近日一個(gè)名為嘶吼網(wǎng)的互聯(lián)網(wǎng)安全新媒體網(wǎng)站撰文向京東旗下的一款智能家居軟件“開(kāi)炮”，稱其涉嫌竊取用戶無(wú)線網(wǎng)密碼，文章中還附帶有數(shù)據(jù)測(cè)試視頻和截圖。

　　文章中進(jìn)行相關(guān)測(cè)試的該網(wǎng)站網(wǎng)絡(luò)安全團(tuán)隊(duì)成員劉曉光(化名)介紹說(shuō)，他們最初是在社交平臺(tái)上關(guān)注到該事件，并于9日晚間和10日上午前后兩次進(jìn)行了安全性測(cè)試，“網(wǎng)絡(luò)帖子上面提到了說(shuō)他那邊檢測(cè)到了京東微聯(lián)直接明文上傳用戶的WiFi的名字和密碼，但是看京東的(用戶)協(xié)議之后發(fā)現(xiàn)它那里面是說(shuō)不會(huì)上傳的。我們發(fā)現(xiàn)了這個(gè)線索之后進(jìn)行了一些復(fù)測(cè)。”

　　首先，京東微聯(lián)是否真的上傳了用戶的無(wú)線網(wǎng)密碼等信息？

　　京東微聯(lián)軟件在用戶注冊(cè)時(shí)提供的《用戶使用協(xié)議》中寫(xiě)道：“在初次添加某款智能硬件設(shè)備的過(guò)程中，您需為此設(shè)備提供WiFi環(huán)境接入所需的SSID以及密碼，用于智能硬件設(shè)備和WiFi環(huán)境的一鍵配置。”

　　劉曉光團(tuán)隊(duì)聲稱，因?yàn)閰f(xié)議中并沒(méi)有明確提到“上傳”二字，但他們?cè)跍y(cè)試中抓取到了“證據(jù)”，因此認(rèn)為該軟件涉嫌竊取用戶隱私。

　　第二，京東微聯(lián)軟件上傳用戶無(wú)線網(wǎng)密碼，是否盡到了告知義務(wù)？

　　今年6月起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”中國(guó)信息安全測(cè)評(píng)中心總工程師王軍認(rèn)為，無(wú)線網(wǎng)密碼應(yīng)當(dāng)屬于用戶敏感信息，軟件在上傳前應(yīng)進(jìn)行二次提示和確認(rèn)。

　　王軍指出，“目前這樣的做法實(shí)際上對(duì)用戶不太公平，應(yīng)該明確經(jīng)過(guò)用戶的授權(quán)，明確告知，不能夠混在一大堆《用戶使用協(xié)議》中，而且不能說(shuō)用戶不同意就不給服務(wù)，這有點(diǎn)兒霸王條款的感覺(jué)。”

　　此外專家還表示，其上傳用戶敏感信息是否具有合理性和必要性也值得深究，需要具體問(wèn)題具體分析。

　　第三，京東微聯(lián)軟件上傳用戶的無(wú)線網(wǎng)密碼是出于何種考慮？

　　京東方面昨夜發(fā)布公告稱，2016年上半年之前的微聯(lián)設(shè)備為了適配不同廠商芯片及模塊的配網(wǎng)通訊方案，在匹配時(shí)會(huì)通過(guò)HTTPS(超文本傳輸安全協(xié)議)加密的方式上傳Wi-Fi相關(guān)信息至云端完成編碼，再回傳到設(shè)備端完成配網(wǎng)流程，數(shù)據(jù)不但經(jīng)過(guò)了加密，而且服務(wù)端不會(huì)存儲(chǔ)任何Wi-Fi相關(guān)信息；2016年下半年后的設(shè)備不存在數(shù)據(jù)上傳情況，因此無(wú)論新老設(shè)備，通過(guò)微聯(lián)實(shí)現(xiàn)互聯(lián)互通都不會(huì)導(dǎo)致用戶信息泄露。

　　第四，用戶隱私信息能否得到安全保障？

　　依據(jù)網(wǎng)絡(luò)安全法的相關(guān)規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。中國(guó)信息安全測(cè)評(píng)中心總工程師王軍表示，如果黑客通過(guò)相關(guān)技術(shù)手段獲取提交到京東微聯(lián)的數(shù)據(jù)，將給用戶帶來(lái)極大安全風(fēng)險(xiǎn)。比如黑客利用用戶的電腦來(lái)做成網(wǎng)絡(luò)攻擊的客戶端(“肉雞”)，比如說(shuō)發(fā)布一些不合適的信息，甚至進(jìn)行詐騙活動(dòng)。執(zhí)法部門(mén)追查起來(lái)第一個(gè)都是追查到用戶這里來(lái)了，給用戶帶來(lái)麻煩。

　　不過(guò)，京東方面表示，考慮到用戶的手機(jī)可能被惡意劫持，雖然對(duì)HTTPS的劫持是比較困難的操作，但微聯(lián)仍然將會(huì)對(duì)敏感信息進(jìn)行二次加密。

　　此外截至目前，京東也已委托律師向“嘶吼網(wǎng)”的主體公司北京嘶吼文化傳媒有限公司發(fā)出了相關(guān)律師函，律師函中指出“嘶吼網(wǎng)”通過(guò)文章標(biāo)題和內(nèi)容捏造虛假事實(shí)，要求對(duì)方停止相關(guān)侵權(quán)行為