京東微聯(lián) App “竊隱私”爭(zhēng)議始末，黑客大牛為求證測(cè)試了一把

最近，發(fā)生了一起這樣的爭(zhēng)議：

嘶吼：你們微聯(lián) App 傳人家的Wi-Fi 賬戶(hù)和密碼，還不告訴用戶(hù)!

京東微聯(lián)：我在協(xié)議里寫(xiě)了，你沒(méi)看到么？我傳這些信息只是為了配網(wǎng)！我傳的還是加密的，你看不到。

嘶吼：什么看不到？我一個(gè)編輯隨便搞搞都能看到是明文信息！

京東微聯(lián)：你這是劫持！還說(shuō)自己是普通用戶(hù)，不劫持看不到。

新華社：咳咳，我來(lái)說(shuō)兩句，你們這個(gè)上傳沒(méi)必要啊，還有，你們沒(méi)說(shuō) 2016 年下半年以后還搞不搞??！

京東微聯(lián)：我們不在云端存留信息，我們承諾絕不存儲(chǔ)、修改或傳播這些信息，新接入產(chǎn)品也不再發(fā)送。不信？你看我們合作伙伴也相信我們。

到底怎么回事？我們來(lái)看看這件事情的始末——

嘶吼和京東微聯(lián)的爭(zhēng)議

8 月 10 日，安全媒體嘶吼網(wǎng)發(fā)布了一篇文章《竊隱私，傳明文，京東劣舉挑戰(zhàn)網(wǎng)安法》，直指京東微聯(lián)App有異常行為，會(huì)偷偷明文上傳用戶(hù)當(dāng)前使用的 Wi-Fi密碼。

該文提出了三個(gè)重要觀點(diǎn)：

1.相關(guān)的技術(shù)原理需要用戶(hù)輸入當(dāng)前無(wú)線網(wǎng)絡(luò)的密碼，僅需在本地進(jìn)行密碼編碼后的數(shù)據(jù)通信，不需要任何云端來(lái)進(jìn)行操作。不上傳到京東的服務(wù)器對(duì)用戶(hù)的連接設(shè)備操作沒(méi)有任何影響。這個(gè)設(shè)備沒(méi)有連Wi-Fi就無(wú)法上網(wǎng)，那就連接不了京東服務(wù)器，也就是不可能把Wi-Fi密碼傳到京東再傳給設(shè)備。

2.測(cè)試過(guò)程中，京東微聯(lián)從未提示要收集Wi-Fi密碼。

3.作為一家電商企業(yè)，要收集消費(fèi)者的網(wǎng)絡(luò)連接密碼干什么？但其危害卻顯而易見(jiàn)，京東旗下產(chǎn)品有能力進(jìn)入任意使用京東微聯(lián)用戶(hù)的家庭網(wǎng)絡(luò)，一旦發(fā)生泄漏，你的家用Wi-Fi極有可能被盜用，而在常見(jiàn)的家用網(wǎng)絡(luò)中，設(shè)備之間都是有相互信任的一些協(xié)議，安全防護(hù)措施并不是那么嚴(yán)密，一旦有不法分子進(jìn)入了你的家庭Wi-Fi，你的網(wǎng)絡(luò)隱私信息也會(huì)導(dǎo)致泄漏，而智能設(shè)備也可能會(huì)被惡意控制，造成現(xiàn)實(shí)中的隱私泄漏，例如家庭攝像頭的信息被他人實(shí)施監(jiān)控。

同日下午，嘶吼稱(chēng)，它收到了京東的一份微信侵權(quán)通知函。

在嘶吼刊發(fā)的一文《京東用投訴的方式承認(rèn)了私自上傳用戶(hù)Wi-Fi密碼》中，京東微聯(lián)向他們提出了這些理由：

1.“京東微聯(lián)”用戶(hù)協(xié)議聲稱(chēng)，不會(huì)對(duì)用戶(hù)輸入的Wi-Fi名和密碼進(jìn)行任何云端的存儲(chǔ)或修改；

