本篇文章3834字,读完约10分钟
最近,有这样一个争议:
吼:你的微链接应用程序传递了人们的wi-fi账户和密码,却没有告诉用户!
京东威廉:我在协议里写的,你没看到吗?我只为分销网络发送此信息!我加密发送的,所以你看不到。
吼:你看不到什么?当我是一个编辑的时候,我可以看到清晰的文本信息!
京东威廉:你在劫持!他还说他是一个普通用户,没有劫持就看不见。
新华社:咳咳,让我说几句话。您的上传是不必要的。此外,你没有说你是否会在2016年下半年之后这么做。
京东威廉:我们不在云中保存信息。我们承诺永远不会存储、修改或传播此信息,并且不会再次发送新的访问产品。不信?你看,我们的伙伴也相信我们。
这到底是怎么回事?让我们来看看这件事的全部经过——
你和京东威廉的纠纷
8月10日,安全媒体《嘶吼》发表了一篇题为《窃取隐私,传播明文,京东的不良行为挑战网络安全法》的文章,指出JD.com威廉的应用有异常行为,并秘密上传了用户目前使用的明文wi-fi密码。
本文提出了三个重要观点:
1.相关技术原理要求用户输入当前无线网络的密码,只需在本地传输加密数据,无需任何操作云。未上传到京东的服务器不会影响用户连接设备的运行。这个设备没有wi-fi就不能上网,所以不能连接到京东服务器,也就是说,不能先把wi-fi密码传到京东,再传到这个设备。
2.在测试期间,京东威廉从未提示收集无线上网密码。
3.作为一个电子商务企业,你想收集消费者的网络连接密码吗?然而,危害是显而易见的。京东的产品能够进入任何使用京东威廉的用户的家庭网络。一旦泄漏发生,你家的wi-fi很可能被盗。在普通家庭网络中,相互信任的设备之间有一些协议。安全措施没有那么严格。一旦犯罪分子进入你家的wi-fi,你的网络隐私信息也会导致泄露,而智能设备可能被恶意控制,造成现实。
同一天下午,他尖叫道收到了京东发来的微信侵权通知。
在一篇发表的文章《京东承认通过投诉的方式私下上传用户的wi-fi密码》中,京东威廉向他们提出了以下理由:
1.“京东威廉”用户协议声称用户输入的wi-fi用户名和密码不会在云中存储或修改;
2.京东称,威廉“旧设备会通过加密上传信息,而根本没有明文上传”;
3.京东说“通过加密上传”。
他不同意这三点,尤其是第三点。他说,在“编辑实际测量”之后,“在上传过程中,使用https加密协议传输wi-fi密码信息,但里面的密码信息是明文。即使是编辑也能看到明文密码信息,这种https加密传输的应用还需要改进。”
新华社的提问和京东的回应在新华社的干预下,这场争论愈演愈烈。
8月12日,新华社在其微信上发表了一篇长文章,“保持警惕!京东的应用悄悄上传你的wi-fi密码,而大多数人并不知道。
本文提出以下意见:
1.记者在“京东威廉”应用上看到了“京东智能云用户使用协议”。第6条规定:“在首次添加智能硬件设备的过程中,您需要为该设备提供wi-fi环境接入。”ssid和密码用于智能硬件设备和wi-fi环境的一键式配置。”据此,京东公司认为,他们已经向用户解释了上传wi-fi密码等信息。同时,专家指出,普通用户在使用协议中很难找到这个提示,应该做明显的二次提示。
2.尽管“京东威廉”应用在“用户使用协议”中承诺:“原始信息和映射信息不会被远程存储或修改,也不会被披露、转移或用于其他目的。”然而,当用户将wi-fi密码等敏感信息上传到服务器时,会给自身的信息安全带来一些隐患。他们在咆哮的文章中再次强调了咆哮的技术员刘的观点:一旦黑客入侵,隐私将消失。
不过,这篇文章也给出了京东的回应:“虽然黑客很难劫持https传输通道,但威廉今后将对敏感信息加密两次。”
新华社还说,首先,在另一个团队的测试中,“京东威廉”确实将用户的wi-fi密码上传到了京东服务器。其次,“将用户的wi-fi密码上传到您自己的服务器”的步骤完全是“多余的”。第三,除了“京东威廉”应用之外,他们还测试了几款智能设备控制软件,没有发现上传用户wi-fi密码的行为。
最后,新华社报道最后指出,京东公司在采访中没有明确表示,2016年下半年以后,出厂的智能设备不需要上传wi-fi密码,或者软件不再上传wi-fi密码。
对此,JD.com·威廉表示,将用户的wi-fi信息上传到云端只是为了满足分销网络的技术需求。相信“京东威廉”真正实现了智能设备跨品牌、跨类别的互联,为用户提供了良好的体验;相比之下,其他系统可能只能运行一个智能硬件,所以没有必要上传wi-fi密码。"把两者进行比较是不合适的。"。
在这起事件发酵的情况下,8月12日,“京东黑板报”发表正式声明,与雷锋。com编辑器已经用粗体显示了要点:
1.在2016年上半年之前,为了适应不同厂商芯片和模块的网络分发通信方案,微连接设备在匹配时会将wi-fi相关信息上传到云端,通过https(超文本传输安全协议)加密完成编码,然后发回设备端完成网络分发过程。数据不仅加密,而且服务器端也不会存储任何wi-fi相关信息。
2.京东威廉在用户协议第六条第二款中表示:“在首次添加智能硬件设备的过程中,您需要提供该设备接入wi-fi环境所需的ssid和密码。智能硬件设备和wi-fi环境的一键式配置;我们将映射此信息,但我们不会远程存储或修改原始信息和映射信息,也不会将其披露、转移或用于其他目的。”京东始终遵守这一承诺,永远不会储存、修改或传播这一信息。
3.为了统一配送流程,提高配送网络的成功率,从2016年下半年开始,所有新接入的微联设备都采用了微联开发的新型配送网络技术,实现了本地配送网络,无需上传wi-fi信息。
4.在相关文章中,据说技术专家可以检测到威廉应用上传的wi-fi信息,这是通过“劫持”他们手机的特殊技术设置实现的;当手机没有被劫持时,第三方无法通过监听https获得明文数据。
5.JD.com一直尽力从技术和流程方面保护用户信息,新老设备通过微链接互联不会导致您的信息泄露。
6.京东非常重视用户的信息安全和媒体监管。考虑到用户的手机可能被恶意劫持,虽然劫持https是一个困难的操作,威廉仍然会加密敏感信息两次;同时,微联盟坚定而全面地推动了微联盟自主开发的分销网络协议的普及。新的接入产品不再需要将用户wi-fi信息发送到云端,统一用户体验,提高分销网络的成功率,消除用户烦恼。
在声明的后半部分,JD.com·威廉还吸引了公牛、美的和长虹等几个合作伙伴的“支持”。
再次怀疑和测试,但问题来了:
1.有必要将用户的wi-fi信息发送到云端吗?分销网络真的有必要吗?
2.“技术专家可以检测威廉应用上传的wi-fi信息,这是通过“劫持”他们手机的特殊技术设置实现的;在手机没有被劫持的情况下,第三方无法通过监控https获得数据的明文。”在这场咆哮和京东威廉之间的关键争论中,谁是对的?
3.“用户的手机可能被恶意劫持。尽管劫持https是一项困难的操作,但威廉仍将对敏感信息加密两次。”这次劫持有多难?有什么理由引起技术人员的关注吗?
《雷锋》的编辑就这些问题咨询了一家移动安全公司的高级安全专家W(受访者要求匿名),并邀请对方提供技术支持,以再次检验《嘘》和新华社文章中提到的几点。
w认为:
1.没有必要把用户的wi-fi信息发送到云端,分销网络的需求是一个借口。
2.第三方劫持的难度取决于https的配置。如果只是验证,用户账户的密码信息不能修改,但可以看到;如果是加密的,你甚至不能读。加密有两种含义,一种是加密数据本身并使用https协议,另一种是由应用程序加密数据并通过https发布,这样https就不需要加密。这两种方法可以保证通信中的数据安全。
3.这种劫持真的很难,需要满足以下条件:攻击程序入侵攻击站点的过程,要求要么是手机被根掉线,要么是京东威廉本身有溢出漏洞,所以可以植入外部程序进入这个过程,完成劫持。然而,仅通过京东威廉上传用户的wi-fi账户和密码是错误的,这不是他们自己的事情,不管劫持有多困难。
8月14日,一位咆哮的内部人士告诉雷锋。(公开号码:雷锋。他们在测试过程中使用了第二代增强版的智能插件Bull。8月15日,W通过手机应用商店下载了京东威廉应用。
w表示,这个版本的应用是8月14日发布的最新版本,也就是说,这个版本应该是京东威廉在最近的争议之后推出的改进版本。
经过初步分析,W告诉雷锋。该应用不应该连接到非合作品牌的智能家居产品,因为手头没有京东威廉的合作智能家居产品。w做了仔细的静态分析和推断。
以下是w的分析结果:
由于没有智能设备连接,请参考上一版本的文明字符串参数:
Mac_id、config_type、ssid、pass等等。
寻找安德洛杀手的通行证
根据传递字符串定位函数
以上功能是拼接wifi密码和其他信息
调用lcom/jd/smart/utils/k。->函数
在函数a中调用Aes算法来加密wifi信息。
调用http相关函数发送
调用与http相关的函数发送帖子。
由于没有智能设备,上述过程尚未得到验证。
综上所述,从静态分析结果来看,新版京东威廉应用仍然会收集wi-fi账户密码,但会在加密后发送,但只有在设备重新连接后才能验证。目前,W已经在线购买了一个Bull智能插头,所以请期待后续的验证结果。
雷锋原创文章。严禁擅自转载。详情请参考转载说明。
标题:京东微联 App “窃隐私”争议始末,黑客大牛为求证测试了一把
地址:http://www.hcsbodzyz.com/hcxw/5523.html