这几天,一篇题为《上海旁友!请远离花生地铁免费WiFi,被卖了都不知道!》的文章在网络上疯传,称地铁花生WiFi可能会泄露用户信息。花生地铁WiFi目前在上海已经覆盖1、2、3、4、6、7、8、9、10、11、12、13号线等12条地铁线路。
今天下午,花生地铁WiFi的建设方南方银谷召开新闻发布会,对此进行公开回应表示:网帖存在大量失实描述及常识性错误,信息前后不一,夸大其词并且有大量为商业炒作目的进行杜撰的情节。南方银谷在这份回应中表示,花生地铁WiFi在采集数据方面,并未超出目前移动互联网公司实施的范围,并对所获取的用户信息分析和应用时进行了脱敏处理,不会导致用户隐私泄露。南方银谷创始人周成栋向解放日报·上观新闻记者解释,所谓的“脱敏处理”,一是按照国家法律法规的要求来执行,二是遵从大的互联网公司目前的通行规则来进行;比如腾讯、滴滴等公司都会发布大数据,但是与用户这个单独个体来说,关系并不大。
花生地铁WiFi上网页面 ↑
南方银谷回应三大质疑
南方银谷方面对网帖中所述的质疑进行了一一核实,回应如下:
质疑一:花生WiFi的App“因安全问题无法通过苹果App Store审核”?
回应:由于App Store隶属苹果公司,自持一套审核系统及审核流程,文中所述的通不过App Store审查并不存在,花生地铁WiFi首版的ISO版本于2016年8月12日发布,App Store可下载,并至今为止已运行近1年。
质疑二:网帖称“发现某地铁WiFi提供商上亿用户资料及核心源码泄露,存在重大安全隐患”。
回应:网帖所述过程其实是在分析乘客使用花生地铁WiFi的整个过程,属于花生地铁WiFi应用系统正常业务流程,并非因攻击系统获取的信息。手机是乘客的资产,访问哪些APP应用系统取决于乘客自己,任何乘客均可通过抓包工具抓取乘客自身手机与APP应用系统之间的数据交互内容,包括外界系统的URL、IP地址、数据传输协议等信息,故而文中所述仅为抓包分析过程,不代表安全攻击事件;而文中所述内容最早是2016年7月8日,当时南方银谷已关注到相关网帖信息,并通过结合360、安恒等国内知名安全厂商进行系统漏洞分析及安全核查,并未发现文中所述的“存在上亿用户资料及核心源码泄露”的情况,故提到的“用户数据及核心源码泄露”纯属内容虚构。此外,网帖中所述源码及用户信息均为乱码。
质疑三:网帖称“花生地铁WiFi涉嫌通过App上传用户手机内的信息,一直在上传简直可怕细思极恐”,并且“获取用户的地理位置信息(GPS数据、WiFi、小区基站信息等)”。
回应:根据国家相关法律法规要求,用户关联到花生地铁WiFi时,是要求主动填写手机号进行实名认证进行登录的,并与手机MAC地址等少量信息进行关联作为开网凭证。因此,文中所述的通过App上传用户手机内的信息与事实不符。
另外,文中提到的“关于收集用户地理位置信息,即使用户在未使用花生地铁WiFi的情况依旧会上传用户信息”,此种说法也脱离实际。南方银谷通过第三方公司合作,统计在线用户的总数及新建的用户总数,而统计过程均为用于做统计的脱敏数据,目的是为了综合判断现有设备的承载情况及设备性能压力情况,确保整体网络的用户体验及后续扩容事宜。
原帖已删,“上海名大夫”被提起诉讼
记者注意到,对花生地铁WiFi安全性质疑,最初来源于一个知乎提问帖,跟帖中出现不少专业的技术分析,引起其他网友围观。随后,该内容被编辑后转发在微信公众号“上海名大夫”上,这篇公号文章的阅读数迅速突破“100000+”,并有多个微信公众号进行了转载,在朋友圈引起疯狂转发之势。
对此,南方银谷相关工作人员也表示,近期是红黑联盟等部分安全网站和“上海名大夫”等微信公众号发布了“乘客使用花生地铁WiFi导致信息泄露”等文章;目前已与最初的信息来源、知乎原文发布者取得联系,对方表示文中分析确有不妥之处,已将原文予以删除。而截止记者发稿时,“上海名大夫”的这篇文章也已显示被删除。南方银谷方面称,目前已向“上海名大夫”等单位提起法律诉讼。
与知乎帖子中回答者的对话。图片提供:南方银谷
微信公众号“上海名大夫”最新声明
公共WiFi下,手机怎么用才安全?
目前,公共场所WiFi众多,手机用户到底有没有隐私泄露的风险?对此,记者采访到了沪上某知名网络技术开发公司的创始人Z先生。他表示,目前的确存在着通过手机软件来获取用户信息的情况,除了手机号码、定位等常规信息之外,有些软件甚至会偷偷获取用户权限、手机短信等,苹果手机和安卓系统手机都可能有这种情况。而信息获取的方式分为两类,第一类是常规把程序内置在各类手机软件上,它可以开启手机特权功能;第二类更隐蔽,系统App不作处理,手机后台下载一个关联程序,放在隐藏目录上,根本无需手机用户授权,自动下载安装。以安卓4.0系统以上的手机为例,这类手机就有隐藏文件。
Z先生举了两个实际例子。第一个例子,当用户手机的WiFi按钮开启的前提下,现在有一种技术可以直接推送App信息给用户,而在4.0版本以上的安卓系统中,甚至可以让用户的手机直接弹出浏览器窗口,强行推送。第二个例子,用户在注册某些手机软件时,在填写好手机号时,手机收到验证码的同时,验证码被自动填写到相应的位置,这就是有软件在自动读取用户短信。
手机用户又如何应对这种风险?Z先生提了几个建议。第一,尽量少用来路不明的公用WiFi,减少中招的风险。第二,平时多留心查看手机的流量使用情况,如果发现某些软件有流量异常,可能就是软件有“猫腻”。第三,安装软件时,尽量不安装陌生软件;安卓系统手机安装软件时,不要把最高权限放出去;专业一点的,手机的开发者模式建议都关闭,不然手机通过USB连接电脑时,会直接连接,并不需要用户授权同意。第四,很重要的一点,一定要注意保管Apple ID(苹果账号),这类账号丢失了容易引来一连串的麻烦。
题图来源:视觉中国
内文图来源:作者提供
图片编辑:项建英
欢迎关注微信公众号“上海网络辟谣”获取更多信息