2.京東聲稱(chēng)，微聯(lián)“老設(shè)備會(huì)通過(guò)加密方式上傳信息，完全不存在明文上傳的情況”；

3.京東說(shuō)“通過(guò)加密方式上傳”。

嘶吼對(duì)這三點(diǎn)表示異議，尤其是第三點(diǎn)，嘶吼稱(chēng)，“嘶吼編輯實(shí)測(cè)”后，“Wi-Fi密碼信息在上傳過(guò)程使用了HTTPS 加密協(xié)議傳輸，但里邊的密碼信息確是明文的，連嘶吼編輯都可以看到明文密碼信息， 這HTTPS 加密傳輸應(yīng)用還是有待提高的。 ”

新華社的疑問(wèn)與京東的回應(yīng)

這場(chǎng)爭(zhēng)議隨著“新華社”的介入愈演愈烈。

8月12日，新華社在其微信上發(fā)表了一篇長(zhǎng)文《警惕！京東這款A(yù)PP悄悄上傳你的Wi-Fi密碼，絕大多數(shù)人不知道》。

該文提出了以下幾點(diǎn)意見(jiàn)：

1.記者在“京東微聯(lián)”APP上調(diào)閱了《京東智能云用戶(hù)使用協(xié)議》，第六條載明：“在初次添加某款智能硬件設(shè)備的過(guò)程中，您需為此設(shè)備提供Wi-Fi環(huán)境接入所需的 SSID 以及密碼，用于智能硬件設(shè)備和Wi-Fi環(huán)境的一鍵配置。”京東公司據(jù)此認(rèn)為，他們就上傳 Wi-Fi 密碼等信息向用戶(hù)進(jìn)行了說(shuō)明。同時(shí)，通過(guò)專(zhuān)家之口指出，一般用戶(hù)很難在使用協(xié)議中發(fā)現(xiàn)該提示，應(yīng)該進(jìn)行明顯的二次提示。

2.盡管“京東微聯(lián)”APP在《用戶(hù)使用協(xié)議》中承諾：“不會(huì)對(duì)原始信息以及映射處理后的信息進(jìn)行任何遠(yuǎn)端的存儲(chǔ)或修改，也不會(huì)公開(kāi)、轉(zhuǎn)讓、用于其他使用目的?！钡脩?hù)將Wi-Fi密碼等敏感信息上傳給服務(wù)器，本身就給自身信息安全帶來(lái)一定隱患，他們?cè)俅螐?qiáng)調(diào)了嘶吼的技術(shù)人員劉曉光在嘶吼文章中的觀點(diǎn)：黑客一旦入侵，隱私蕩然無(wú)存。

不過(guò)，該文同樣呈現(xiàn)了京東的回應(yīng)：“雖然黑客對(duì) HTTPS 傳輸通道的劫持是比較困難的，但微聯(lián)未來(lái)會(huì)對(duì)敏感信息進(jìn)行二次加密?！?/p>

新華社該文還稱(chēng)，第一，在另一團(tuán)隊(duì)的測(cè)試中，“京東微聯(lián)”確實(shí)存在向京東服務(wù)器上傳用戶(hù) Wi-Fi 密碼的行為。第二，“將用戶(hù)的 Wi-Fi 密碼上傳至自己的服務(wù)器”這一步驟完全是“多余”的。第三，除“京東微聯(lián)”APP外，他們還測(cè)試了幾款智能設(shè)備的操控軟件，均沒(méi)有發(fā)現(xiàn)將用戶(hù) Wi-Fi 密碼上傳的行為。

最后，新華社的報(bào)道最后指出，采訪中京東公司并未明確，2016年下半年以后，是出廠的智能設(shè)備無(wú)需上傳Wi-Fi密碼，還是該款軟件不再上傳Wi-Fi密碼。

對(duì)此，京東微聯(lián)稱(chēng)，將用戶(hù) Wi-Fi 信息上傳至云端僅是出于配網(wǎng)的技術(shù)需要。并認(rèn)為“京東微聯(lián)”真正做到了跨品牌、跨品類(lèi)智能設(shè)備的連接，為用戶(hù)提供了良好的使用體驗(yàn)；相比之下，其他系統(tǒng)很可能只能操作單一的智能硬件，因此無(wú)需上傳 Wi-Fi 密碼，“拿兩者做比較是不恰當(dāng)?shù)摹薄?/p>

在這一事件發(fā)酵的情況下，8月12日，“京東黑板報(bào)”發(fā)出了一則官方聲明，雷鋒網(wǎng)編輯已對(duì)重要觀點(diǎn)加粗顯示：

