京東金融App被曝竊取使用者隱私,獲取敏感圖片
【獵雲網(微訊號:)北京】2月17日報道(文/張慶)
2月16日,一位微博號叫@瘦出的肋骨已經消失的大俠阿木的網友,在其微博上釋出一視訊並附文稱“京東金融APP被曝光會獲取使用者的敏感圖片並上傳。”
附該網友演示視訊一:
不到半小時,上述網友又在其微博釋出第二條視訊並附文“京東金融不止偷截圖,還會偷照片。”
附該網友演示視訊二:
從該網友釋出的演示視訊看,當安卓版京東金融在後臺執行時,如果使用者此時進行“截圖或拍照”操作,該截圖或照片可在京東金融檔案目錄處找到,且儲存命名被模糊化。
該網友質疑稱,“京東金融你為什麼要拿我的銀行App的截圖呢?”
另外,在該網友的這兩條微博評論區下面,多個網友稱,自行測試了一下,復現成功。
當天下午,京東金融通過官方微博@京東金融客服迴應此事稱,“京東金融絕對不會收集未經使用者授權的任何資訊,更不會竊取!關注到使用者@瘦出的肋骨已經消失的大俠阿木反饋的問題後 ,我們迅速做了技術排查和處理 ,我們有話要說。”
京東金融解釋稱,如果使用者開啟京東金融App後進行了截圖,APP會認為使用者有可能想向平臺的客服投訴或建議。為了方便使用者和客服溝通,平臺在使用者介面的左上角展示圖片提示, 使用者可進一步選擇是否聯絡客服併發送圖片。
“而大俠阿木視訊裡的圖片正是該提示圖片在手機本地的快取。 快取圖片只儲存在使用者本地手機裝置內,僅供使用者本地操作提示,不會上傳到京東金融後臺系統。 ”
京東金融還稱,上線”圖片助手”小功能原本是希望優化使用者體驗,但是卻給使用者帶來了不良感受。 京東金融App目前已暫時下線”圖片助手”小功能,待進一步改進使用者安全體驗後再上線。
但京東金融的此番解釋,並不能說服網友@瘦出的肋骨已經消失的大俠阿木。該網友隨後又發微博稱,“京東金融解釋說是反饋功能的預快取,但是並無說服力。因為京東金融 “竊取”美顏相機的照片與“截圖反饋”功能毫無關係。又怎麼解釋呢?”
“另外,技術角度上講, “截圖反饋”功能,只需要快取這張圖片原始的路徑即可,而不需要複製一份原始圖片 ,因為既浪費時間,又浪費效能,還浪費記憶體空間。”
“所以仍然有理由進行進一步的揣測, 京東金融確實是為了其他目的才這麼做的。 ”
對於京東金融這種行為,京東金融稱,是優化使用者體驗;而上述網友卻認為,京東金融確實是為了其他目的。那京東金融到底有沒有竊取使用者隱私,該平臺要這些資料有何用處?
京東金融要這些資料幹嘛?
拋開竊取之嫌,如果京東金融拿到這些使用者資訊,可有什麼用處?
如今企業都在做智慧推送、精準推送等服務,而要實現這些,必須要拿到更多維、更豐富的資料。但使用者保護隱私意識越來越強,這些平臺要想拿到更多資料,有的會偷偷做擦邊球,在隱私協議不講清楚情況下,私自盜用。很多平臺存著僥倖之心,認為:第一、很少有使用者會認真仔細把長長的隱私協議看完;第二、平臺竊取了哪些資訊,大多使用者基本都是毫無察覺。
京東金融是京東數科旗下子品牌,為個人和企業提供數字金融服務。金融型別應用主要向用戶推薦各種理財產品。如果能拿到使用者更多的日常行為資料,就能更精確得分析使用者需求並做推送。
從京東金融APP“隱私設定”處檢視的京東金融隱私政策看,該平臺有些使用者資訊是必須收集的,比如平臺在提供以下服務:實名認證,資格、信用及償付能力稽核,支付服務、保障交易安全、個性化服務等,此時,使用者必須提供個人身份資訊、個人財產資訊、個人常用裝置資訊、個人教育工作資訊、面部特徵、個人位置資訊等資訊,還有一些使用者主動提及的或基於使用者的同意而採集的資訊。
另外,京東金融隱私協議顯示,平臺對使用者資訊的使用範圍包括:可能會將使用者的個人資訊與京東金融的關聯方共享;可能會向其合作伙伴等第三方共享使用者的交易資訊、賬戶資訊及裝置資訊:比如京東集團的成員——京東商城等;或共享給提供技術、諮詢服務的供應商;共享給合作金融機構等。
獵雲網發現,京東金融是可使用京東賬號登陸。照此看,京東金融上獲取到的使用者資訊,也可以給京東商城做使用者畫像,京東商城由此向用戶推薦商品。
竊取使用者隱私的APP都該封殺?
