京东微联 App “窃隐私”争议始末，黑客大牛为求证测试了一把

本篇文章3834字，读完约10分钟

最近，有这样一个争议:

吼:你的微链接应用程序传递了人们的wi-fi账户和密码，却没有告诉用户！

京东威廉:我在协议里写的，你没看到吗？我只为分销网络发送此信息！我加密发送的，所以你看不到。

吼:你看不到什么？当我是一个编辑的时候，我可以看到清晰的文本信息！

京东威廉:你在劫持！他还说他是一个普通用户，没有劫持就看不见。

新华社:咳咳，让我说几句话。您的上传是不必要的。此外，你没有说你是否会在2016年下半年之后这么做。

京东威廉:我们不在云中保存信息。我们承诺永远不会存储、修改或传播此信息，并且不会再次发送新的访问产品。不信？你看，我们的伙伴也相信我们。

这到底是怎么回事？让我们来看看这件事的全部经过——

你和京东威廉的纠纷

8月10日，安全媒体《嘶吼》发表了一篇题为《窃取隐私，传播明文，京东的不良行为挑战网络安全法》的文章，指出JD.com威廉的应用有异常行为，并秘密上传了用户目前使用的明文wi-fi密码。

本文提出了三个重要观点:

1.相关技术原理要求用户输入当前无线网络的密码，只需在本地传输加密数据，无需任何操作云。未上传到京东的服务器不会影响用户连接设备的运行。这个设备没有wi-fi就不能上网，所以不能连接到京东服务器，也就是说，不能先把wi-fi密码传到京东，再传到这个设备。

2.在测试期间，京东威廉从未提示收集无线上网密码。

3.作为一个电子商务企业，你想收集消费者的网络连接密码吗？然而，危害是显而易见的。京东的产品能够进入任何使用京东威廉的用户的家庭网络。一旦泄漏发生，你家的wi-fi很可能被盗。在普通家庭网络中，相互信任的设备之间有一些协议。安全措施没有那么严格。一旦犯罪分子进入你家的wi-fi，你的网络隐私信息也会导致泄露，而智能设备可能被恶意控制，造成现实。

同一天下午，他尖叫道收到了京东发来的微信侵权通知。

在一篇发表的文章《京东承认通过投诉的方式私下上传用户的wi-fi密码》中，京东威廉向他们提出了以下理由:

1.“京东威廉”用户协议声称用户输入的wi-fi用户名和密码不会在云中存储或修改；

2.京东称，威廉“旧设备会通过加密上传信息，而根本没有明文上传”；

3.京东说“通过加密上传”。

他不同意这三点，尤其是第三点。他说，在“编辑实际测量”之后，“在上传过程中，使用https加密协议传输wi-fi密码信息，但里面的密码信息是明文。即使是编辑也能看到明文密码信息，这种https加密传输的应用还需要改进。”

新华社的提问和京东的回应在新华社的干预下，这场争论愈演愈烈。

8月12日，新华社在其微信上发表了一篇长文章，“保持警惕！京东的应用悄悄上传你的wi-fi密码，而大多数人并不知道。

本文提出以下意见:

1.记者在“京东威廉”应用上看到了“京东智能云用户使用协议”。第6条规定:“在首次添加智能硬件设备的过程中，您需要为该设备提供wi-fi环境接入。”ssid和密码用于智能硬件设备和wi-fi环境的一键式配置。”据此，京东公司认为，他们已经向用户解释了上传wi-fi密码等信息。同时，专家指出，普通用户在使用协议中很难找到这个提示，应该做明显的二次提示。

2.尽管“京东威廉”应用在“用户使用协议”中承诺:“原始信息和映射信息不会被远程存储或修改，也不会被披露、转移或用于其他目的。”然而，当用户将wi-fi密码等敏感信息上传到服务器时，会给自身的信息安全带来一些隐患。他们在咆哮的文章中再次强调了咆哮的技术员刘的观点:一旦黑客入侵，隐私将消失。

不过，这篇文章也给出了京东的回应:“虽然黑客很难劫持https传输通道，但威廉今后将对敏感信息加密两次。”

新华社还说，首先，在另一个团队的测试中，“京东威廉”确实将用户的wi-fi密码上传到了京东服务器。其次，“将用户的wi-fi密码上传到您自己的服务器”的步骤完全是“多余的”。第三，除了“京东威廉”应用之外，他们还测试了几款智能设备控制软件，没有发现上传用户wi-fi密码的行为。

最后，新华社报道最后指出，京东公司在采访中没有明确表示，2016年下半年以后，出厂的智能设备不需要上传wi-fi密码，或者软件不再上传wi-fi密码。

对此，JD.com·威廉表示，将用户的wi-fi信息上传到云端只是为了满足分销网络的技术需求。相信“京东威廉”真正实现了智能设备跨品牌、跨类别的互联，为用户提供了良好的体验；相比之下，其他系统可能只能运行一个智能硬件，所以没有必要上传wi-fi密码。"把两者进行比较是不合适的。"。