1. 2016年上半年之前的微聯(lián)設(shè)備為了適配不同廠商芯片及模塊的配網(wǎng)通訊方案，在匹配時(shí)會(huì)通過(guò)HTTPS（超文本傳輸安全協(xié)議）加密的方式上傳 Wi-Fi 相關(guān)信息至云端完成編碼，再回傳到設(shè)備端完成配網(wǎng)流程，數(shù)據(jù)不但經(jīng)過(guò)了加密，而且服務(wù)端不會(huì)存儲(chǔ)任何Wi-Fi相關(guān)信息。

2. 京東微聯(lián)在用戶(hù)協(xié)議的第六條第二款中說(shuō)明了：“在初次添加某款智能硬件設(shè)備的過(guò)程中，您需為此設(shè)備提供Wi-Fi環(huán)境接入所需的 SSID 以及密碼，用于智能硬件設(shè)備和Wi-Fi環(huán)境的一鍵配置；我們會(huì)對(duì)這些信息，進(jìn)行映射處理，但不會(huì)對(duì)原始信息以及映射處理后的信息進(jìn)行任何遠(yuǎn)端的存儲(chǔ)或修改，也不會(huì)公開(kāi)、轉(zhuǎn)讓、用于其他使用目的。”京東一直遵守該承諾，絕不會(huì)存儲(chǔ)、修改或傳播這些信息。

3. 為了統(tǒng)一配網(wǎng)過(guò)程，并提高配網(wǎng)成功率，自 2016 年下半年起，新接入的微聯(lián)設(shè)備已經(jīng)全部采用了微聯(lián)自研的全新配網(wǎng)技術(shù)，實(shí)現(xiàn)了本地配網(wǎng)，已經(jīng)不需要上傳任何 Wi-Fi 信息。

4. 相關(guān)文章中談到技術(shù)專(zhuān)家可以檢測(cè)微聯(lián) APP上傳 Wi-Fi 信息，是通過(guò)“劫持”自己手機(jī)的特殊技術(shù)設(shè)定實(shí)現(xiàn)的；在手機(jī)沒(méi)有被劫持的情況下，第三方不能通過(guò)監(jiān)聽(tīng) HTTPS 的方式得到數(shù)據(jù)明文。

5. 京東一直從技術(shù)和流程等方面盡全力保護(hù)用戶(hù)信息，無(wú)論新老設(shè)備，通過(guò)微聯(lián)實(shí)現(xiàn)互聯(lián)互通都不會(huì)導(dǎo)致您的信息泄露。

6. 京東非常重視用戶(hù)的信息安全和媒體監(jiān)督，考慮到用戶(hù)的手機(jī)可能被惡意劫持，雖然對(duì) HTTPS 的劫持是比較困難的操作，但微聯(lián)仍然將會(huì)對(duì)敏感信息進(jìn)行二次加密；同時(shí)，微聯(lián)會(huì)堅(jiān)定、全面推進(jìn)微聯(lián)自研配網(wǎng)協(xié)議的普及工作，新接入產(chǎn)品不再需要往云端發(fā)送用戶(hù) Wi-Fi 信息，統(tǒng)一用戶(hù)體驗(yàn)，提高配網(wǎng)成功率，并消除用戶(hù)的困擾。

在該聲明的后半部分，京東微聯(lián)還拉上了公牛、美的、長(zhǎng)虹等幾家合作伙伴“背書(shū)”支援。

疑惑和再次測(cè)試

但是，問(wèn)題來(lái)了：

1.往云端發(fā)送用戶(hù)的Wi-Fi 信息到底有沒(méi)有必要？真的是配網(wǎng)的必要需求嗎？

2.“技術(shù)專(zhuān)家可以檢測(cè)微聯(lián) APP上傳 Wi-Fi 信息，是通過(guò)“劫持”自己手機(jī)的特殊技術(shù)設(shè)定實(shí)現(xiàn)的；在手機(jī)沒(méi)有被劫持的情況下，第三方不能通過(guò)監(jiān)聽(tīng) HTTPS 的方式得到數(shù)據(jù)明文?！?strong>這一嘶吼和京東微聯(lián)的關(guān)鍵爭(zhēng)議點(diǎn)到底誰(shuí)有理？

