2 月 25 日,雷鋒網編輯的朋友圈出現了一張截圖,稱墨跡天氣 App 上傳了用戶的所有 Wi-Fi 賬號,抓包抓出了流氓,背後還有騰訊等大公司的服務接口。
無圖無真相,對方還拋出了抓包信息。
這事是真的嗎?Wi-Fi 信息被上傳是什麼意思?這事到底跟普通用戶和騰訊又有什麼關係?為此,雷鋒網請教了網絡安全專家、SOBUG 創始人江金濤,獲得了騰訊 Wi-Fi 安全實驗室負責人姚威與墨跡天氣公關人士的回應。
著急的宅友可以先看三位的核心觀點:
江金濤:1.應該是獲取 Wi-Fi 的 SSID 信息,不包含密碼,但是足以通過 SSID 進行人群的聚集分析。2.事先應該是得到過用戶的權限授權。3.通過 http 接口進行傳輸,沒有加密,很容易在鏈路層被截取,不安全。4.靠網絡服務提供商保護用戶隱私就是個笑話。
姚威:躺槍,我們沒幹這事,可以去告造謠的人了!
墨跡天氣公關:不存在上傳用戶 Wi-Fi 賬號甚至其他個人隱私信息,更不存在信息洩露的問題,圖片上的標註是錯誤的。
到底有沒有收集
用戶需要對墨跡天氣 App 開放哪些權限?
雷鋒網編輯使用安卓手機和蘋果手機同時下載了墨跡天氣 App,以安卓手機的下載情況為例:
江金濤告訴雷鋒網,朋友圈中流傳的那張抓包圖片中指的應該是獲取 Wi-Fi 的 SSID 信息,不包含密碼。所謂 SSID,通俗來說,就是用戶手機裡的 Wi-Fi 名稱列表。
收集 Wi-Fi 名稱有什麼用?
“如果不收集密碼,僅收集 Wi-Fi 名稱,看上去好像沒什麼值得保密,但其實這是一個非常隱私的數據,比如名稱列表裡有大量相同的 Wi-Fi 名稱,交叉比對會發現用戶可能現在置身在某一個商場中,如果某一個地區裡有很多人的 Wi-Fi 名稱列表一致,證明有很多人聚集在此處,還可以通過 Wi-Fi 名稱和相同數量判斷一個人所在的定位以及兩人的社交關係。”江金濤提醒。
不過,如果你知道了一個人的 Wi-Fi 名稱,只要在這個對話中輸入,則可以判斷其相對位置。
當然,上述可能只是通過 Wi-Fi 信號強弱進行最直觀的判斷,如果將這個數據與 GPS 和其他功能配合,能獲得更準確的定位。江金濤認為,從上述角度看,Wi-Fi 名稱列表可以說是判斷用戶位置信息的維度之一,一般用於大數據營銷的用戶畫像,並猜測墨跡天氣應該事先徵求了用戶的同意。
根據墨跡天氣公關人士對雷鋒網的回應:“從圖片的代碼可以看出,我們收集的是公共Wi-Fi 環境裡的Wi-Fi 網絡名稱,這屬於公共公開信息,不屬於個人信息,是經用戶同意合法獲取。 ”再交叉比對編輯安裝墨跡天氣 App 的情況,“(基於網絡的)大概位置”應該就是這一選項。
不過,墨跡天氣的公關強調:“不存在上傳用戶 Wi-Fi 賬號甚至其他個人隱私信息,更不存在信息洩露的問題,圖片上的標註是錯誤的。”
誰幹的
這些 Wi-Fi 位置信息究竟去了哪裡?對於一個天氣 App 而言,為了提供精準服務,獲取用戶的位置信息無可厚非,而且明明獲取用戶的精準位置信息即可,為什麼還會獲取 Wi-Fi 名稱?傳說騰訊調用了一個接口又是怎麼回事?
姚威發出了否認五連。
“1.騰訊的用戶體系並不會從任何三方 App 去收集信息; 2.對於分析抓包看到的域名跟騰訊沒有任何關係; 3.騰訊 Wi-Fi 安全實驗室和 Wi-Fi 管家本身就對所有內部數據做監管,即使是自己的數據也不可能輕易使用,對於數據類的東西不可能與任何三方做交易和共享; 5.騰訊數據不出騰訊是紅線,騰訊也不購買任何人提供的 Wi-Fi 用戶數據。”
“從頭到尾沒出現任何騰訊信息啊,發推的人是怎麼想的呢? 推特和境外網站不是法外之地,境外謠言也是謠言啊。”他強調。
姚威表示,從上述圖片中分析抓包的域名可以看到,數據流向了兩個大數據分析和營銷公司的 SDK(感興趣的宅友自己去翻圖片),這與江金濤所說的用於“大數據營銷用戶畫像”的觀點不謀而合。但這是一場天氣 App 與大數據分析公司的合作還是大數據分析公司擅自作為?
雷鋒網編輯直接向墨跡天氣公關拋出了自己的疑問:“有安全專家說,其實是大數據公司的 SDK 惹的禍,比如裡面出現的****data,你們和這家公司是否有合作?”該公關回應稱:“其他公司情況如何我們不方便置評,但這種行為我們內部是嚴格不允許的。”
目前沒有其他資料可以得出結論。
江金濤認為,其實抓取 Wi-Fi 名稱數據這種行為在國內很多 App 的操作中十分常見,只不過這次某天氣App 被抓包分析了一下,這事就被捅出來了。“用戶允許 App 獲取了這些信息,然後這些隱私信息被用於商業化分析和第三方變現,應該處在一個怎樣的框框內,到底有沒有侵犯用戶隱私,很難講清楚。”江說。
當然,到此為止,雖然我們什麼結論都沒得出,但是你們應該知道怎麼做了:
第一,不要輕易展示自家的 Wi-Fi 名稱了,即使是設置成“你連什麼連我就不告訴你氣死你”也沒什麼用(但不展示 Wi-Fi 名稱可能會不便利,宅友自行抉擇)。
第二,以後使用各種App都要看清楚權限,想清楚了再同意。
閱讀更多 雷鋒網 的文章
