京東金融APP被曝侵犯隱私

最近在網上看到篇文章,說劉強東性侵案展示了一個處在金字塔頂端的公關團隊。有了他們,劉才避免了被「全面絞殺」的命運。新的一年到來,原以為一切已成往事,但誰知地震之後伴隨着的往往是一連串的餘震。

這不,情人節剛過,「劉強東離婚」事件才因為一份律師聲明被平息下來。正所謂一波未平一波又起,就在今日,昵稱為@瘦出的肋骨已經消失的大俠阿木的微博網友在一段錄製視頻中曝光京東金融涉嫌獲取用戶手機中的敏感圖片。

吃瓜群眾們對此事作何感想?還想啥呀,自然是驚濤駭浪般的罵聲鋪面而來,這氣勢,這陣容,有一瞬真的有種要被口水淹沒的感覺。

截圖內容來自微博

看這情形,估計京東金融的公關小姐姐們又要徹夜無眠了吧?阿門~

公關:唉我去~咱能長心不?


一段視頻引發的「海嘯」

究竟是何等視頻能引起大家對安全保障如此牆裂的共鳴?這不,為了搞清楚來龍去脈編輯我翻來覆去把這段1分40秒的視頻看了個遍。簡單總結一下,視頻中主要演示了以下幾個操作步驟:

1、打開工商銀行APP,進入后截取其中一個頁面圖片;

2、打開安卓文件管理器,找到京東金融APP文件目錄;

3、設置按照時間順序排列,可在文件目錄中找到上述截圖;

此外,該微博網友稱:「京東金融APP不止會偷截圖,還會偷照片。」在另一個視頻中,他同樣錄製了詳細的操作過程:

1、打開京東金融APP,讓其保持後台運行,退出到主界面;

2、打開美顏相機APP,用它拍一張照片;

3、打開文件管理器,找到京東金融APP文件目錄;

4、設置按照時間順序排列,可在文件目錄中找到上述照片;

對此,這位網友提出了質疑:「為何我的圖片會出現在京東金融APP的文件目錄中?」正如上面所說,消息一出評論區可謂是好不熱鬧。編輯在裡面一扒拉,發現不少評論中都稱按照視頻中描述的步驟成功復現了其全過程。

當然,評論中也並不是只有罵聲一片,在一個名為V2EX的網站上,昵稱@HanJoker 的網友發表評論稱,確實發現了該京東金融APP發送信息的痕迹,其反饋的信息如下圖所示:

當然,這位網友稱這目前也只是推測,至於有沒有真的上傳還不清楚。目前還不知道它用什麼方式上傳的 Charles。

在這之後,同網站昵稱為@zbinlin的網友猜測:「目前並不知道這條請求的requesturl是什麼,是否有body。不過從response看,應該是更新反饋頁面的,這從服務端更新亦無不可。我認為有一種情況是首先 APP監聽截圖事件,當用戶在截圖時APP『智能』地認為用戶是有問題需要反饋的,所以它提前地做『準備』,然後發起請求了。」

雷鋒網得知,在眾多試圖復現這一問題的網友中,也並非全部都操作成功,也有一部分稱並沒有在視頻中說的文件目錄中找到提前保存的圖片。

值得一提的是,儘管發佈視頻的網友認為京東金融APP自動上傳了這些敏感圖片,但是在視頻中的確沒有明確演示這一上傳過程。對此,京東金融客服也在微博發表回應稱,由於看不到該賬戶(指網友)無法核實具體情況,會在私信後為其核實處理。


從隱私政策中找「答案」

為了進一步找尋答案,編輯在網上翻找了《京東金融隱私政策》。

該隱私政策主要從十個方面描述了京東金融對於用戶隱私獲取、使用和分享的詳細情況。在「我們可能獲得的個人信息」一欄中提到,在註冊或使用服務時,會獲取相關個人信息,例如姓名、證件號碼及信息、電話號碼、電子郵件地址、郵寄地址、銀行賬戶及其他支付工具的賬戶信息、生物特徵信息等,但其中並未提到圖片信息。

雷鋒網注意到,在這一欄中還提到多媒體信息相關的內容,其中寫道:「在使用一些京東金融服務時,會根據業務需要訪問攝像頭和麥克風等權限,並收集、使用、儲存和/或分享相關多媒體信息。」

值得一提的是,其開頭部分這樣寫道:「這些信息是為提供京東金融服務,用戶可能主動向其提供,亦可能收集用戶的一些信息。」

在京東金融方面未作出答覆之前,我們尚不知道視頻中描述的情況是否真會偷走用戶的敏感圖片。但從該政策中可以看出,京東金融APP確實會自動收集、使用用戶的相關信息內容,而其中一部分並沒有提到是否會在收集之前尋求用戶的許可或者提供關閉權限服務。

實際上,京東金融APP出類似的Bug並非第一次。2018年3月,微博中出現大量用戶投訴,發現自己京東金融app賬戶中的資金突然消失。對此京東金融方面只回應了「正在緊急修復」。


保護隱私從我做起

而在眾多的評論中,編輯也看到有網友發出了這樣的感慨:「在選擇使用的時候,其實我們就已經放棄了自己的隱私。」

是這樣嗎?

的確,在數據=金錢的邏輯推動下,廠商儘可能全的獲取用戶權限的思路幾乎是無法避免的。以騰訊出品的吃雞遊戲《絕地求生:刺激戰場》為例,其國內版默認獲取的權限為31個,而相比之下國際版默認獲取的權限只有14個。

不過,一名白帽黑客告訴雷鋒網,這並不意味着用戶就失去了保護自身隱私安全的權利。反之,用戶可以通過在使用過程中養成良好習慣,有意識的控制廠商獲取個人信息的量。及時關閉權限,按時清理緩存、有意識拒絕進入具有明顯隱私信息收集意圖的軟件等都可以從源頭起到保護隱私的作用。

參考來源:《京東金融隱私政策》;知乎;微博


想在手機閱讀更多iPhone App資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems