最近，發(fā)生了一起這樣的爭議：

嘶吼：你們微聯(lián) App 傳人家的Wi-Fi 賬戶和密碼，還不告訴用戶!

京東微聯(lián)：我在協(xié)議里寫了，你沒看到么？我傳這些信息只是為了配網(wǎng)！我傳的還是加密的，你看不到。

嘶吼：什么看不到？我一個(gè)編輯隨便搞搞都能看到是明文信息！

京東微聯(lián)：你這是劫持！還說自己是普通用戶，不劫持看不到。

新華社：咳咳，我來說兩句，你們這個(gè)上傳沒必要啊，還有，你們沒說 2016 年下半年以后還搞不搞??！

京東微聯(lián)：我們不在云端存留信息，我們承諾絕不存儲(chǔ)、修改或傳播這些信息，新接入產(chǎn)品也不再發(fā)送。不信？你看我們合作伙伴也相信我們。

到底怎么回事？我們來看看這件事情的始末——

嘶吼和京東微聯(lián)的爭議

8 月 10 日，安全媒體嘶吼網(wǎng)發(fā)布了一篇文章《竊隱私，傳明文，京東劣舉挑戰(zhàn)網(wǎng)安法》，直指京東微聯(lián)App有異常行為，會(huì)偷偷明文上傳用戶當(dāng)前使用的 Wi-Fi密碼。

該文提出了三個(gè)重要觀點(diǎn)：

1.相關(guān)的技術(shù)原理需要用戶輸入當(dāng)前無線網(wǎng)絡(luò)的密碼，僅需在本地進(jìn)行密碼編碼后的數(shù)據(jù)通信，不需要任何云端來進(jìn)行操作。不上傳到京東的服務(wù)器對用戶的連接設(shè)備操作沒有任何影響。這個(gè)設(shè)備沒有連Wi-Fi就無法上網(wǎng)，那就連接不了京東服務(wù)器，也就是不可能把Wi-Fi密碼傳到京東再傳給設(shè)備。

2.測試過程中，京東微聯(lián)從未提示要收集Wi-Fi密碼。

3.作為一家電商企業(yè)，要收集消費(fèi)者的網(wǎng)絡(luò)連接密碼干什么？但其危害卻顯而易見，京東旗下產(chǎn)品有能力進(jìn)入任意使用京東微聯(lián)用戶的家庭網(wǎng)絡(luò)，一旦發(fā)生泄漏，你的家用Wi-Fi極有可能被盜用，而在常見的家用網(wǎng)絡(luò)中，設(shè)備之間都是有相互信任的一些協(xié)議，安全防護(hù)措施并不是那么嚴(yán)密，一旦有不法分子進(jìn)入了你的家庭Wi-Fi，你的網(wǎng)絡(luò)隱私信息也會(huì)導(dǎo)致泄漏，而智能設(shè)備也可能會(huì)被惡意控制，造成現(xiàn)實(shí)中的隱私泄漏，例如家庭攝像頭的信息被他人實(shí)施監(jiān)控。

同日下午，嘶吼稱，它收到了京東的一份微信侵權(quán)通知函。

在嘶吼刊發(fā)的一文《京東用投訴的方式承認(rèn)了私自上傳用戶Wi-Fi密碼》中，京東微聯(lián)向他們提出了這些理由：

1.“京東微聯(lián)”用戶協(xié)議聲稱，不會(huì)對用戶輸入的Wi-Fi名和密碼進(jìn)行任何云端的存儲(chǔ)或修改；

2.京東聲稱，微聯(lián)“老設(shè)備會(huì)通過加密方式上傳信息，完全不存在明文上傳的情況”；

3.京東說“通過加密方式上傳”。

嘶吼對這三點(diǎn)表示異議，尤其是第三點(diǎn)，嘶吼稱，“嘶吼編輯實(shí)測”后，“Wi-Fi密碼信息在上傳過程使用了HTTPS 加密協(xié)議傳輸，但里邊的密碼信息確是明文的，連嘶吼編輯都可以看到明文密碼信息， 這HTTPS 加密傳輸應(yīng)用還是有待提高的。 ”

新華社的疑問與京東的回應(yīng)

這場爭議隨著“新華社”的介入愈演愈烈。

8月12日，新華社在其微信上發(fā)表了一篇長文《警惕！京東這款A(yù)PP悄悄上傳你的Wi-Fi密碼，絕大多數(shù)人不知道》。

該文提出了以下幾點(diǎn)意見：

1.記者在“京東微聯(lián)”APP上調(diào)閱了《京東智能云用戶使用協(xié)議》，第六條載明：“在初次添加某款智能硬件設(shè)備的過程中，您需為此設(shè)備提供Wi-Fi環(huán)境接入所需的 SSID 以及密碼，用于智能硬件設(shè)備和Wi-Fi環(huán)境的一鍵配置?！?strong>京東公司據(jù)此認(rèn)為，他們就上傳 Wi-Fi 密碼等信息向用戶進(jìn)行了說明。同時(shí)，通過專家之口指出，一般用戶很難在使用協(xié)議中發(fā)現(xiàn)該提示，應(yīng)該進(jìn)行明顯的二次提示。

2.盡管“京東微聯(lián)”APP在《用戶使用協(xié)議》中承諾：“不會(huì)對原始信息以及映射處理后的信息進(jìn)行任何遠(yuǎn)端的存儲(chǔ)或修改，也不會(huì)公開、轉(zhuǎn)讓、用于其他使用目的?！钡脩魧i-Fi密碼等敏感信息上傳給服務(wù)器，本身就給自身信息安全帶來一定隱患，他們再次強(qiáng)調(diào)了嘶吼的技術(shù)人員劉曉光在嘶吼文章中的觀點(diǎn)：黑客一旦入侵，隱私蕩然無存。

不過，該文同樣呈現(xiàn)了京東的回應(yīng)：“雖然黑客對 HTTPS 傳輸通道的劫持是比較困難的，但微聯(lián)未來會(huì)對敏感信息進(jìn)行二次加密?！?/p>

新華社該文還稱，第一，在另一團(tuán)隊(duì)的測試中，“京東微聯(lián)”確實(shí)存在向京東服務(wù)器上傳用戶 Wi-Fi 密碼的行為。第二，“將用戶的 Wi-Fi 密碼上傳至自己的服務(wù)器”這一步驟完全是“多余”的。第三，除“京東微聯(lián)”APP外，他們還測試了幾款智能設(shè)備的操控軟件，均沒有發(fā)現(xiàn)將用戶 Wi-Fi 密碼上傳的行為。

最后，新華社的報(bào)道最后指出，采訪中京東公司并未明確，2016年下半年以后，是出廠的智能設(shè)備無需上傳Wi-Fi密碼，還是該款軟件不再上傳Wi-Fi密碼。

對此，京東微聯(lián)稱，將用戶 Wi-Fi 信息上傳至云端僅是出于配網(wǎng)的技術(shù)需要。并認(rèn)為“京東微聯(lián)”真正做到了跨品牌、跨品類智能設(shè)備的連接，為用戶提供了良好的使用體驗(yàn)；相比之下，其他系統(tǒng)很可能只能操作單一的智能硬件，因此無需上傳 Wi-Fi 密碼，“拿兩者做比較是不恰當(dāng)?shù)摹薄?/p>

在這一事件發(fā)酵的情況下，8月12日，“京東黑板報(bào)”發(fā)出了一則官方聲明，雷鋒網(wǎng)編輯已對重要觀點(diǎn)加粗顯示：

1. 2016年上半年之前的微聯(lián)設(shè)備為了適配不同廠商芯片及模塊的配網(wǎng)通訊方案，在匹配時(shí)會(huì)通過HTTPS（超文本傳輸安全協(xié)議）加密的方式上傳 Wi-Fi 相關(guān)信息至云端完成編碼，再回傳到設(shè)備端完成配網(wǎng)流程，數(shù)據(jù)不但經(jīng)過了加密，而且服務(wù)端不會(huì)存儲(chǔ)任何Wi-Fi相關(guān)信息。

2. 京東微聯(lián)在用戶協(xié)議的第六條第二款中說明了：“在初次添加某款智能硬件設(shè)備的過程中，您需為此設(shè)備提供Wi-Fi環(huán)境接入所需的 SSID 以及密碼，用于智能硬件設(shè)備和Wi-Fi環(huán)境的一鍵配置；我們會(huì)對這些信息，進(jìn)行映射處理，但不會(huì)對原始信息以及映射處理后的信息進(jìn)行任何遠(yuǎn)端的存儲(chǔ)或修改，也不會(huì)公開、轉(zhuǎn)讓、用于其他使用目的?！本〇|一直遵守該承諾，絕不會(huì)存儲(chǔ)、修改或傳播這些信息。

3. 為了統(tǒng)一配網(wǎng)過程，并提高配網(wǎng)成功率，自 2016 年下半年起，新接入的微聯(lián)設(shè)備已經(jīng)全部采用了微聯(lián)自研的全新配網(wǎng)技術(shù)，實(shí)現(xiàn)了本地配網(wǎng)，已經(jīng)不需要上傳任何 Wi-Fi 信息。

4. 相關(guān)文章中談到技術(shù)專家可以檢測微聯(lián) APP上傳 Wi-Fi 信息，是通過“劫持”自己手機(jī)的特殊技術(shù)設(shè)定實(shí)現(xiàn)的；在手機(jī)沒有被劫持的情況下，第三方不能通過監(jiān)聽 HTTPS 的方式得到數(shù)據(jù)明文。

5. 京東一直從技術(shù)和流程等方面盡全力保護(hù)用戶信息，無論新老設(shè)備，通過微聯(lián)實(shí)現(xiàn)互聯(lián)互通都不會(huì)導(dǎo)致您的信息泄露。

