您好!欢迎来到一线生活-深圳论坛
关注我们
扫码关注官方微信
手机版
手机扫描直接访问

旗下APP上传用户无线密码?京东称新设备不会,遭新华社打脸

0
回复
244
查看
[复制链接]

8775

主题

1万

帖子

2万

积分

论坛元老

Rank: 8Rank: 8

积分
29643
发表于 2022-10-30 20:22:45 | 显示全部楼层 |阅读模式


中新经纬客户端8月12日电 对于京东旗下APP京东微联上传用户的Wi-Fi信息一事,京东官方公众号“京东黑板报”12日晚间作出回应称,2016年下半年后的设备不存在数据上传情况。但新华社调查发现,对不同时期出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,仍然存在上传WiFi信息的情况。

8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。

8月12日,经新华社调查核实,文章出自名为“嘶吼网”的网络安全媒体的技术团队之手。据团队成员刘晓光(化名)介绍,他们在知乎上留意到相关内容,并于9日晚间和10日上午前后两次进行了安全性测试,结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。



京东在声明中称,2016年下半年前的智能设备会通过HTTPS安全协议上传Wi-Fi信息,只进行必要的设备配网技术流程,不会在云端保存;2016年下半年后的设备不存在数据上传情况;无论新老设备,通过微联实现互联互通都不会导致用户信息泄露。

但新华社调查发现,两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试,发现“京东微联”APP在连接部分智能设备时,仍然存在上传WiFi信息的情况。

此外,京东声称WiFi密码等敏感信息是在HTTPS环境下上传的,外界很难截获。但据新华社援引刘晓光的观点认为,一旦被黑客截获,他完全可以进入你的WiFi劫持连接入WiFi的智能设备,“比如这些设备中包含网络摄像头,那么黑客也有机会调阅摄像头所拍摄的画面。”



京东具体声明如下:

1. 2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案,在匹配时会通过HTTPS(超文本传输安全协议)加密的方式上传Wi-Fi相关信息至云端完成编码,再回传到设备端完成配网流程,数据不但经过了加密,而且服务端不会存储任何Wi-Fi相关信息。

2. 京东微联在用户协议的第六条第二款中说明了:“在初次添加某款智能硬件设备的过程中,您需为此设备提供Wi-Fi环境接入所需的SSID以及密码,用于智能硬件设备和Wi-Fi环境的一键配置;我们会对这些信息,进行映射处理,但不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”京东一直遵守该承诺,绝不会存储、修改或传播这些信息。

3. 为了统一配网过程,并提高配网成功率,自2016年下半年起,新接入的微联设备已经全部采用了微联自研的全新配网技术,实现了本地配网,已经不需要上传任何Wi-Fi信息。

4. 相关文章中谈到技术专家可以检测微联APP上传Wi-Fi信息,是通过“劫持”自己手机的特殊技术设定实现的;在手机没有被劫持的情况下,第三方不能通过监听HTTPS的方式得到数据明文。

5. 京东一直从技术和流程等方面尽全力保护用户信息,无论新老设备,通过微联实现互联互通都不会导致您的信息泄露。

6. 京东非常重视用户的信息安全和媒体监督,考虑到用户的手机可能被恶意劫持,虽然对HTTPS的劫持是比较困难的操作,但微联仍然将会对敏感信息进行二次加密;同时,微联会坚定、全面推进微联自研配网协议的普及工作,新接入产品不再需要往云端发送用户Wi-Fi信息,统一用户体验,提高配网成功率,并消除用户的困扰。(中新经纬APP)

关注中新经纬微信公众号(微信搜索“中新经纬”或“jwview”),看更多精彩财经资讯。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系我们

免费联系电话

400-8855-271

客服QQ:2524604571

服务时间:周一到周日8:00-23:30

关注我们
  • 关注官方微信

  • 手机APP