京东金融App被曝窃取用户隐私,获取敏感图片

WechatIMG72_meitu_1

【猎云网(微信号:)北京】2月17日报道(文/张庆)

2月16日,一位微博号叫@瘦出的肋骨已经消失的大侠阿木的网友,在其微博上发布一视频并附文称“京东金融APP被曝光会获取用户的敏感图片并上传。”

3.png

附该网友演示视频一:

不到半小时,上述网友又在其微博发布第二条视频并附文“京东金融不止偷截图,还会偷照片。”

5.png

附该网友演示视频二:

从该网友发布的演示视频看,当安卓版京东金融在后台运行时,如果用户此时进行“截图或拍照”操作,该截图或照片可在京东金融文件目录处找到,且保存命名被模糊化。

该网友质疑称,“京东金融你为什么要拿我的银行App的截图呢?”

另外,在该网友的这两条微博评论区下面,多个网友称,自行测试了一下,复现成功。

当天下午,京东金融通过官方微博@京东金融客服回应此事称,“京东金融绝对不会收集未经用户授权的任何信息,更不会窃取!关注到用户@瘦出的肋骨已经消失的大侠阿木反馈的问题后,我们迅速做了技术排查和处理,我们有话要说。”

京东金融解释称,如果用户打开京东金融App后进行了截图,APP会认为用户有可能想向平台的客服投诉或建议。为了方便用户和客服沟通,平台在用户界面的左上角展示图片提示, 用户可进一步选择是否联系客服并发送图片。

“而大侠阿木视频里的图片正是该提示图片在手机本地的缓存。缓存图片只存储在用户本地手机设备内,仅供用户本地操作提示,不会上传到京东金融后台系统。

京东金融还称,上线”图片助手”小功能原本是希望优化用户体验,但是却给用户带来了不良感受。京东金融App目前已暂时下线”图片助手”小功能,待进一步改进用户安全体验后再上线。

2.png

但京东金融的此番解释,并不能说服网友@瘦出的肋骨已经消失的大侠阿木。该网友随后又发微博称,“京东金融解释说是反馈功能的预缓存,但是并无说服力。因为京东金融 “窃取”美颜相机的照片与“截图反馈”功能毫无关系。又怎么解释呢?”

“另外,技术角度上讲,“截图反馈”功能,只需要缓存这张图片原始的路径即可,而不需要复制一份原始图片,因为既浪费时间,又浪费性能,还浪费内存空间。”

“所以仍然有理由进行进一步的揣测,京东金融确实是为了其他目的才这么做的。

1.png

对于京东金融这种行为,京东金融称,是优化用户体验;而上述网友却认为,京东金融确实是为了其他目的。那京东金融到底有没有窃取用户隐私,该平台要这些数据有何用处?

京东金融要这些数据干嘛?

抛开窃取之嫌,如果京东金融拿到这些用户信息,可有什么用处?

如今企业都在做智能推送、精准推送等服务,而要实现这些,必须要拿到更多维、更丰富的数据。但用户保护隐私意识越来越强,这些平台要想拿到更多数据,有的会偷偷做擦边球,在隐私协议不讲清楚情况下,私自盗用。很多平台存着侥幸之心,认为:第一、很少有用户会认真仔细把长长的隐私协议看完;第二、平台窃取了哪些信息,大多用户基本都是毫无察觉。

京东金融是京东数科旗下子品牌,为个人和企业提供数字金融服务。金融类型应用主要向用户推荐各种理财产品。如果能拿到用户更多的日常行为数据,就能更精确得分析用户需求并做推送。

从京东金融APP“隐私设置”处查看的京东金融隐私政策看,该平台有些用户信息是必须收集的,比如平台在提供以下服务:实名认证,资格、信用及偿付能力审核,支付服务、保障交易安全、个性化服务等,此时,用户必须提供个人身份信息、个人财产信息、个人常用设备信息、个人教育工作信息、面部特征、个人位置信息等信息,还有一些用户主动提及的或基于用户的同意而采集的信息。

