旗下APP上传用户WiFi密码？京东称新设备不会，遭新华社打脸

对于京东旗下APP京东微联上传用户的Wi-Fi信息一事，京东官方公众号“京东黑板报”12日晚间作出回应称，2016年下半年后的设备不存在数据上传情况。但新华社调查发现，对不同时期出厂的智能硬件设备进行测试，发现“京东微联”APP在连接部分智能设备时，仍然存在上传WiFi信息的情况。

8月10日下午，一篇题为《窃隐私，传明文，京东劣举挑战网安法》的文章在网上传播，该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下，擅自将用户输入的个人WiFi密码上传至京东服务器，为用户的网络安全埋下隐患。

8月12日，经新华社调查核实，文章出自名为“嘶吼网”的网络安全媒体的技术团队之手。据团队成员刘晓光(化名)介绍，他们在知乎上留意到相关内容，并于9日晚间和10日上午前后两次进行了安全性测试，结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。

京东在声明中称，2016年下半年前的智能设备会通过HTTPS安全协议上传Wi-Fi信息，只进行必要的设备配网技术流程，不会在云端保存；2016年下半年后的设备不存在数据上传情况；无论新老设备，通过微联实现互联互通都不会导致用户信息泄露。

但新华社调查发现，两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试，发现“京东微联”APP在连接部分智能设备时，仍然存在上传WiFi信息的情况。

此外，京东声称WiFi密码等敏感信息是在HTTPS环境下上传的，外界很难截获。但据新华社援引刘晓光的观点认为，一旦被黑客截获，他完全可以进入你的WiFi劫持连接入WiFi的智能设备，“比如这些设备中包含网络摄像头，那么黑客也有机会调阅摄像头所拍摄的画面。”

京东具体声明如下：

1. 2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案，在匹配时会通过HTTPS(超文本传输安全协议)加密的方式上传Wi-Fi相关信息至云端完成编码，再回传到设备端完成配网流程，数据不但经过了加密，而且服务端不会存储任何Wi-Fi相关信息。

2. 京东微联在用户协议的第六条第二款中说明了：“在初次添加某款智能硬件设备的过程中，您需为此设备提供Wi-Fi环境接入所需的SSID以及密码，用于智能硬件设备和Wi-Fi环境的一键配置；我们会对这些信息，进行映射处理，但不会对原始信息以及映射处理后的信息进行任何远端的存储或修改，也不会公开、转让、用于其他使用目的。”京东一直遵守该承诺，绝不会存储、修改或传播这些信息。