央广网北京8月13日消息(记者王逸群)据中国之声《新闻晚高峰》报道,智能空调、智能扫地机器人、智能家用摄像头……只需要一款APP就能够操控家中的智能设备,让不少家庭体验到了科技快速发展的便利性。然而,近日一篇题为《窃隐私,传明文,京东劣举挑战网安法》的文章在网上传播,称京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下,擅自将用户输入的个人WiFi密码上传至京东服务器,为用户的网络安全埋下隐患。
近日一个名为嘶吼网的互联网安全新媒体网站撰文向京东旗下的一款智能家居软件“开炮”,称其涉嫌窃取用户无线网密码,文章中还附带有数据测试视频和截图。
文章中进行相关测试的该网站网络安全团队成员刘晓光(化名)介绍说,他们最初是在社交平台上关注到该事件,并于9日晚间和10日上午前后两次进行了安全性测试,“网络帖子上面提到了说他那边检测到了京东微联直接明文上传用户的WiFi的名字和密码,但是看京东的(用户)协议之后发现它那里面是说不会上传的。我们发现了这个线索之后进行了一些复测。”
首先,京东微联是否真的上传了用户的无线网密码等信息?
京东微联软件在用户注册时提供的《用户使用协议》中写道:“在初次添加某款智能硬件设备的过程中,您需为此设备提供WiFi环境接入所需的SSID以及密码,用于智能硬件设备和WiFi环境的一键配置。”
刘晓光团队声称,因为协议中并没有明确提到“上传”二字,但他们在测试中抓取到了“证据”,因此认为该软件涉嫌窃取用户隐私。
第二,京东微联软件上传用户无线网密码,是否尽到了告知义务?
今年6月起施行的《中华人民共和国网络安全法》相关规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”中国信息安全测评中心总工程师王军认为,无线网密码应当属于用户敏感信息,软件在上传前应进行二次提示和确认。
王军指出,“目前这样的做法实际上对用户不太公平,应该明确经过用户的授权,明确告知,不能够混在一大堆《用户使用协议》中,而且不能说用户不同意就不给服务,这有点儿霸王条款的感觉。”
此外专家还表示,其上传用户敏感信息是否具有合理性和必要性也值得深究,需要具体问题具体分析。