6. 京東非常重視用戶的信息安全和媒體監(jiān)督，考慮到用戶的手機(jī)可能被惡意劫持，雖然對 HTTPS 的劫持是比較困難的操作，但微聯(lián)仍然將會(huì)對敏感信息進(jìn)行二次加密；同時(shí)，微聯(lián)會(huì)堅(jiān)定、全面推進(jìn)微聯(lián)自研配網(wǎng)協(xié)議的普及工作，新接入產(chǎn)品不再需要往云端發(fā)送用戶 Wi-Fi 信息，統(tǒng)一用戶體驗(yàn)，提高配網(wǎng)成功率，并消除用戶的困擾。

在該聲明的后半部分，京東微聯(lián)還拉上了公牛、美的、長虹等幾家合作伙伴“背書”支援。

疑惑和再次測試

但是，問題來了：

1.往云端發(fā)送用戶的Wi-Fi 信息到底有沒有必要？真的是配網(wǎng)的必要需求嗎？

2.“技術(shù)專家可以檢測微聯(lián) APP上傳 Wi-Fi 信息，是通過“劫持”自己手機(jī)的特殊技術(shù)設(shè)定實(shí)現(xiàn)的；在手機(jī)沒有被劫持的情況下，第三方不能通過監(jiān)聽 HTTPS 的方式得到數(shù)據(jù)明文?！?strong>這一嘶吼和京東微聯(lián)的關(guān)鍵爭議點(diǎn)到底誰有理？

3.“用戶的手機(jī)可能被惡意劫持，雖然對 HTTPS 的劫持是比較困難的操作，但微聯(lián)仍然將會(huì)對敏感信息進(jìn)行二次加密。”這種劫持到底有多難？嘶吼技術(shù)人員的擔(dān)心有道理嗎？

雷鋒網(wǎng)編輯就這些問題請教了某移動(dòng)安全公司資深安全專家 W（經(jīng)采訪對象要求匿名），并邀請對方進(jìn)行技術(shù)支持，再次測試嘶吼、新華社的文章中提到的幾點(diǎn)。

W 認(rèn)為：

1.向云端發(fā)送用戶的Wi-Fi 信息沒有必要，配網(wǎng)需求是推托之詞。

2.第三方劫持難度要看 HTTPS 是如何配置的，如果是只做了驗(yàn)簽，就不能修改用戶賬號密碼信息，但能看；如果做了加密，連看都不能看。加密有兩層意思，一是數(shù)據(jù)本身做加密，使用HTTPS 的協(xié)議，另一種是該應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加密，通過 HTTPS 發(fā)放出去，這樣 HTTPS 就不用加密。這兩種方式都能在通訊上保證數(shù)據(jù)安全。

3.   這種劫持確實(shí)有一定難度，需要滿足以下條件：攻擊程序侵入到進(jìn)攻位點(diǎn)進(jìn)程，這就需要要么手機(jī)被ROOT掉，要么京東微聯(lián)本身有溢出漏洞，外部能植入SO程序，進(jìn)入進(jìn)程，完成劫持。但是，光憑京東微聯(lián)上傳用戶的 Wi-Fi 的賬戶和密碼，就是不對的，本來就不是屬于它們的東西，不管劫持難度大不大。

8月14日，嘶吼的一位知情人士告訴雷鋒網(wǎng)，他們在測試過程中，使用的是公牛的二代加強(qiáng)版智能插座。8月15日，W 通過手機(jī)應(yīng)用商店下載了京東微聯(lián) App。

W 表示，這一版本的 App 是8月14 日發(fā)布的最新版應(yīng)用，也就是說，這一版本應(yīng)該是最近爭議發(fā)生后京東微聯(lián)推出的改進(jìn)版。

W初步分析后向雷鋒網(wǎng)表示，該 App 應(yīng)該不能連接非合作品牌的智能家居產(chǎn)品，因?yàn)槭诌厸]有京東微聯(lián)App 的合作智能家居產(chǎn)品。W 進(jìn)行了謹(jǐn)慎地靜態(tài)分析及推斷。

以下為W的分析結(jié)果：

由于沒有智能設(shè)備連接，參考嘶吼上一版本的文明字符串參數(shù)：

mac_id、config_type、ssid、pass等等。

在androidkiller中搜索pass

 

根據(jù)pass字符串定位函數(shù) 

 

以上函數(shù)為拼接wifi密碼等信息 

調(diào)用Lcom/jd/smart/utils/k;->a函數(shù)

a函數(shù)中調(diào)用AES算法進(jìn)行wifi信息加密。 

調(diào)用http相關(guān)函數(shù)進(jìn)行發(fā)送

調(diào)用http相關(guān)函數(shù)進(jìn)行post發(fā)送。

由于沒有智能設(shè)備，以上流程并未通過驗(yàn)證。

W 總結(jié)，從靜態(tài)分析結(jié)果看，新版本的京東微聯(lián)App 依然收集Wi-Fi 賬號密碼，但在加密后發(fā)送，不過要有設(shè)備再次連接后才能驗(yàn)證。目前，W 已經(jīng)網(wǎng)購了一款公牛智能插座，敬請期待后續(xù)驗(yàn)證結(jié)果。

8月16日，W 使用公牛插座與該App 進(jìn)行連接，再次驗(yàn)證了上面的結(jié)論。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。