最近，發(fā)生了一起這樣的爭議：

嘶吼：你們微聯(lián) App 傳人家的Wi-Fi 賬戶和密碼，還不告訴用戶!

京東微聯(lián)：我在協(xié)議里寫了，你沒看到么？我傳這些信息只是為了配網！我傳的還是加密的，你看不到。

嘶吼：什么看不到？我一個編輯隨便搞搞都能看到是明文信息！

京東微聯(lián)：你這是劫持！還說自己是普通用戶，不劫持看不到。

新華社：咳咳，我來說兩句，你們這個上傳沒必要啊，還有，你們沒說 2016 年下半年以后還搞不搞?。?/p>

京東微聯(lián)：我們不在云端存留信息，我們承諾絕不存儲、修改或傳播這些信息，新接入產品也不再發(fā)送。不信？你看我們合作伙伴也相信我們。

到底怎么回事？我們來看看這件事情的始末——

嘶吼和京東微聯(lián)的爭議

8 月 10 日，安全媒體嘶吼網發(fā)布了一篇文章《竊隱私，傳明文，京東劣舉挑戰(zhàn)網安法》，直指京東微聯(lián)App有異常行為，會偷偷明文上傳用戶當前使用的 Wi-Fi密碼。

該文提出了三個重要觀點：

1.相關的技術原理需要用戶輸入當前無線網絡的密碼，僅需在本地進行密碼編碼后的數(shù)據通信，不需要任何云端來進行操作。不上傳到京東的服務器對用戶的連接設備操作沒有任何影響。這個設備沒有連Wi-Fi就無法上網，那就連接不了京東服務器，也就是不可能把Wi-Fi密碼傳到京東再傳給設備。

2.測試過程中，京東微聯(lián)從未提示要收集Wi-Fi密碼。

3.作為一家電商企業(yè)，要收集消費者的網絡連接密碼干什么？但其危害卻顯而易見，京東旗下產品有能力進入任意使用京東微聯(lián)用戶的家庭網絡，一旦發(fā)生泄漏，你的家用Wi-Fi極有可能被盜用，而在常見的家用網絡中，設備之間都是有相互信任的一些協(xié)議，安全防護措施并不是那么嚴密，一旦有不法分子進入了你的家庭Wi-Fi，你的網絡隱私信息也會導致泄漏，而智能設備也可能會被惡意控制，造成現(xiàn)實中的隱私泄漏，例如家庭攝像頭的信息被他人實施監(jiān)控。

同日下午，嘶吼稱，它收到了京東的一份微信侵權通知函。

在嘶吼刊發(fā)的一文《京東用投訴的方式承認了私自上傳用戶Wi-Fi密碼》中，京東微聯(lián)向他們提出了這些理由：

1.“京東微聯(lián)”用戶協(xié)議聲稱，不會對用戶輸入的Wi-Fi名和密碼進行任何云端的存儲或修改；

2.京東聲稱，微聯(lián)“老設備會通過加密方式上傳信息，完全不存在明文上傳的情況”；

3.京東說“通過加密方式上傳”。

嘶吼對這三點表示異議，尤其是第三點，嘶吼稱，“嘶吼編輯實測”后，“Wi-Fi密碼信息在上傳過程使用了HTTPS 加密協(xié)議傳輸，但里邊的密碼信息確是明文的，連嘶吼編輯都可以看到明文密碼信息， 這HTTPS 加密傳輸應用還是有待提高的。 ”

新華社的疑問與京東的回應

這場爭議隨著“新華社”的介入愈演愈烈。

8月12日，新華社在其微信上發(fā)表了一篇長文《警惕！京東這款APP悄悄上傳你的Wi-Fi密碼，絕大多數(shù)人不知道》。

該文提出了以下幾點意見：

1.記者在“京東微聯(lián)”APP上調閱了《京東智能云用戶使用協(xié)議》，第六條載明：“在初次添加某款智能硬件設備的過程中，您需為此設備提供Wi-Fi環(huán)境接入所需的 SSID 以及密碼，用于智能硬件設備和Wi-Fi環(huán)境的一鍵配置?！?strong>京東公司據此認為，他們就上傳 Wi-Fi 密碼等信息向用戶進行了說明。同時，通過專家之口指出，一般用戶很難在使用協(xié)議中發(fā)現(xiàn)該提示，應該進行明顯的二次提示。

