2 月 25 日，雷鋒網(wǎng)編輯的朋友圈出現(xiàn)了一張截圖，稱墨跡天氣 App 上傳了用戶的所有 Wi-Fi  賬號(hào)，抓包抓出了流氓，背后還有騰訊等大公司的服務(wù)接口。

無(wú)圖無(wú)真相，對(duì)方還拋出了抓包信息。

這事是真的嗎？Wi-Fi 信息被上傳是什么意思？這事到底跟普通用戶和騰訊又有什么關(guān)系？為此，雷鋒網(wǎng)請(qǐng)教了網(wǎng)絡(luò)安全專家、SOBUG 創(chuàng)始人江金濤，獲得了騰訊 Wi-Fi 安全實(shí)驗(yàn)室負(fù)責(zé)人姚威與墨跡天氣公關(guān)人士的回應(yīng)。

著急的宅友可以先看三位的核心觀點(diǎn)：

江金濤：1.應(yīng)該是獲取 Wi-Fi 的 SSID 信息，不包含密碼，但是足以通過(guò) SSID 進(jìn)行人群的聚集分析。2.事先應(yīng)該是得到過(guò)用戶的權(quán)限授權(quán)。3.通過(guò) http 接口進(jìn)行傳輸，沒(méi)有加密，很容易在鏈路層被截取，不安全。4.靠網(wǎng)絡(luò)服務(wù)提供商保護(hù)用戶隱私就是個(gè)笑話。

姚威：躺槍，我們沒(méi)干這事，可以去告造謠的人了！

墨跡天氣公關(guān)：不存在上傳用戶 Wi-Fi 賬號(hào)甚至其他個(gè)人隱私信息，更不存在信息泄露的問(wèn)題，圖片上的標(biāo)注是錯(cuò)誤的。

到底有沒(méi)有收集

用戶需要對(duì)墨跡天氣 App 開(kāi)放哪些權(quán)限？

雷鋒網(wǎng)編輯使用安卓手機(jī)和蘋(píng)果手機(jī)同時(shí)下載了墨跡天氣 App，以安卓手機(jī)的下載情況為例：

江金濤告訴雷鋒網(wǎng)，朋友圈中流傳的那張抓包圖片中指的應(yīng)該是獲取 Wi-Fi 的 SSID 信息，不包含密碼。所謂 SSID，通俗來(lái)說(shuō)，就是用戶手機(jī)里的 Wi-Fi 名稱列表。

收集 Wi-Fi 名稱有什么用？

“如果不收集密碼，僅收集 Wi-Fi 名稱，看上去好像沒(méi)什么值得保密，但其實(shí)這是一個(gè)非常隱私的數(shù)據(jù)，比如名稱列表里有大量相同的 Wi-Fi 名稱，交叉比對(duì)會(huì)發(fā)現(xiàn)用戶可能現(xiàn)在置身在某一個(gè)商場(chǎng)中，如果某一個(gè)地區(qū)里有很多人的 Wi-Fi 名稱列表一致，證明有很多人聚集在此處，還可以通過(guò) Wi-Fi 名稱和相同數(shù)量判斷一個(gè)人所在的定位以及兩人的社交關(guān)系?！苯饾嵝?。

不過(guò)，如果你知道了一個(gè)人的 Wi-Fi 名稱，只要在這個(gè)對(duì)話中輸入，則可以判斷其相對(duì)位置。

當(dāng)然，上述可能只是通過(guò) Wi-Fi 信號(hào)強(qiáng)弱進(jìn)行最直觀的判斷，如果將這個(gè)數(shù)據(jù)與 GPS 和其他功能配合，能獲得更準(zhǔn)確的定位。江金濤認(rèn)為，從上述角度看，Wi-Fi 名稱列表可以說(shuō)是判斷用戶位置信息的維度之一，一般用于大數(shù)據(jù)營(yíng)銷的用戶畫(huà)像，并猜測(cè)墨跡天氣應(yīng)該事先征求了用戶的同意。

根據(jù)墨跡天氣公關(guān)人士對(duì)雷鋒網(wǎng)的回應(yīng)：“從圖片的代碼可以看出，我們收集的是公共Wi-Fi 環(huán)境里的Wi-Fi 網(wǎng)絡(luò)名稱，這屬于公共公開(kāi)信息，不屬于個(gè)人信息，是經(jīng)用戶同意合法獲取。”再交叉比對(duì)編輯安裝墨跡天氣 App 的情況，“（基于網(wǎng)絡(luò)的）大概位置”應(yīng)該就是這一選項(xiàng)。

