2 月 25 日，雷鋒網(wǎng)編輯的朋友圈出現(xiàn)了一張截圖，稱墨跡天氣 App 上傳了用戶的所有 Wi-Fi  賬號，抓包抓出了流氓，背后還有騰訊等大公司的服務(wù)接口。

無圖無真相，對方還拋出了抓包信息。

這事是真的嗎？Wi-Fi 信息被上傳是什么意思？這事到底跟普通用戶和騰訊又有什么關(guān)系？為此，雷鋒網(wǎng)請教了網(wǎng)絡(luò)安全專家、SOBUG 創(chuàng)始人江金濤，獲得了騰訊 Wi-Fi 安全實驗室負責(zé)人姚威與墨跡天氣公關(guān)人士的回應(yīng)。

著急的宅友可以先看三位的核心觀點：

江金濤：1.應(yīng)該是獲取 Wi-Fi 的 SSID 信息，不包含密碼，但是足以通過 SSID 進行人群的聚集分析。2.事先應(yīng)該是得到過用戶的權(quán)限授權(quán)。3.通過 http 接口進行傳輸，沒有加密，很容易在鏈路層被截取，不安全。4.靠網(wǎng)絡(luò)服務(wù)提供商保護用戶隱私就是個笑話。

姚威：躺槍，我們沒干這事，可以去告造謠的人了！

墨跡天氣公關(guān)：不存在上傳用戶 Wi-Fi 賬號甚至其他個人隱私信息，更不存在信息泄露的問題，圖片上的標(biāo)注是錯誤的。

到底有沒有收集

用戶需要對墨跡天氣 App 開放哪些權(quán)限？

雷鋒網(wǎng)編輯使用安卓手機和蘋果手機同時下載了墨跡天氣 App，以安卓手機的下載情況為例：

江金濤告訴雷鋒網(wǎng)，朋友圈中流傳的那張抓包圖片中指的應(yīng)該是獲取 Wi-Fi 的 SSID 信息，不包含密碼。所謂 SSID，通俗來說，就是用戶手機里的 Wi-Fi 名稱列表。

收集 Wi-Fi 名稱有什么用？

“如果不收集密碼，僅收集 Wi-Fi 名稱，看上去好像沒什么值得保密，但其實這是一個非常隱私的數(shù)據(jù)，比如名稱列表里有大量相同的 Wi-Fi 名稱，交叉比對會發(fā)現(xiàn)用戶可能現(xiàn)在置身在某一個商場中，如果某一個地區(qū)里有很多人的 Wi-Fi 名稱列表一致，證明有很多人聚集在此處，還可以通過 Wi-Fi 名稱和相同數(shù)量判斷一個人所在的定位以及兩人的社交關(guān)系。”江金濤提醒。

不過，如果你知道了一個人的 Wi-Fi 名稱，只要在這個對話中輸入，則可以判斷其相對位置。

當(dāng)然，上述可能只是通過 Wi-Fi 信號強弱進行最直觀的判斷，如果將這個數(shù)據(jù)與 GPS 和其他功能配合，能獲得更準確的定位。江金濤認為，從上述角度看，Wi-Fi 名稱列表可以說是判斷用戶位置信息的維度之一，一般用于大數(shù)據(jù)營銷的用戶畫像，并猜測墨跡天氣應(yīng)該事先征求了用戶的同意。

根據(jù)墨跡天氣公關(guān)人士對雷鋒網(wǎng)的回應(yīng)：“從圖片的代碼可以看出，我們收集的是公共Wi-Fi 環(huán)境里的Wi-Fi 網(wǎng)絡(luò)名稱，這屬于公共公開信息，不屬于個人信息，是經(jīng)用戶同意合法獲取。”再交叉比對編輯安裝墨跡天氣 App 的情況，“（基于網(wǎng)絡(luò)的）大概位置”應(yīng)該就是這一選項。

不過，墨跡天氣的公關(guān)強調(diào)：“不存在上傳用戶 Wi-Fi 賬號甚至其他個人隱私信息，更不存在信息泄露的問題，圖片上的標(biāo)注是錯誤的。”

誰干的

這些 Wi-Fi 位置信息究竟去了哪里？對于一個天氣 App 而言，為了提供精準服務(wù)，獲取用戶的位置信息無可厚非，而且明明獲取用戶的精準位置信息即可，為什么還會獲取 Wi-Fi 名稱？傳說騰訊調(diào)用了一個接口又是怎么回事？

姚威發(fā)出了否認五連。

“1.騰訊的用戶體系并不會從任何三方 App 去收集信息； 2.對于分析抓包看到的域名跟騰訊沒有任何關(guān)系； 3.騰訊 Wi-Fi 安全實驗室和 Wi-Fi 管家本身就對所有內(nèi)部數(shù)據(jù)做監(jiān)管，即使是自己的數(shù)據(jù)也不可能輕易使用，對于數(shù)據(jù)類的東西不可能與任何三方做交易和共享； 5.騰訊數(shù)據(jù)不出騰訊是紅線，騰訊也不購買任何人提供的 Wi-Fi 用戶數(shù)據(jù)?！?/p>

“從頭到尾沒出現(xiàn)任何騰訊信息啊，發(fā)推的人是怎么想的呢？ 推特和境外網(wǎng)站不是法外之地，境外謠言也是謠言啊。”他強調(diào)。

姚威表示，從上述圖片中分析抓包的域名可以看到，數(shù)據(jù)流向了兩個大數(shù)據(jù)分析和營銷公司的 SDK（感興趣的宅友自己去翻圖片），這與江金濤所說的用于“大數(shù)據(jù)營銷用戶畫像”的觀點不謀而合。但這是一場天氣 App 與大數(shù)據(jù)分析公司的合作還是大數(shù)據(jù)分析公司擅自作為？

雷鋒網(wǎng)編輯直接向墨跡天氣公關(guān)拋出了自己的疑問：“有安全專家說，其實是大數(shù)據(jù)公司的 SDK 惹的禍，比如里面出現(xiàn)的****data，你們和這家公司是否有合作？”該公關(guān)回應(yīng)稱：“其他公司情況如何我們不方便置評，但這種行為我們內(nèi)部是嚴格不允許的?！?/p>

目前沒有其他資料可以得出結(jié)論。

江金濤認為，其實抓取 Wi-Fi 名稱數(shù)據(jù)這種行為在國內(nèi)很多 App 的操作中十分常見，只不過這次某天氣App 被抓包分析了一下，這事就被捅出來了?！坝脩粼试S App 獲取了這些信息，然后這些隱私信息被用于商業(yè)化分析和第三方變現(xiàn)，應(yīng)該處在一個怎樣的框框內(nèi)，到底有沒有侵犯用戶隱私，很難講清楚?！苯f。

當(dāng)然，到此為止，雖然我們什么結(jié)論都沒得出，但是你們應(yīng)該知道怎么做了：

第一，不要輕易展示自家的 Wi-Fi 名稱了，即使是設(shè)置成“你連什么連我就不告訴你氣死你”也沒什么用（但不展示 Wi-Fi 名稱可能會不便利，宅友自行抉擇）。

第二，以后使用各種App都要看清楚權(quán)限，想清楚了再同意。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。