国内某天气App被指上传用户Wi-Fi 信息，还牵扯了腾讯，怎么回事？

2 月 25 日，宅客频道编辑的朋友圈出现了一张截图，称墨迹天气 App 上传了用户的所有 Wi-Fi  账号，抓包抓出了流氓，背后还有腾讯等大公司的服务接口。

无图无真相，对方还抛出了抓包信息。

这事是真的吗？Wi-Fi 信息被上传是什么意思？这事到底跟普通用户和腾讯又有什么关系？为此，宅客频道请教了网络安全专家、SOBUG 创始人江金涛，获得了腾讯 Wi-Fi 安全实验室负责人姚威与墨迹天气公关人士的回应。

着急的宅友可以先看三位的核心观点：

江金涛：1.应该是获取 Wi-Fi 的 SSID 信息，不包含密码，但是足以通过 SSID 进行人群的聚集分析。2.事先应该是得到过用户的权限授权。3.通过 http 接口进行传输，没有加密，很容易在链路层被截取，不安全。4.靠网络服务提供商保护用户隐私就是个笑话。

姚威：躺枪，我们没干这事，可以去告造谣的人了！

墨迹天气公关：不存在上传用户 Wi-Fi 账号甚至其他个人隐私信息，更不存在信息泄露的问题，图片上的标注是错误的。

到底有没有收集

用户需要对墨迹天气 App 开放哪些权限？

宅客频道编辑使用安卓手机和苹果手机同时下载了墨迹天气 App，以安卓手机的下载情况为例：

江金涛告诉宅客频道，朋友圈中流传的那张抓包图片中指的应该是获取 Wi-Fi 的 SSID 信息，不包含密码。所谓 SSID，通俗来说，就是用户手机里的 Wi-Fi 名称列表。

收集 Wi-Fi 名称有什么用？

“如果不收集密码，仅收集 Wi-Fi 名称，看上去好像没什么值得保密，但其实这是一个非常隐私的数据，比如名称列表里有大量相同的 Wi-Fi 名称，交叉比对会发现用户可能现在置身在某一个商场中，如果某一个地区里有很多人的 Wi-Fi 名称列表一致，证明有很多人聚集在此处，还可以通过 Wi-Fi 名称和相同数量判断一个人所在的定位以及两人的社交关系。”江金涛提醒。

不过，如果你知道了一个人的 Wi-Fi 名称，只要在这个对话中输入，则可以判断其相对位置。

当然，上述可能只是通过 Wi-Fi 信号强弱进行最直观的判断，如果将这个数据与 GPS 和其他功能配合，能获得更准确的定位。江金涛认为，从上述角度看，Wi-Fi 名称列表可以说是判断用户位置信息的维度之一，一般用于大数据营销的用户画像，并猜测墨迹天气应该事先征求了用户的同意。

根据墨迹天气公关人士对宅客频道的回应：“从图片的代码可以看出，我们收集的是公共Wi-Fi 环境里的Wi-Fi 网络名称，这属于公共公开信息，不属于个人信息，是经用户同意合法获取。”再交叉比对编辑安装墨迹天气 App 的情况，“（基于网络的）大概位置”应该就是这一选项。

不过，墨迹天气的公关强调：“不存在上传用户 Wi-Fi 账号甚至其他个人隐私信息，更不存在信息泄露的问题，图片上的标注是错误的。”

谁干的

这些 Wi-Fi 位置信息究竟去了哪里？对于一个天气 App 而言，为了提供精准服务，获取用户的位置信息无可厚非，而且明明获取用户的精准位置信息即可，为什么还会获取 Wi-Fi 名称？传说腾讯调用了一个接口又是怎么回事？

姚威发出了否认五连。

“1.腾讯的用户体系并不会从任何三方 App 去收集信息； 2.对于分析抓包看到的域名跟腾讯没有任何关系； 3.腾讯 Wi-Fi 安全实验室和 Wi-Fi 管家本身就对所有内部数据做监管，即使是自己的数据也不可能轻易使用，对于数据类的东西不可能与任何三方做交易和共享； 5.腾讯数据不出腾讯是红线，腾讯也不购买任何人提供的 Wi-Fi 用户数据。”

“从头到尾没出现任何腾讯信息啊，发推的人是怎么想的呢？ 推特和境外网站不是法外之地，境外谣言也是谣言啊。”他强调。

姚威表示，从上述图片中分析抓包的域名可以看到，数据流向了两个大数据分析和营销公司的 SDK（感兴趣的宅友自己去翻图片），这与江金涛所说的用于“大数据营销用户画像”的观点不谋而合。但这是一场天气 App 与大数据分析公司的合作还是大数据分析公司擅自作为？

宅客频道编辑直接向墨迹天气公关抛出了自己的疑问：“有安全专家说，其实是大数据公司的 SDK 惹的祸，比如里面出现的****data，你们和这家公司是否有合作？”该公关回应称：“其他公司情况如何我们不方便置评，但这种行为我们内部是严格不允许的。”

目前没有其他资料可以得出结论。

江金涛认为，其实抓取 Wi-Fi 名称数据这种行为在国内很多 App 的操作中十分常见，只不过这次某天气App 被抓包分析了一下，这事就被捅出来了。“用户允许 App 获取了这些信息，然后这些隐私信息被用于商业化分析和第三方变现，应该处在一个怎样的框框内，到底有没有侵犯用户隐私，很难讲清楚。”江说。

当然，到此为止，虽然我们什么结论都没得出，但是你们应该知道怎么做了：

第一，不要轻易展示自家的 Wi-Fi 名称了，即使是设置成“你连什么连我就不告诉你气死你”也没什么用（但不展示 Wi-Fi 名称可能会不便利，宅友自行抉择）。

第二，以后使用各种App都要看清楚权限，想清楚了再同意。

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注