最近,发生了一起这样的争议:
嘶吼:你们微联 App 传人家的Wi-Fi 账户和密码,还不告诉用户!
京东微联:我在协议里写了,你没看到么?我传这些信息只是为了配网!我传的还是加密的,你看不到。
嘶吼:什么看不到?我一个编辑随便搞搞都能看到是明文信息!
京东微联:你这是劫持!还说自己是普通用户,不劫持看不到。
新华社:咳咳,我来说两句,你们这个上传没必要啊,还有,你们没说 2016 年下半年以后还搞不搞啊!
京东微联:我们不在云端存留信息,我们承诺绝不存储、修改或传播这些信息,新接入产品也不再发送。不信?你看我们合作伙伴也相信我们。
到底怎么回事?我们来看看这件事情的始末——
嘶吼和京东微联的争议
8 月 10 日,安全媒体嘶吼网发布了一篇文章《窃隐私,传明文,京东劣举挑战网安法》,直指京东微联App有异常行为,会偷偷明文上传用户当前使用的 Wi-Fi密码。
该文提出了三个重要观点:
1.相关的技术原理需要用户输入当前无线网络的密码,仅需在本地进行密码编码后的数据通信,不需要任何云端来进行操作。不上传到京东的服务器对用户的连接设备操作没有任何影响。这个设备没有连Wi-Fi就无法上网,那就连接不了京东服务器,也就是不可能把Wi-Fi密码传到京东再传给设备。
2.测试过程中,京东微联从未提示要收集Wi-Fi密码。
3.作为一家电商企业,要收集消费者的网络连接密码干什么?但其危害却显而易见,京东旗下产品有能力进入任意使用京东微联用户的家庭网络,一旦发生泄漏,你的家用Wi-Fi极有可能被盗用,而在常见的家用网络中,设备之间都是有相互信任的一些协议,安全防护措施并不是那么严密,一旦有不法分子进入了你的家庭Wi-Fi,你的网络隐私信息也会导致泄漏,而智能设备也可能会被恶意控制,造成现实中的隐私泄漏,例如家庭摄像头的信息被他人实施监控。
同日下午,嘶吼称,它收到了京东的一份微信侵权通知函。
在嘶吼刊发的一文《京东用投诉的方式承认了私自上传用户Wi-Fi密码》中,京东微联向他们提出了这些理由:
1.“京东微联”用户协议声称,不会对用户输入的Wi-Fi名和密码进行任何云端的存储或修改;
2.京东声称,微联“老设备会通过加密方式上传信息,完全不存在明文上传的情况”;
3.京东说“通过加密方式上传”。
嘶吼对这三点表示异议,尤其是第三点,嘶吼称,“嘶吼编辑实测”后,“Wi-Fi密码信息在上传过程使用了HTTPS 加密协议传输,但里边的密码信息确是明文的,连嘶吼编辑都可以看到明文密码信息, 这HTTPS 加密传输应用还是有待提高的。 ”
新华社的疑问与京东的回应
这场争议随着“新华社”的介入愈演愈烈。
8月12日,新华社在其微信上发表了一篇长文《警惕!京东这款APP悄悄上传你的Wi-Fi密码,绝大多数人不知道》。
该文提出了以下几点意见:
1.记者在“京东微联”APP上调阅了《京东智能云用户使用协议》,第六条载明:“在初次添加某款智能硬件设备的过程中,您需为此设备提供Wi-Fi环境接入所需的 SSID 以及密码,用于智能硬件设备和Wi-Fi环境的一键配置。”京东公司据此认为,他们就上传 Wi-Fi 密码等信息向用户进行了说明。同时,通过专家之口指出,一般用户很难在使用协议中发现该提示,应该进行明显的二次提示。
2.尽管“京东微联”APP在《用户使用协议》中承诺:“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”但用户将Wi-Fi密码等敏感信息上传给服务器,本身就给自身信息安全带来一定隐患,他们再次强调了嘶吼的技术人员刘晓光在嘶吼文章中的观点:黑客一旦入侵,隐私荡然无存。
不过,该文同样呈现了京东的回应:“虽然黑客对 HTTPS 传输通道的劫持是比较困难的,但微联未来会对敏感信息进行二次加密。”
新华社该文还称,第一,在另一团队的测试中,“京东微联”确实存在向京东服务器上传用户 Wi-Fi 密码的行为。第二,“将用户的 Wi-Fi 密码上传至自己的服务器”这一步骤完全是“多余”的。第三,除“京东微联”APP外,他们还测试了几款智能设备的操控软件,均没有发现将用户 Wi-Fi 密码上传的行为。
最后,新华社的报道最后指出,采访中京东公司并未明确,2016年下半年以后,是出厂的智能设备无需上传Wi-Fi密码,还是该款软件不再上传Wi-Fi密码。
对此,京东微联称,将用户 Wi-Fi 信息上传至云端仅是出于配网的技术需要。并认为“京东微联”真正做到了跨品牌、跨品类智能设备的连接,为用户提供了良好的使用体验;相比之下,其他系统很可能只能操作单一的智能硬件,因此无需上传 Wi-Fi 密码,“拿两者做比较是不恰当的”。
在这一事件发酵的情况下,8月12日,“京东黑板报”发出了一则官方声明,雷锋网(公众号:雷锋网)编辑已对重要观点加粗显示:
1. 2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案,在匹配时会通过HTTPS(超文本传输安全协议)加密的方式上传 Wi-Fi 相关信息至云端完成编码,再回传到设备端完成配网流程,数据不但经过了加密,而且服务端不会存储任何Wi-Fi相关信息。
2. 京东微联在用户协议的第六条第二款中说明了:“在初次添加某款智能硬件设备的过程中,您需为此设备提供Wi-Fi环境接入所需的 SSID 以及密码,用于智能硬件设备和Wi-Fi环境的一键配置;我们会对这些信息,进行映射处理,但不会对原始信息以及映射处理后的信息进行任何远端的存储或修改,也不会公开、转让、用于其他使用目的。”京东一直遵守该承诺,绝不会存储、修改或传播这些信息。
3. 为了统一配网过程,并提高配网成功率,自 2016 年下半年起,新接入的微联设备已经全部采用了微联自研的全新配网技术,实现了本地配网,已经不需要上传任何 Wi-Fi 信息。
4. 相关文章中谈到技术专家可以检测微联 APP上传 Wi-Fi 信息,是通过“劫持”自己手机的特殊技术设定实现的;在手机没有被劫持的情况下,第三方不能通过监听 HTTPS 的方式得到数据明文。
5. 京东一直从技术和流程等方面尽全力保护用户信息,无论新老设备,通过微联实现互联互通都不会导致您的信息泄露。
6. 京东非常重视用户的信息安全和媒体监督,考虑到用户的手机可能被恶意劫持,虽然对 HTTPS 的劫持是比较困难的操作,但微联仍然将会对敏感信息进行二次加密;同时,微联会坚定、全面推进微联自研配网协议的普及工作,新接入产品不再需要往云端发送用户 Wi-Fi 信息,统一用户体验,提高配网成功率,并消除用户的困扰。
在该声明的后半部分,京东微联还拉上了公牛、美的、长虹等几家合作伙伴“背书”支援。
疑惑和再次测试
但是,问题来了:
1.往云端发送用户的Wi-Fi 信息到底有没有必要?真的是配网的必要需求吗?
2.“技术专家可以检测微联 APP上传 Wi-Fi 信息,是通过“劫持”自己手机的特殊技术设定实现的;在手机没有被劫持的情况下,第三方不能通过监听 HTTPS 的方式得到数据明文。”这一嘶吼和京东微联的关键争议点到底谁有理?
3.“用户的手机可能被恶意劫持,虽然对 HTTPS 的劫持是比较困难的操作,但微联仍然将会对敏感信息进行二次加密。”这种劫持到底有多难?嘶吼技术人员的担心有道理吗?
雷锋网编辑就这些问题请教了某移动安全公司资深安全专家 W(经采访对象要求匿名),并邀请对方进行技术支持,再次测试嘶吼、新华社的文章中提到的几点。
W 认为:
1.向云端发送用户的Wi-Fi 信息没有必要,配网需求是推托之词。
2.第三方劫持难度要看 HTTPS 是如何配置的,如果是只做了验签,就不能修改用户账号密码信息,但能看;如果做了加密,连看都不能看。加密有两层意思,一是数据本身做加密,使用HTTPS 的协议,另一种是该应用程序对数据进行加密,通过 HTTPS 发放出去,这样 HTTPS 就不用加密。这两种方式都能在通讯上保证数据安全。
3. 这种劫持确实有一定难度,需要满足以下条件:攻击程序侵入到进攻位点进程,这就需要要么手机被ROOT掉,要么京东微联本身有溢出漏洞,外部能植入SO程序,进入进程,完成劫持。但是,光凭京东微联上传用户的 Wi-Fi 的账户和密码,就是不对的,本来就不是属于它们的东西,不管劫持难度大不大。
8月14日,嘶吼的一位知情人士告诉雷锋网,他们在测试过程中,使用的是公牛的二代加强版智能插座。8月15日,W 通过手机应用商店下载了京东微联 App。
W 表示,这一版本的 App 是8月14 日发布的最新版应用,也就是说,这一版本应该是最近争议发生后京东微联推出的改进版。
W初步分析后向雷锋网表示,该 App 应该不能连接非合作品牌的智能家居产品,因为手边没有京东微联App 的合作智能家居产品。W 进行了谨慎地静态分析及推断。
以下为W的分析结果:
由于没有智能设备连接,参考嘶吼上一版本的文明字符串参数:
mac_id、config_type、ssid、pass等等。
在androidkiller中搜索pass
根据pass字符串定位函数
以上函数为拼接wifi密码等信息
调用Lcom/jd/smart/utils/k;->a函数
a函数中调用AES算法进行wifi信息加密。
调用http相关函数进行发送
调用http相关函数进行post发送。
由于没有智能设备,以上流程并未通过验证。
W 总结,从静态分析结果看,新版本的京东微联App 依然收集Wi-Fi 账号密码,但在加密后发送,不过要有设备再次连接后才能验证。目前,W 已经网购了一款公牛智能插座,敬请期待后续验证结果。
8月16日,W 使用公牛插座与该App 进行连接,再次验证了上面的结论。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/109335.html