2.盡管“京東微聯(lián)”APP在《用戶使用協(xié)議》中承諾：“不會對原始信息以及映射處理后的信息進行任何遠端的存儲或修改，也不會公開、轉讓、用于其他使用目的。”但用戶將Wi-Fi密碼等敏感信息上傳給服務器，本身就給自身信息安全帶來一定隱患，他們再次強調了嘶吼的技術人員劉曉光在嘶吼文章中的觀點：黑客一旦入侵，隱私蕩然無存。

不過，該文同樣呈現(xiàn)了京東的回應：“雖然黑客對 HTTPS 傳輸通道的劫持是比較困難的，但微聯(lián)未來會對敏感信息進行二次加密。”

新華社該文還稱，第一，在另一團隊的測試中，“京東微聯(lián)”確實存在向京東服務器上傳用戶 Wi-Fi 密碼的行為。第二，“將用戶的 Wi-Fi 密碼上傳至自己的服務器”這一步驟完全是“多余”的。第三，除“京東微聯(lián)”APP外，他們還測試了幾款智能設備的操控軟件，均沒有發(fā)現(xiàn)將用戶 Wi-Fi 密碼上傳的行為。

最后，新華社的報道最后指出，采訪中京東公司并未明確，2016年下半年以后，是出廠的智能設備無需上傳Wi-Fi密碼，還是該款軟件不再上傳Wi-Fi密碼。

對此，京東微聯(lián)稱，將用戶 Wi-Fi 信息上傳至云端僅是出于配網的技術需要。并認為“京東微聯(lián)”真正做到了跨品牌、跨品類智能設備的連接，為用戶提供了良好的使用體驗；相比之下，其他系統(tǒng)很可能只能操作單一的智能硬件，因此無需上傳 Wi-Fi 密碼，“拿兩者做比較是不恰當?shù)摹薄?/p>

在這一事件發(fā)酵的情況下，8月12日，“京東黑板報”發(fā)出了一則官方聲明，雷鋒網編輯已對重要觀點加粗顯示：

1. 2016年上半年之前的微聯(lián)設備為了適配不同廠商芯片及模塊的配網通訊方案，在匹配時會通過HTTPS（超文本傳輸安全協(xié)議）加密的方式上傳 Wi-Fi 相關信息至云端完成編碼，再回傳到設備端完成配網流程，數(shù)據不但經過了加密，而且服務端不會存儲任何Wi-Fi相關信息。

2. 京東微聯(lián)在用戶協(xié)議的第六條第二款中說明了：“在初次添加某款智能硬件設備的過程中，您需為此設備提供Wi-Fi環(huán)境接入所需的 SSID 以及密碼，用于智能硬件設備和Wi-Fi環(huán)境的一鍵配置；我們會對這些信息，進行映射處理，但不會對原始信息以及映射處理后的信息進行任何遠端的存儲或修改，也不會公開、轉讓、用于其他使用目的。”京東一直遵守該承諾，絕不會存儲、修改或傳播這些信息。

3. 為了統(tǒng)一配網過程，并提高配網成功率，自 2016 年下半年起，新接入的微聯(lián)設備已經全部采用了微聯(lián)自研的全新配網技術，實現(xiàn)了本地配網，已經不需要上傳任何 Wi-Fi 信息。

4. 相關文章中談到技術專家可以檢測微聯(lián) APP上傳 Wi-Fi 信息，是通過“劫持”自己手機的特殊技術設定實現(xiàn)的；在手機沒有被劫持的情況下，第三方不能通過監(jiān)聽 HTTPS 的方式得到數(shù)據明文。

5. 京東一直從技術和流程等方面盡全力保護用戶信息，無論新老設備，通過微聯(lián)實現(xiàn)互聯(lián)互通都不會導致您的信息泄露。

6. 京東非常重視用戶的信息安全和媒體監(jiān)督，考慮到用戶的手機可能被惡意劫持，雖然對 HTTPS 的劫持是比較困難的操作，但微聯(lián)仍然將會對敏感信息進行二次加密；同時，微聯(lián)會堅定、全面推進微聯(lián)自研配網協(xié)議的普及工作，新接入產品不再需要往云端發(fā)送用戶 Wi-Fi 信息，統(tǒng)一用戶體驗，提高配網成功率，并消除用戶的困擾。

