京東微聯 App “竊隱私”爭議始末

08-16

最近,發生瞭一起這樣的爭議:

嘶吼:你們微聯 App 傳人傢的 Wi-Fi 賬戶和密碼,還不告訴用戶 !

京東微聯:我在協議裡寫瞭,你沒看到麼?我傳這些信息隻是為瞭配網!我傳的還是加密的,你看不到。

嘶吼:什麼看不到?我一個編輯隨便搞搞都能看到是明文信息!

京東微聯:你這是劫持!還說自己是普通用戶,不劫持看不到。

新華社:咳咳,我來說兩句,你們這個上傳沒必要啊,還有,你們沒說 2016 年下半年以後還搞不搞啊!

京東微聯:我們不在雲端存留信息,我們承諾絕不存儲、修改或傳播這些信息,新接入產品也不再發送。不信?你看我們合作夥伴也相信我們。

到底怎麼回事?我們來看看這件事情的始末——

嘶吼和京東微聯的爭議

8 月 10 日,安全媒體嘶吼網發佈瞭一篇文章《竊隱私,傳明文,京東劣舉挑戰網安法》,直指京東微聯 App 有異常行為,會偷偷明文上傳用戶當前使用的 Wi-Fi 密碼。

該文提出瞭三個重要觀點:

1. 相關的技術原理需要用戶輸入當前無線網絡的密碼,僅需在本地進行密碼編碼後的數據通信,不需要任何雲端來進行操作。不上傳到京東的服務器對用戶的連接設備操作沒有任何影響。這個設備沒有連 Wi-Fi 就無法上網,那就連接不瞭京東服務器,也就是不可能把 Wi-Fi 密碼傳到京東再傳給設備。

2. 測試過程中,京東微聯從未提示要收集 Wi-Fi 密碼。

3. 作為一傢電商企業,要收集消費者的網絡連接密碼幹什麼?但其危害卻顯而易見,京東旗下產品有能力進入任意使用京東微聯用戶的傢庭網絡,一旦發生泄漏,你的傢用 Wi-Fi 極有可能被盜用,而在常見的傢用網絡中,設備之間都是有相互信任的一些協議,安全防護措施並不是那麼嚴密,一旦有不法分子進入瞭你的傢庭 Wi-Fi,你的網絡隱私信息也會導致泄漏,而智能設備也可能會被惡意控制,造成現實中的隱私泄漏,例如傢庭攝像頭的信息被他人實施監控。

同日下午,嘶吼稱,它收到瞭京東的一份微信侵權通知函。

在嘶吼刊發的一文《京東用投訴的方式承認瞭私自上傳用戶 Wi-Fi 密碼》中,京東微聯向他們提出瞭這些理由:

1." 京東微聯 " 用戶協議聲稱,不會對用戶輸入的 Wi-Fi 名和密碼進行任何雲端的存儲或修改;

2. 京東聲稱,微聯 " 老設備會通過加密方式上傳信息,完全不存在明文上傳的情況 ";

3. 京東說 " 通過加密方式上傳 "。

嘶吼對這三點表示異議,尤其是第三點,嘶吼稱," 嘶吼編輯實測 " 後,"Wi-Fi 密碼信息在上傳過程使用瞭 HTTPS 加密協議傳輸,但裡邊的密碼信息確是明文的,連嘶吼編輯都可以看到明文密碼信息, 這 HTTPS 加密傳輸應用還是有待提高的。 "

新華社的疑問與京東的回應

這場爭議隨著 " 新華社 " 的介入愈演愈烈。

8 月 12 日,新華社在其微信上發表瞭一篇長文《警惕!京東這款 APP 悄悄上傳你的 Wi-Fi 密碼,絕大多數人不知道》。

該文提出瞭以下幾點意見:

1. 記者在 " 京東微聯 "APP 上調閱瞭《京東智能雲用戶使用協議》,第六條載明:" 在初次添加某款智能硬件設備的過程中,您需為此設備提供 Wi-Fi 環境接入所需的 SSID 以及密碼,用於智能硬件設備和 Wi-Fi 環境的一鍵配置。"京東公司據此認為,他們就上傳 Wi-Fi 密碼等信息向用戶進行瞭說明。同時,通過專傢之口指出,一般用戶很難在使用協議中發現該提示,應該進行明顯的二次提示。

2. 盡管 " 京東微聯 "APP 在《用戶使用協議》中承諾:" 不會對原始信息以及映射處理後的信息進行任何遠端的存儲或修改,也不會公開、轉讓、用於其他使用目的。" 但用戶將 Wi-Fi 密碼等敏感信息上傳給服務器,本身就給自身信息安全帶來一定隱患,他們再次強調瞭嘶吼的技術人員劉曉光在嘶吼文章中的觀點:黑客一旦入侵,隱私蕩然無存。

不過,該文同樣呈現瞭京東的回應:" 雖然黑客對 HTTPS 傳輸通道的劫持是比較困難的,但微聯未來會對敏感信息進行二次加密。"

新華社該文還稱,第一,在另一團隊的測試中," 京東微聯 " 確實存在向京東服務器上傳用戶 Wi-Fi 密碼的行為。第二," 將用戶的 Wi-Fi 密碼上傳至自己的服務器 " 這一步驟完全是 " 多餘 " 的。第三,除 " 京東微聯 "APP 外,他們還測試瞭幾款智能設備的操控軟件,均沒有發現將用戶 Wi-Fi 密碼上傳的行為。

最後,新華社的報道最後指出,采訪中京東公司並未明確,2016 年下半年以後,是出廠的智能設備無需上傳 Wi-Fi 密碼,還是該款軟件不再上傳 Wi-Fi 密碼。

對此,京東微聯稱,將用戶 Wi-Fi 信息上傳至雲端僅是出於配網的技術需要。並認為 " 京東微聯 " 真正做到瞭跨品牌、跨品類智能設備的連接,為用戶提供瞭良好的使用體驗;相比之下,其他系統很可能隻能操作單一的智能硬件,因此無需上傳 Wi-Fi 密碼," 拿兩者做比較是不恰當的 "。

在這一事件發酵的情況下,8 月 12 日," 京東黑板報 " 發出瞭一則官方聲明,雷鋒網編輯已對重要觀點加粗顯示:

1. 2016 年上半年之前的微聯設備為瞭適配不同廠商芯片及模塊的配網通訊方案,在匹配時會通過 HTTPS(超文本傳輸安全協議)加密的方式上傳 Wi-Fi 相關信息至雲端完成編碼,再回傳到設備端完成配網流程,數據不但經過瞭加密,而且服務端不會存儲任何 Wi-Fi 相關信息。

2. 京東微聯在用戶協議的第六條第二款中說明瞭:" 在初次添加某款智能硬件設備的過程中,您需為此設備提供 Wi-Fi 環境接入所需的 SSID 以及密碼,用於智能硬件設備和 Wi-Fi 環境的一鍵配置;我們會對這些信息,進行映射處理,但不會對原始信息以及映射處理後的信息進行任何遠端的存儲或修改,也不會公開、轉讓、用於其他使用目的。" 京東一直遵守該承諾,絕不會存儲、修改或傳播這些信息。

3. 為瞭統一配網過程,並提高配網成功率自 2016 年下半年起,新接入的微聯設備已經全部采用瞭微聯自研的全新配網技術,實現瞭本地配網,已經不需要上傳任何 Wi-Fi 信息。

4. 相關文章中談到技術專傢可以檢測微聯 APP 上傳 Wi-Fi 信息,是通過 " 劫持 " 自己手機的特殊技術設定實現的;在手機沒有被劫持的情況下,第三方不能通過監聽 HTTPS 的方式得到數據明文。