另外,京东金融隐私协议显示,平台对用户信息的使用范围包括:可能会将用户的个人信息与京东金融的关联方共享;可能会向其合作伙伴等第三方共享用户的交易信息、账户信息及设备信息:比如京东集团的成员——京东商城等;或共享给提供技术、咨询服务的供应商;共享给合作金融机构等。

猎云网发现,京东金融是可使用京东账号登陆。照此看,京东金融上获取到的用户信息,也可以给京东商城做用户画像,京东商城由此向用户推荐商品。

02.png

窃取用户隐私的APP都该封杀?

据京东金融隐私协议显示,京东金融手机获取用户个人信息有三种方式。其中一项是,京东金融主动收集,但该项明文规定收集的必须是用户发送给平台的信息。

另一方面,京东金融隐私协议规定,使用该APP,有些信息用户必须授权,而有些是可选择授权。用户可选择授权项包括:开启定位、访问相机、访问相册、访问通讯录和访问日历。

目前,京东金融已关闭“图片助手”功能,所以也无法测试在“不允许访问相机和相册”下,会不会出现相同现象,即截图在京东金融文件目录下复现。目前也无法判断京东金融有没有私自将用户截图进行保存并上传。

窃取用户隐私一直是用户十分敏感的问题,但却难以遏制商家一边消费着用户一边窃取用户敏感信息。目前的APP或多或少都在获取用户信息。

据腾讯社会研究中心联合DCCI互联网数据中心上个月发布的《隐私安全及网络欺诈行为分析报告》显示,在该报告选取的样本中,当前所有的Android端APP都会不同程度的获取手机隐私权限。其中,投资理财类APP是获取手机隐私权限最多的APP,其平均获取的权限数量为17.2项。值得欣慰的是,Android端越界获取手机隐私权限从2017年的25.3%下降到2018年下半年的2.0%。另外,在被获取的隐私权限中,照片、定位服务和打开相机是iOS端APP最常获取的三大隐私权限,分别有高达85%、79%和76%的APP获取了以上权限。

另外,在上述网友发布的微博下有评论称,不止京东金融有监控用户截图行为,美团也有类似行为。

000.png

其实除了手机APP,会泄露隐私的渠道还有:公共WiFi、旧手机和企业数据等。但手机APP是重要的隐私泄露渠道之一。

在人工智能时代,AI发展离不开数据,但人们又重视隐私。企业要考虑的,一方面是,如何保证用户隐私安全;另一方面是,如何合理获取用户数据。毕竟一旦有企业恶意使用用户信息或者用户的隐私数据被泄漏,被不法分子偷取利用,后果不堪设想。

互联网时代,诈骗电话、诈骗短信依然层出不穷。但光靠卸载APP来保护隐私已是不现实,学会自我保护也很重要。当然,要不要卸载这些APP,还是看个人需求,如果不卸载,就多学些如何保护隐私的方法。比如:在合规渠道下载软件、慎重对待手机隐私权限管理、谨慎填写个人隐私信息、不要随便打开不明链接等等。

附京东金融回应全文:

京东金融.jpg

京东金融最新回应全文:

最新消息,针对网友的再次质疑。2月17日,京东金融再次发致歉文再次道歉,并称,经过安全技术团队24小时全面排查,发现安卓系统上的APP5.0.5以后的版本存在该问题(获取用户图片),并已定位问题且下线修复。

京东金融还表示,将马上采取以下措施:1、周一将邀请权威官方机构对京东金融App进行全面安全性检测;2、下周将邀请包括@瘦出的肋骨已经消失的大侠阿木在内的用户和外部专家、媒体组成信息安全顾问小组,对京东金融APP提供的产品和服务进行独立、长期的检查监督,并定期公布检查结果;3、将赋予内部安全技术对产品功能的直接否决权,建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。

京东金融图片2.jpg