[猎云网 (微信号:) 北京] 2 月 17 日报道(文 / 张庆)
2 月 16 日, 一位微博号叫 @瘦出的肋骨已经消失的大侠阿木的网友, 在其微博上发布一视频并附文称 "京东金融 APP 被曝光会获取用户的敏感图片并上传."
附该网友演示视频一:
不到半小时, 上述网友又在其微博发布第二条视频并附文 "京东金融不止偷截图, 还会偷照片."
附该网友演示视频二:
从该网友发布的演示视频看, 当安卓版京东金融在后台运行时, 如果用户此时进行 "截图或拍照" 操作, 该截图或照片可在京东金融文件目录处找到, 且保存命名被模糊化.
该网友质疑称,"京东金融你为什么要拿我的银行 App 的截图呢?"
另外, 在该网友的这两条微博评论区下面, 多个网友称, 自行测试了一下, 复现成功.
当天下午, 京东金融通过官方微博 @京东金融客服回应此事称,"京东金融绝对不会收集未经用户授权的任何信息, 更不会窃取! 关注到用户 @瘦出的肋骨已经消失的大侠阿木反馈的问题后 , 我们迅速做了技术排查和处理 , 我们有话要说."
京东金融解释称, 如果用户打开京东金融 App 后进行了截图, App 会认为用户有可能想向平台的客服投诉或建议. 为了方便用户和客服沟通, 平台在用户界面的左上角展示图片提示, 用户可进一步选择是否联系客服并发送图片.
"而大侠阿木视频里的图片正是该提示图片在手机本地的缓存. 缓存图片只存储在用户本地手机设备内, 仅供用户本地操作提示, 不会上传到京东金融后台系统."
京东金融还称, 上线 "图片助手" 小功能原本是希望优化用户体验, 但是却给用户带来了不良感受. 京东金融 App 目前已暂时下线 "图片助手" 小功能, 待进一步改进用户安全体验后再上线.
但京东金融的此番解释, 并不能说服网友 @瘦出的肋骨已经消失的大侠阿木. 该网友随后又发微博称,"京东金融解释说是反馈功能的预缓存, 但是并无说服力. 因为京东金融" 窃取 "美颜相机的照片与" 截图反馈 "功能毫无关系. 又怎么解释呢?"
"另外, 技术角度上讲," 截图反馈 "功能, 只需要缓存这张图片原始的路径即可, 而不需要复制一份原始图片 , 因为既浪费时间, 又浪费性能, 还浪费内存空间."
"所以仍然有理由进行进一步的揣测, 京东金融确实是为了其他目的才这么做的."
对于京东金融这种行为, 京东金融称, 是优化用户体验; 而上述网友却认为, 京东金融确实是为了其他目的. 那京东金融到底有没有窃取用户隐私, 该平台要这些数据有何用处?
京东金融要这些数据干嘛?
抛开窃取之嫌, 如果京东金融拿到这些用户信息, 可有什么用处?
如今企业都在做智能推送, 精准推送等服务, 而要实现这些, 必须要拿到更多维, 更丰富的数据. 但用户保护隐私意识越来越强, 这些平台要想拿到更多数据, 有的会偷偷做擦边球, 在隐私协议不讲清楚情况下, 私自盗用. 很多平台存着侥幸之心, 认为: 第一, 很少有用户会认真仔细把长长的隐私协议看完; 第二, 平台窃取了哪些信息, 大多用户基本都是毫无察觉.
京东金融是京东数科旗下子品牌, 为个人和企业提供数字金融服务. 金融类型应用主要向用户推荐各种理财产品. 如果能拿到用户更多的日常行为数据, 就能更精确得分析用户需求并做推送.
从京东金融 App"隐私设置" 处查看的京东金融隐私政策看, 该平台有些用户信息是必须收集的, 比如平台在提供以下服务: 实名认证, 资格, 信用及偿付能力审核, 支付服务, 保障交易安全, 个性化服务等, 此时, 用户必须提供个人身份信息, 个人财产信息, 个人常用设备信息, 个人教育工作信息, 面部特征, 个人位置信息等信息, 还有一些用户主动提及的或基于用户的同意而采集的信息.