3.“用戶(hù)的手機(jī)可能被惡意劫持，雖然對(duì) HTTPS 的劫持是比較困難的操作，但微聯(lián)仍然將會(huì)對(duì)敏感信息進(jìn)行二次加密?！?strong>這種劫持到底有多難？嘶吼技術(shù)人員的擔(dān)心有道理嗎？

雷鋒網(wǎng)編輯就這些問(wèn)題請(qǐng)教了某移動(dòng)安全公司資深安全專(zhuān)家 W（經(jīng)采訪對(duì)象要求匿名），并邀請(qǐng)對(duì)方進(jìn)行技術(shù)支持，再次測(cè)試嘶吼、新華社的文章中提到的幾點(diǎn)。

W 認(rèn)為：

1.向云端發(fā)送用戶(hù)的Wi-Fi 信息沒(méi)有必要，配網(wǎng)需求是推托之詞。

2.第三方劫持難度要看 HTTPS 是如何配置的，如果是只做了驗(yàn)簽，就不能修改用戶(hù)賬號(hào)密碼信息，但能看；如果做了加密，連看都不能看。加密有兩層意思，一是數(shù)據(jù)本身做加密，使用HTTPS 的協(xié)議，另一種是該應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加密，通過(guò) HTTPS 發(fā)放出去，這樣 HTTPS 就不用加密。這兩種方式都能在通訊上保證數(shù)據(jù)安全。

3.   這種劫持確實(shí)有一定難度，需要滿(mǎn)足以下條件：攻擊程序侵入到進(jìn)攻位點(diǎn)進(jìn)程，這就需要要么手機(jī)被ROOT掉，要么京東微聯(lián)本身有溢出漏洞，外部能植入SO程序，進(jìn)入進(jìn)程，完成劫持。但是，光憑京東微聯(lián)上傳用戶(hù)的 Wi-Fi 的賬戶(hù)和密碼，就是不對(duì)的，本來(lái)就不是屬于它們的東西，不管劫持難度大不大。

8月14日，嘶吼的一位知情人士告訴雷鋒網(wǎng)，他們?cè)跍y(cè)試過(guò)程中，使用的是公牛的二代加強(qiáng)版智能插座。8月15日，W 通過(guò)手機(jī)應(yīng)用商店下載了京東微聯(lián) App。

W 表示，這一版本的 App 是8月14 日發(fā)布的最新版應(yīng)用，也就是說(shuō)，這一版本應(yīng)該是最近爭(zhēng)議發(fā)生后京東微聯(lián)推出的改進(jìn)版。

W初步分析后向雷鋒網(wǎng)表示，該 App 應(yīng)該不能連接非合作品牌的智能家居產(chǎn)品，因?yàn)槭诌厸](méi)有京東微聯(lián)App 的合作智能家居產(chǎn)品。W 進(jìn)行了謹(jǐn)慎地靜態(tài)分析及推斷。

以下為W的分析結(jié)果：

由于沒(méi)有智能設(shè)備連接，參考嘶吼上一版本的文明字符串參數(shù)：

mac_id、config_type、ssid、pass等等。

在androidkiller中搜索pass

 

根據(jù)pass字符串定位函數(shù) 

 

以上函數(shù)為拼接wifi密碼等信息 

調(diào)用Lcom/jd/smart/utils/k;->a函數(shù)

a函數(shù)中調(diào)用AES算法進(jìn)行wifi信息加密。 

調(diào)用http相關(guān)函數(shù)進(jìn)行發(fā)送

調(diào)用http相關(guān)函數(shù)進(jìn)行post發(fā)送。

由于沒(méi)有智能設(shè)備，以上流程并未通過(guò)驗(yàn)證。

W 總結(jié)，從靜態(tài)分析結(jié)果看，新版本的京東微聯(lián)App 依然收集Wi-Fi 賬號(hào)密碼，但在加密后發(fā)送，不過(guò)要有設(shè)備再次連接后才能驗(yàn)證。目前，W 已經(jīng)網(wǎng)購(gòu)了一款公牛智能插座，敬請(qǐng)期待后續(xù)驗(yàn)證結(jié)果。

8月16日，W 使用公牛插座與該App 進(jìn)行連接，再次驗(yàn)證了上面的結(jié)論。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。