8月10日下午，一篇题为《窃隐私，传明文，京东劣举挑战网安法》的文章在网上传播，该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下，擅自将用户输入的个人WiFi密码上传至京东服务器，为用户的网络安全埋下隐患 。
在该文中，还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图 。经采访人员核实，该文出自名为“嘶吼网”的网络安全媒体的技术团队之手 。据团队成员刘晓光(化名)介绍，他们在知乎上留意到相关内容，并于9日晚间和10日上午前后两次进行了安全性测试，结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为 。

文章插图

采访人员在“京东微联”APP上调阅了《京东智能云用户使用协议》，第六条载明：“在初次添加某款智能硬件设备的过程中，您需为此设备提供WiFi环境接入所需的SSID以及密码，用于智能硬件设备和WiFi环境的一键配置 。”京东公司据此认为，他们就上传WiFi密码等信息向用户进行了说明 。
不过上海一家公司的网络安全专家宋宏宇认为，普通用户在长篇累牍的使用协议中很难找到和读懂这一说明，“提供”与“上传”概念不同，作为一名普通用户无法确切知晓协议中“提供”的具体含义 。
一般而言，用户在上传敏感信息前，系统应进行二次提示和确认，如未加以确认，相当于“悄悄”上传了用户WiFi密码 。
“京东微联”缺乏这一环节，因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的 。
尽管“京东微联”APP在《用户使用协议》中承诺：“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改，也不会公开、转让、用于其他使用目的 。”但网络安全人士认为，用户将WiFi密码等敏感信息上传给服务器，本身就给自身信息安全带来一定隐患 。
虽然WiFi密码等敏感信息是在HTTPS环境下上传的，外界很难截获，但是这一过程并非没有风险 。刘晓光说，一旦被黑客截获，他完全可以进入你的WiFi劫持连接入WiFi的智能设备，“比如这些设备中包含网络摄像头，那么黑客也有机会调阅摄像头所拍摄的画面 。”
就此问题采访人员专门函询了北京京东世纪贸易有限公司，京东技术团队回应称，“虽然黑客对HTTPS传输通道的劫持是比较困难的，但微联未来会对敏感信息进行二次加密 。”
为什么“京东微联”要获取用户的WiFi信息？
为验证刘晓光及其技术团队的说法，采访人员又联系了国内某知名互联网安全企业，对上述过程进行二次验证 。在通过多种技术手段验证后，该企业的工程师团队确认，“京东微联”确实存在向京东服务器上传用户WiFi密码的行为 。
该团队的一名工程师指出，“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的，因为即使是为了将家用智能设备和WiFi进行关联，也仅需要在家庭局域网内进行即可，没必要“多此一举”将用户的WiFi密码上传至云端 。“京东微联”如此操作令人费解 。
有业内人士将“京东微联”的行为作了一个比喻：“我请了一个保姆来我家干活，结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙，这样的行为对我自身的安全肯定产生了影响 。”
【京东旗下App悄悄上传用户WiFi密码】据刘晓光的技术团队介绍，除“京东微联”APP外，他们还测试了几款智能设备的操控软件，均没有发现将用户WiFi密码上传的行为 。
采访人员为此向京东公司求证，对方认为，将用户WiFi信息上传至云端仅是出于配网的技术需要 。京东方面的技术人员回应称：“京东微联”真正做到了跨品牌、跨品类智能设备的连接，为用户提供了良好的使用体验;相比之下，其他系统很可能只能操作单一的智能硬件，因此无需上传WiFi密码，“拿两者做比较是不恰当的 。”

• 京东双十一大数据 京东双十一最新战报
• 京东店铺待付款订单挽回功能有哪些
• 京东自营和京造区别是什么
• 京东购物触点的展示位置在哪 京东的购物触点是什么
• 手机版京东直通车在哪里显示 京东直通车怎么开通
• 京东双十一没有预售价吗
• 京东店铺首购礼金不显示怎么回事
• 京东公司账户付款方式 京东对公账户付款流程
• 涉黄App诱导充值骗局泛滥
• 京东进仓费谁承担 京东入仓多少费用