新闻快讯
< >

京东微联泄露你的WiFi信息?放心,这不过是专业黑客的障眼法

在这样混乱的互联网上,你根本身不由己,当你接入互联网或者陌生人的那一刻,你就觉得不安了。除了要防拿到你隐私、偷窥你的坏蛋,更要防止恶意制造恐慌,图谋不轨,混淆你判断的“黑客”。

近日有这样一篇报道,“京东再曝隐私门 自作主张收集用户私密信息“,文中指出“京东旗下一款微联APP涉嫌私自把用户的Wi-Fi信息上传回服务器,还夸大的假设了,微联APP如何利用Wi-Fi把银行卡密码等绝密信息传送到京东的场景,并且上传了一段所谓的”窃取“过程视频。小编不禁感叹,真是戏足!

京东微联泄露你的WiFi信息?放心,这不过是专业黑客的障眼法-E安全

如果是你爸妈那个年龄段的人,一定吓出一身冷汗,假如真是这样,泄露Wi-Fi信息--设备和计算机被人入侵--网上银行等信息被监听……那可是一辈子的积蓄,不是小事啊!可你是有文化有素质的好好青年啊,这事,就需要重新冷静思考了。

在小编我缜密的观察和向多方技术专家请教之下,发现了其中的“bug“,这无非就是黑客的一场自high!但是为了打消众多爸妈们的恐慌,让小编我娓娓道来这其中的缘由。真相,只有一个:

先普及一个知识点: 我们使用的任何一款互联网APP,尤其是需要高安全保证的APP,都是需要通过一种通讯协议来和云端进行互动的。那么这款京东微联APP使用的就是互联网常见的,安全性经过全球认可的https协议。它可以应用在互联网支付、交易、甚至是银行系统中的,并且这个协议是经过加密处理的。这就意味着,微联的APP数据交互的安全有足够的保证,你丝毫不用担心有安全泄露的问题。

那么,问题来了,视频里是怎么抓取到手机与https数据的呢?视频中能够抓到手机与服务端通讯的https数据的原因并不是因为https没有加密,而是该用户在自己手机端做了特殊操作,这并非用户正常操作!能做到这种操作的人,首先她一定是一个专家级别用户,甚至是精通互联网通讯技术的“黑客“。

注意,下面小编要开始装逼了,对技术无感的人可以直接跳过哈。通常这种特殊操作是需要用户在自己的手机上进行重新配置,通过手动操作安装代理服务器的https证书,再在指定上网过程通过代理服务器上网,要在手机系统中指定了该代理服务器的IP及端口,进行这种操作后,所有的该机器上APP的https通讯过程及内容都会被用户指定的代理服务器捕获了,值得注意的是,被捕获的不仅仅只是微联数据,可能是你机器上的任何一款APP数据。

而这其中的bug就是,当你在手机中安装了代理证书指定了代理服务器IP和端口之后,相当于自己在自己的手机上开了一个后门,有了一个漏洞,而视频中的朋友又通过这个漏洞把自己已知的Wi-Fi信息在手机端输入,最后又自己捕获到了。那么请问,谁会自己设置漏洞,窃取自己已知的WIFI信息?

从视频中看,是有某专业级用户刻意做了这种操作,在其人为设定漏洞的机器上输入已知的Wi-Fi信息,并“假装“捕获并不会威胁正常的APP用户及微联用户;而实际上,在手机没有被劫持的情况下,第三方是不可能通过随意监听https 的方式得到数据的。

说了这么多,小编总结一下这次疑似隐私泄露事件的真相:

1.微联APP应用的协议绝对安全,并且经过加密处理,不会威胁用户隐私安全。

2.专业级黑客给普通用户变了一个一眼就会被行内人士识破的“魔术”。

3.自己捕获自己的Wi-Fi密码,相当于我把自己家盗窃了的角色扮演游戏。

在小编多方了解下,也得到了一些微联APP的情况:2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案,在匹配时会通过https加密的方式上传Wi-Fi相关信息至云端完成编码,再回传到设备端完成配网流程,数据传输不但经过了加密,而且服务端不会存储任何Wi-Fi相关信息。

京东微联泄露你的WiFi信息?放心,这不过是专业黑客的障眼法-E安全

为了统一配网过程,并提高配网成功率,自2016年下半年起,新接入的微联设备已经全部采用了微联自研的全新配网技术,实现了本地配网,也不需要上传任何Wi-Fi信息。

所以,请广大网友不要恐慌,放心使用京东微联,相信京东、相信强哥。通过这番了解,小编倒是有了一个意外收获,那就是京东微联已经是目前国内最大的智能硬件互联互通平台了,超过1000款商品都可以通过微联实现控制,也就是说,你不用给每个智能硬件都装一个APP了。这才是黑科技呢!不说了,小编上网去选支持微联的设备去了。