件做联网设置,输入家里的WiFi密码后,这款硬件便能进行远程控制。(戳我看演示视频

整个过程表面上看没有任何问题,但流量监控软件显示,输入WiFi密码连接后,京东微联悄悄多做了一步——它把用户输入的WiFi名、WiFi密码保存起来,明文上传至服务器,没有任何提示。

v2-a9e32a961edc60522ccae53375092264_r.png

京东微联是京东推出的智能设备控制应用。按网站介绍,该应用支持的智能设备极多,可以统一管理用户在京东购买的智能商品,管理和分析家庭、健康数据,并提供个性化推荐服务。

在京东微联的用户协议里写着,不会以任何形式在云端收集存储用户WiFi密码。

在初次添加某款智能硬件设备的过程中,您需为此设备提供wifi环境接入所需的ssid以及密码,用于智能硬件设备和wifi环境的一键配置;我们会对这些信息,进行映射处理,但不会对原始信息以及映射处理后的信息进行任何云端的存储或修改,也不会公开、转让、用于其他使用目的。

为求证爆料者说法的真实性,嘶吼编辑尝试进行复现测试:

1333.jpg

在尝试添加设备时,Burpsuite抓到了如下数据包:

WechatIMG22.png

(这个数据包正在把我的WiFi名、密码明文上传到京东服务器)

体验过智能设备的读者对演示应该很熟悉,大家买来新的智能设备,首先要进行初始化设置,为设备连上WiFi。京东微联使用业内常见的几种标准技术,如EasyLink、Smart Config(Ti)、Smart Link(MTK)等,将WLAN的SSID与密码传输到未联网的智能设备上,从而使该设备拥有网络访问的权限。

相关的技术原理需要用户输入当前无线网络的密码,仅需在本地进行密码编码后的数据通信,不需要任何云端来进行操作。不上传到京东的服务器对用户的连接设备操作没有任何影响。

这个设备没有连WiFi就无法上网,那就连接不了京东服务器,也就是不可能把WiFi密码传到京东再传给设备。测试过程中,京东微联从未提示要收集WiFi密码。换而言之它是私自上传,纯属窃取用户隐私

使用京东微联需登录京东账号,也就是说京东能直接把使用者的个人身份、常用收货地址和家庭网络关联起来。作为一家电商企业,要收集消费者的网络连接密码干什么?是要看用户家里连了几台设备?还是想看用户上网干了什么呢?我实在想不明白。

但其危害却显而易见,京东旗下产品有能力进入任意使用京东微联用户的家庭网络,一旦发生泄漏,你的家用Wi-Fi极有可能被盗用,而在常见的家用网络中,设备之间都是有相互信任的一些协议,安全防护措施并不是那么严密,一旦有不法分子进入了你的家庭WiFi,你的网络隐私信息也会导致泄漏,而智能设备也可能会被恶意控制,造成现实中的隐私泄漏,例如家庭摄像头的信息被他人实施监控。

回忆过往历史,京东也曾发生过大规模数据泄漏的事件。例如2016年年底,京东数千万用户账号信息被泄漏。

京东自称不会收集用户的WiFi密码,但现在却赤裸裸变脸,违背协议,此举或违反国内个人信息保护的相关法律。

《中华人民共和国网络安全法》在用户隐私保护方面有明确的规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”而京东微联在未经用户同意的情况下私自获取用户WiFi密码,或涉嫌违反网络安全法。

嘶吼将对该事件进行持续报道。

源链接

Hacking more

...