5. 京東一直從技術和流程等方面盡全力保護用戶信息,無論新老設備,通過微聯實現互聯互通都不會導致您的信息泄露。

6. 京東非常重視用戶的信息安全和媒體監督,考慮到用戶的手機可能被惡意劫持,雖然對 HTTPS 的劫持是比較困難的操作,但微聯仍然將會對敏感信息進行二次加密;同時,微聯會堅定、全面推進微聯自研配網協議的普及工作,新接入產品不再需要往雲端發送用戶 Wi-Fi 信息,統一用戶體驗,提高配網成功率,並消除用戶的困擾。

在該聲明的後半部分,京東微聯還拉上瞭公牛、美的、長虹等幾傢合作夥伴 " 背書 " 支援。

疑惑和再次測試

但是,問題來瞭:

1.往雲端發送用戶的 Wi-Fi 信息到底有沒有必要?真的是配網的必要需求嗎?

2." 技術專傢可以檢測微聯 APP 上傳 Wi-Fi 信息,是通過 " 劫持 " 自己手機的特殊技術設定實現的;在手機沒有被劫持的情況下,第三方不能通過監聽 HTTPS 的方式得到數據明文。"這一嘶吼和京東微聯的關鍵爭議點到底誰有理?

3." 用戶的手機可能被惡意劫持,雖然對 HTTPS 的劫持是比較困難的操作,但微聯仍然將會對敏感信息進行二次加密。"這種劫持到底有多難?嘶吼技術人員的擔心有道理嗎?

雷鋒網編輯就這些問題請教瞭某移動安全公司資深安全專傢 W(經采訪對象要求匿名),並邀請對方進行技術支持,再次測試嘶吼、新華社的文章中提到的幾點。

W 認為:

1. 向雲端發送用戶的 Wi-Fi 信息沒有必要,配網需求是推托之詞。

2. 第三方劫持難度要看 HTTPS 是如何配置的,如果是隻做瞭驗簽,就不能修改用戶賬號密碼信息,但能看;如果做瞭加密,連看都不能看。加密有兩層意思,一是數據本身做加密,使用 HTTPS 的協議,另一種是該應用程序對數據進行加密,通過 HTTPS 發放出去,這樣 HTTPS 就不用加密。這兩種方式都能在通訊上保證數據安全。

3. 這種劫持確實有一定難度,需要滿足以下條件:攻擊程序侵入到進攻位點進程,這就需要要麼手機被 ROOT 掉,要麼京東微聯本身有溢出漏洞,外部能植入 SO 程序,進入進程,完成劫持。但是,光憑京東微聯上傳用戶的 Wi-Fi 的賬戶和密碼,就是不對的,本來就不是屬於它們的東西,不管劫持難度大不大。

8 月 14 日,嘶吼的一位知情人士告訴雷鋒網,他們在測試過程中,使用的是公牛的二代加強版智能插座。8 月 15 日,W 通過手機應用商店下載瞭京東微聯 App。

W 表示,這一版本的 App 是 8 月 14 日發佈的最新版應用,也就是說,這一版本應該是最近爭議發生後京東微聯推出的改進版。

W 初步分析後向雷鋒網表示,該 App 應該不能連接非合作品牌的智能傢居產品,因為手邊沒有京東微聯 App 的合作智能傢居產品。W 進行瞭謹慎地靜態分析及推斷。

以下為 W 的分析結果:

由於沒有智能設備連接,參考嘶吼上一版本的文明字符串參數:

mac_id、config_type、ssid、pass 等等。

在 androidkiller 中搜索 pass

根據 pass 字符串定位函數

以上函數為拼接 wifi 密碼等信息

調用 Lcom/jd/smart/utils/k;->a 函數

a 函數中調用 AES 算法進行 wifi 信息加密。

調用 http 相關函數進行發送

調用 http 相關函數進行 post 發送。

由於沒有智能設備,以上流程並未通過驗證。

W 總結,從靜態分析結果看,新版本的京東微聯 App 依然收集 Wi-Fi 賬號密碼,但在加密後發送,不過要有設備再次連接後才能驗證。目前,W 已經網購瞭一款公牛智能插座,敬請期待後續驗證結果。

精彩圖片
文章評論 相關閱讀
© 2016 看看新聞 http://www.kankannews.cc/