资料图
随着信息 会的高速发展,各类智能设备已经走入寻常百姓家。只需要一款APP,就能够操控家中的智能设备,不可谓不方便。
但是,如果有人告诉你,你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中,你所使用的联 智能设备存在被人操控的风险,你是否会担心?
“京东微联”擅自上传用户WiFi密码
8月10日下午,一篇题为《窃隐私,传明文,京东劣举挑战 安法》的文章在 上传播,该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的 络安全埋下隐患。
不过上海一家公司的 络安全专家宋宏宇认为,普通用户在长篇累牍的使用协议中很难找到和读懂这一说明,“提供”与“上传”概念不同,作为一名普通用户无法确切知晓协议中“提供”的具体含义。宋宏宇说,一般而言,用户在上传敏感信息前,系统应进行二次提示和确认,如未加以确认,相当于“悄悄”上传了用户WiFi密码。“京东微联”缺乏这一环节,因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的。
尽管“京东微联”APP在《用户使用协议》中承诺:“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”但 络安全人士认为,用户将WiFi密码等敏感信息上传给服务器,本身就给自身信息安全带来一定隐患。
虽然WiFi密码等敏感信息是在HTTPS环境下上传的,外界很难截获,但是这一过程并非没有风险。刘晓光说,一旦被黑客截获,他完全可以进入你的WiFi劫持连接入WiFi的智能设备,“比如这些设备中包含 络摄像头,那么黑客也有机会调阅摄像头所拍摄的画面。”
“京东微联”为何获取用户WiFi信息
该团队工程师指出,“将用户WiFi密码上传至自己的服务器”这一步骤完全“多余”,因为即使是为了将家用智能设备和WiFi进行关联,也仅需要在家庭局域 内进行即可,没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。
有业内人士将“京东微联”的行为作了一个比喻:“我请了一个保姆来我家干活,结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙,这样的行为对我自身的安全肯定产生了影响。”
专家观点>>>
互联 企业
应更好履行 络安全义务
前不久,浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件,犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP,并将摄像头所拍摄的内容在 上兜售。此案一出,舆论再次将视线聚焦到公民的信息安全上来。
根据2017年6月1日起施行的《中华人民共和国 络安全法》第四十一条规定:“ 络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
浙江省人民政府咨询委员会委员、浙江省 会学学会会长杨建华则认为,即使企业提供的软件是免费的,其仍应该遵循商业伦理,并采取二次提示等方式,明确向用户告知上传敏感信息的行为,由用户决定是否继续使用该软件。
杨建华表示,有关互联 企业应该履行与其影响力相匹配的 会责任及 络安全义务,依法依规保障用户和消费者的知情权,对于存在技术缺陷和安全隐患的产品,理应召回或改进。
目前,“京东微联”正在为消除用户顾虑而进行技术方案调整升级。(据新华 )
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!