據京東金融隱私協議顯示,京東金融手機獲取使用者個人資訊有三種方式。其中一項是,京東金融主動收集,但該項明文規定收集的必須是使用者傳送給平臺的資訊。
另一方面,京東金融隱私協議規定,使用該APP,有些資訊使用者必須授權,而有些是可選擇授權。使用者可選擇授權項包括:開啟定位、訪問相機、訪問相簿、訪問通訊錄和訪問日曆。
目前,京東金融已關閉“圖片助手”功能,所以也無法測試在“不允許訪問相機和相簿”下,會不會出現相同現象,即截圖在京東金融檔案目錄下復現。目前也無法判斷京東金融有沒有私自將使用者截圖進行儲存並上傳。
竊取使用者隱私一直是使用者十分敏感的問題,但卻難以遏制商家一邊消費著使用者一邊竊取使用者敏感資訊。目前的APP或多或少都在獲取使用者資訊。
據騰訊社會研究中心聯合DCCI網際網路資料中心上個月釋出的《隱私安全及網路欺詐行為分析報告》顯示,在該報告選取的樣本中,當前所有的Android端APP都會不同程度的獲取手機隱私許可權。其中,投資理財類APP是獲取手機隱私許可權最多的APP,其平均獲取的許可權數量為17.2項。值得欣慰的是,Android端越界獲取手機隱私許可權從2017年的25.3%下降到2018年下半年的2.0%。另外,在被獲取的隱私許可權中,照片、定位服務和開啟相機是iOS端APP最常獲取的三大隱私許可權,分別有高達85%、79%和76%的APP獲取了以上許可權。
另外,在上述網友釋出的微博下有評論稱,不止京東金融有監控使用者截圖行為,美團也有類似行為。
其實除了手機APP,會洩露隱私的渠道還有:公共WiFi、舊手機和企業資料等。但手機APP是重要的隱私洩露渠道之一。
在人工智慧時代,AI發展離不開資料,但人們又重視隱私。企業要考慮的,一方面是,如何保證使用者隱私安全;另一方面是,如何合理獲取使用者資料。畢竟一旦有企業惡意使用使用者資訊或者使用者的隱私資料被洩漏,被不法分子偷取利用,後果不堪設想。
網際網路時代,詐騙電話、詐騙簡訊依然層出不窮。但光靠解除安裝APP來保護隱私已是不現實,學會自我保護也很重要。當然,要不要解除安裝這些APP,還是看個人需求,如果不解除安裝,就多學些如何保護隱私的方法。比如:在合規渠道下載軟體、慎重對待手機隱私許可權管理、謹慎填寫個人隱私資訊、不要隨便開啟不明連結等等。
附京東金融迴應全文:
京東金融最新迴應全文:
最新訊息,針對網友的再次質疑。2月17日,京東金融再次發致歉文再次道歉,並稱,經過安全技術團隊24小時全面排查,發現安卓系統上的APP5.0.5以後的版本存在該問題(獲取使用者圖片),並已定位問題且下線修復。
京東金融還表示,將馬上採取以下措施:1、週一將邀請權威官方機構對京東金融App進行全面安全性檢測;2、下週將邀請包括@瘦出的肋骨已經消失的大俠阿木在內的使用者和外部專家、媒體組成資訊保安顧問小組,對京東金融APP提供的產品和服務進行獨立、長期的檢查監督,並定期公佈檢查結果;3、將賦予內部安全技術對產品功能的直接否決權,建立更為嚴謹的安全審查機制,對每一項技術應用和業務功能進行更加嚴格、全面的安全測試。