另外, 京东金融隐私协议显示, 平台对用户信息的使用范围包括: 可能会将用户的个人信息与京东金融的关联方共享; 可能会向其合作伙伴等第三方共享用户的交易信息, 账户信息及设备信息: 比如京东集团的成员 -- 京东商城等; 或共享给提供技术, 咨询服务的供应商; 共享给合作金融机构等.
猎云网发现, 京东金融是可使用京东账号登陆. 照此看, 京东金融上获取到的用户信息, 也可以给京东商城做用户画像, 京东商城由此向用户推荐商品.
窃取用户隐私的 App 都该封杀?
据京东金融隐私协议显示, 京东金融手机获取用户个人信息有三种方式. 其中一项是, 京东金融主动收集, 但该项明文规定收集的必须是用户发送给平台的信息.
另一方面, 京东金融隐私协议规定, 使用该 App, 有些信息用户必须授权, 而有些是可选择授权. 用户可选择授权项包括: 开启定位, 访问相机, 访问相册, 访问通讯录和访问日历.
目前, 京东金融已关闭 "图片助手" 功能, 所以也无法测试在 "不允许访问相机和相册" 下, 会不会出现相同现象, 即截图在京东金融文件目录下复现. 目前也无法判断京东金融有没有私自将用户截图进行保存并上传.
窃取用户隐私一直是用户十分敏感的问题, 但却难以遏制商家一边消费着用户一边窃取用户敏感信息. 目前的 App 或多或少都在获取用户信息.
据腾讯社会研究中心联合 DCCI 互联网数据中心上个月发布的《隐私安全及网络欺诈行为分析报告》显示, 在该报告选取的样本中, 当前所有的 Android 端 App 都会不同程度的获取手机隐私权限. 其中, 投资理财类 App 是获取手机隐私权限最多的 App, 其平均获取的权限数量为 17.2 项. 值得欣慰的是, Android 端越界获取手机隐私权限从 2017 年的 25.3% 下降到 2018 年下半年的 2.0%. 另外, 在被获取的隐私权限中, 照片, 定位服务和打开相机是 iOS 端 App 最常获取的三大隐私权限, 分别有高达 85%,79% 和 76% 的 App 获取了以上权限.
另外, 在上述网友发布的微博下有评论称, 不止京东金融有监控用户截图行为, 美团也有类似行为.
其实除了手机 App, 会泄露隐私的渠道还有: 公共 Wi-Fi, 旧手机和企业数据等. 但手机 App 是重要的隐私泄露渠道之一.
在人工智能时代, AI 发展离不开数据, 但人们又重视隐私. 企业要考虑的, 一方面是, 如何保证用户隐私安全; 另一方面是, 如何合理获取用户数据. 毕竟一旦有企业恶意使用用户信息或者用户的隐私数据被泄漏, 被不法分子偷取利用, 后果不堪设想.
互联网时代, 诈骗电话, 诈骗短信依然层出不穷. 但光靠卸载 App 来保护隐私已是不现实, 学会自我保护也很重要. 当然, 要不要卸载这些 App, 还是看个人需求, 如果不卸载, 就多学些如何保护隐私的方法. 比如: 在合规渠道下载软件, 慎重对待手机隐私权限管理, 谨慎填写个人隐私信息, 不要随便打开不明链接等等.
附京东金融回应全文:
京东金融最新回应全文:
最新消息, 针对网友的再次质疑. 2 月 17 日, 京东金融再次发致歉文再次道歉, 并称, 经过安全技术团队 24 小时全面排查, 发现安卓系统上的 APP5.0.5 以后的版本存在该问题(获取用户图片), 并已定位问题且下线修复.
京东金融还表示, 将马上采取以下措施: 1, 周一将邀请权威官方机构对京东金融 App 进行全面安全性检测; 2, 下周将邀请包括 @瘦出的肋骨已经消失的大侠阿木在内的用户和外部专家, 媒体组成信息安全顾问小组, 对京东金融 App 提供的产品和服务进行独立, 长期的检查监督, 并定期公布检查结果; 3, 将赋予内部安全技术对产品功能的直接否决权, 建立更为严谨的安全审查机制, 对每一项技术应用和业务功能进行更加严格, 全面的安全测试.
来源: http://www.tuicool.com/articles/reI3uau