在这起事件发酵的情况下，8月12日，“京东黑板报”发表正式声明，与雷锋。com编辑器已经用粗体显示了要点:

1.在2016年上半年之前，为了适应不同厂商芯片和模块的网络分发通信方案，微连接设备在匹配时会将wi-fi相关信息上传到云端，通过https(超文本传输安全协议)加密完成编码，然后发回设备端完成网络分发过程。数据不仅加密，而且服务器端也不会存储任何wi-fi相关信息。

2.京东威廉在用户协议第六条第二款中表示:“在首次添加智能硬件设备的过程中，您需要提供该设备接入wi-fi环境所需的ssid和密码。智能硬件设备和wi-fi环境的一键式配置；我们将映射此信息，但我们不会远程存储或修改原始信息和映射信息，也不会将其披露、转移或用于其他目的。”京东始终遵守这一承诺，永远不会储存、修改或传播这一信息。

3.为了统一配送流程，提高配送网络的成功率，从2016年下半年开始，所有新接入的微联设备都采用了微联开发的新型配送网络技术，实现了本地配送网络，无需上传wi-fi信息。

4.在相关文章中，据说技术专家可以检测到威廉应用上传的wi-fi信息，这是通过“劫持”他们手机的特殊技术设置实现的；当手机没有被劫持时，第三方无法通过监听https获得明文数据。

5.JD.com一直尽力从技术和流程方面保护用户信息，新老设备通过微链接互联不会导致您的信息泄露。

6.京东非常重视用户的信息安全和媒体监管。考虑到用户的手机可能被恶意劫持，虽然劫持https是一个困难的操作，威廉仍然会加密敏感信息两次；同时，微联盟坚定而全面地推动了微联盟自主开发的分销网络协议的普及。新的接入产品不再需要将用户wi-fi信息发送到云端，统一用户体验，提高分销网络的成功率，消除用户烦恼。

在声明的后半部分，JD.com·威廉还吸引了公牛、美的和长虹等几个合作伙伴的“支持”。

再次怀疑和测试，但问题来了:

1.有必要将用户的wi-fi信息发送到云端吗？分销网络真的有必要吗？

2.“技术专家可以检测威廉应用上传的wi-fi信息，这是通过“劫持”他们手机的特殊技术设置实现的；在手机没有被劫持的情况下，第三方无法通过监控https获得数据的明文。”在这场咆哮和京东威廉之间的关键争论中，谁是对的？

3.“用户的手机可能被恶意劫持。尽管劫持https是一项困难的操作，但威廉仍将对敏感信息加密两次。”这次劫持有多难？有什么理由引起技术人员的关注吗？

《雷锋》的编辑就这些问题咨询了一家移动安全公司的高级安全专家W(受访者要求匿名)，并邀请对方提供技术支持，以再次检验《嘘》和新华社文章中提到的几点。

w认为:

1.没有必要把用户的wi-fi信息发送到云端，分销网络的需求是一个借口。

2.第三方劫持的难度取决于https的配置。如果只是验证，用户账户的密码信息不能修改，但可以看到；如果是加密的，你甚至不能读。加密有两种含义，一种是加密数据本身并使用https协议，另一种是由应用程序加密数据并通过https发布，这样https就不需要加密。这两种方法可以保证通信中的数据安全。

3.这种劫持真的很难，需要满足以下条件:攻击程序入侵攻击站点的过程，要求要么是手机被根掉线，要么是京东威廉本身有溢出漏洞，所以可以植入外部程序进入这个过程，完成劫持。然而，仅通过京东威廉上传用户的wi-fi账户和密码是错误的，这不是他们自己的事情，不管劫持有多困难。

8月14日，一位咆哮的内部人士告诉雷锋。(公开号码:雷锋。他们在测试过程中使用了第二代增强版的智能插件Bull。8月15日，W通过手机应用商店下载了京东威廉应用。

w表示，这个版本的应用是8月14日发布的最新版本，也就是说，这个版本应该是京东威廉在最近的争议之后推出的改进版本。

经过初步分析，W告诉雷锋。该应用不应该连接到非合作品牌的智能家居产品，因为手头没有京东威廉的合作智能家居产品。w做了仔细的静态分析和推断。

以下是w的分析结果:

由于没有智能设备连接，请参考上一版本的文明字符串参数:

Mac_id、config_type、ssid、pass等等。

寻找安德洛杀手的通行证

根据传递字符串定位函数

以上功能是拼接wifi密码和其他信息

调用lcom/jd/smart/utils/k。->函数

在函数a中调用Aes算法来加密wifi信息。

调用http相关函数发送

调用与http相关的函数发送帖子。

由于没有智能设备，上述过程尚未得到验证。

综上所述，从静态分析结果来看，新版京东威廉应用仍然会收集wi-fi账户密码，但会在加密后发送，但只有在设备重新连接后才能验证。目前，W已经在线购买了一个Bull智能插头，所以请期待后续的验证结果。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。