不過(guò)，墨跡天氣的公關(guān)強(qiáng)調(diào)：“不存在上傳用戶 Wi-Fi 賬號(hào)甚至其他個(gè)人隱私信息，更不存在信息泄露的問(wèn)題，圖片上的標(biāo)注是錯(cuò)誤的。”

誰(shuí)干的

這些 Wi-Fi 位置信息究竟去了哪里？對(duì)于一個(gè)天氣 App 而言，為了提供精準(zhǔn)服務(wù)，獲取用戶的位置信息無(wú)可厚非，而且明明獲取用戶的精準(zhǔn)位置信息即可，為什么還會(huì)獲取 Wi-Fi 名稱？傳說(shuō)騰訊調(diào)用了一個(gè)接口又是怎么回事？

姚威發(fā)出了否認(rèn)五連。

“1.騰訊的用戶體系并不會(huì)從任何三方 App 去收集信息； 2.對(duì)于分析抓包看到的域名跟騰訊沒(méi)有任何關(guān)系； 3.騰訊 Wi-Fi 安全實(shí)驗(yàn)室和 Wi-Fi 管家本身就對(duì)所有內(nèi)部數(shù)據(jù)做監(jiān)管，即使是自己的數(shù)據(jù)也不可能輕易使用，對(duì)于數(shù)據(jù)類的東西不可能與任何三方做交易和共享； 5.騰訊數(shù)據(jù)不出騰訊是紅線，騰訊也不購(gòu)買任何人提供的 Wi-Fi 用戶數(shù)據(jù)。”

“從頭到尾沒(méi)出現(xiàn)任何騰訊信息啊，發(fā)推的人是怎么想的呢？ 推特和境外網(wǎng)站不是法外之地，境外謠言也是謠言啊?！彼麖?qiáng)調(diào)。

姚威表示，從上述圖片中分析抓包的域名可以看到，數(shù)據(jù)流向了兩個(gè)大數(shù)據(jù)分析和營(yíng)銷公司的 SDK（感興趣的宅友自己去翻圖片），這與江金濤所說(shuō)的用于“大數(shù)據(jù)營(yíng)銷用戶畫(huà)像”的觀點(diǎn)不謀而合。但這是一場(chǎng)天氣 App 與大數(shù)據(jù)分析公司的合作還是大數(shù)據(jù)分析公司擅自作為？

雷鋒網(wǎng)編輯直接向墨跡天氣公關(guān)拋出了自己的疑問(wèn)：“有安全專家說(shuō)，其實(shí)是大數(shù)據(jù)公司的 SDK 惹的禍，比如里面出現(xiàn)的****data，你們和這家公司是否有合作？”該公關(guān)回應(yīng)稱：“其他公司情況如何我們不方便置評(píng)，但這種行為我們內(nèi)部是嚴(yán)格不允許的?！?/p>

目前沒(méi)有其他資料可以得出結(jié)論。

江金濤認(rèn)為，其實(shí)抓取 Wi-Fi 名稱數(shù)據(jù)這種行為在國(guó)內(nèi)很多 App 的操作中十分常見(jiàn)，只不過(guò)這次某天氣App 被抓包分析了一下，這事就被捅出來(lái)了?！坝脩粼试S App 獲取了這些信息，然后這些隱私信息被用于商業(yè)化分析和第三方變現(xiàn)，應(yīng)該處在一個(gè)怎樣的框框內(nèi)，到底有沒(méi)有侵犯用戶隱私，很難講清楚?！苯f(shuō)。

當(dāng)然，到此為止，雖然我們什么結(jié)論都沒(méi)得出，但是你們應(yīng)該知道怎么做了：

第一，不要輕易展示自家的 Wi-Fi 名稱了，即使是設(shè)置成“你連什么連我就不告訴你氣死你”也沒(méi)什么用（但不展示 Wi-Fi 名稱可能會(huì)不便利，宅友自行抉擇）。

第二，以后使用各種App都要看清楚權(quán)限，想清楚了再同意。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。