在該聲明的后半部分，京東微聯(lián)還拉上了公牛、美的、長虹等幾家合作伙伴“背書”支援。

疑惑和再次測試

但是，問題來了：

1.往云端發(fā)送用戶的Wi-Fi 信息到底有沒有必要？真的是配網的必要需求嗎？

2.“技術專家可以檢測微聯(lián) APP上傳 Wi-Fi 信息，是通過“劫持”自己手機的特殊技術設定實現(xiàn)的；在手機沒有被劫持的情況下，第三方不能通過監(jiān)聽 HTTPS 的方式得到數(shù)據明文?！?strong>這一嘶吼和京東微聯(lián)的關鍵爭議點到底誰有理？

3.“用戶的手機可能被惡意劫持，雖然對 HTTPS 的劫持是比較困難的操作，但微聯(lián)仍然將會對敏感信息進行二次加密?！?strong>這種劫持到底有多難？嘶吼技術人員的擔心有道理嗎？

雷鋒網編輯就這些問題請教了某移動安全公司資深安全專家 W（經采訪對象要求匿名），并邀請對方進行技術支持，再次測試嘶吼、新華社的文章中提到的幾點。

W 認為：

1.向云端發(fā)送用戶的Wi-Fi 信息沒有必要，配網需求是推托之詞。

2.第三方劫持難度要看 HTTPS 是如何配置的，如果是只做了驗簽，就不能修改用戶賬號密碼信息，但能看；如果做了加密，連看都不能看。加密有兩層意思，一是數(shù)據本身做加密，使用HTTPS 的協(xié)議，另一種是該應用程序對數(shù)據進行加密，通過 HTTPS 發(fā)放出去，這樣 HTTPS 就不用加密。這兩種方式都能在通訊上保證數(shù)據安全。

3.   這種劫持確實有一定難度，需要滿足以下條件：攻擊程序侵入到進攻位點進程，這就需要要么手機被ROOT掉，要么京東微聯(lián)本身有溢出漏洞，外部能植入SO程序，進入進程，完成劫持。但是，光憑京東微聯(lián)上傳用戶的 Wi-Fi 的賬戶和密碼，就是不對的，本來就不是屬于它們的東西，不管劫持難度大不大。

8月14日，嘶吼的一位知情人士告訴雷鋒網，他們在測試過程中，使用的是公牛的二代加強版智能插座。8月15日，W 通過手機應用商店下載了京東微聯(lián) App。

W 表示，這一版本的 App 是8月14 日發(fā)布的最新版應用，也就是說，這一版本應該是最近爭議發(fā)生后京東微聯(lián)推出的改進版。

W初步分析后向雷鋒網表示，該 App 應該不能連接非合作品牌的智能家居產品，因為手邊沒有京東微聯(lián)App 的合作智能家居產品。W 進行了謹慎地靜態(tài)分析及推斷。

以下為W的分析結果：

由于沒有智能設備連接，參考嘶吼上一版本的文明字符串參數(shù)：

mac_id、config_type、ssid、pass等等。

在androidkiller中搜索pass

 

根據pass字符串定位函數(shù) 

 

以上函數(shù)為拼接wifi密碼等信息 

調用Lcom/jd/smart/utils/k;->a函數(shù)

a函數(shù)中調用AES算法進行wifi信息加密。 

調用http相關函數(shù)進行發(fā)送

調用http相關函數(shù)進行post發(fā)送。

由于沒有智能設備，以上流程并未通過驗證。

W 總結，從靜態(tài)分析結果看，新版本的京東微聯(lián)App 依然收集Wi-Fi 賬號密碼，但在加密后發(fā)送，不過要有設備再次連接后才能驗證。目前，W 已經網購了一款公牛智能插座，敬請期待后續(xù)驗證結果。

8月16日，W 使用公牛插座與該App 進行連接，再次驗證了上面的結論。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。