• + 服务
  • + 案例
  • + 关于
  • + 联系
  • 被质疑获取用户图片信息

    文章分类:新闻资讯 发布时间:2019-02-18 原文作者:4435cn 阅读( )

    央广网北京2月17日消息(记者肖源)据中国之声《新闻晚高峰》报道,昨天(16日),有微博网友发布了两条视频,质疑京东金融的App不当获取用户的敏感图片信息。京东金融方面向中国之声发来书面回应称,这些图片只存在于用户自己的手机当中,除非用户上传至京东金融,否则京东金融方面看不到用户相关信息。京东金融还就这一事件向用户致歉,并已下线了相关功能。

    “今天晚上发现一个很不得了的事情,拍个视频给大家说明一下。关于京东金融软件做的一些见不得光的事情,我们来看一下。首先我们打开京东金融APP……”这是微博网友“阿木”昨天凌晨发布在微博上的一段体验视频,说的内容大致是,京东金融窃取用户的隐私图片,具体方式是:当京东金融在手机后台运行时,用户在使用手机其他应用时的屏幕截图,会被存储在京东金融的缓存当中。

    今天(17日)上午,京东金融方面向中国之声发来文字说明称,这是京东金融在2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融App后进行了截图,京东金融会认为用户有可能想向客服投诉或建议。为了方便用户和客服沟通,京东金融在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。目前,京东金融已经下线“图片助手”功能。

    但是,爆料的网友“阿木”认为,这一解释难以服众。因为,他在此之前还发现,用户使用其他手机应用时拍摄的照片,也会出现在京东金融的缓存文件当中。“老样子,还是先打开京东金融App把它放到后台,然后打开一个美颜相机,随便拍点东西,保存图片之后,我们等一会儿回去,继续打开文件夹看一眼,可以看到一个596KB、2月16日的文件。我们打开看一看它是什么?我刚刚拍的照片。”

    “阿木”接受媒体采访时表示,截图跟美颜相机拍照,是两个完全不同的目录,京东金融把后者也复制了一份。

    一位不愿具名的网络安全技术专家分析称,根据目前公开的信息,京东金融方面恶意窃取用户信息的可能性不大,更有可能是程序写入时的考虑不周所致。因为单凭这些截图,并不能危及网络交易安全。但是,不排除这一漏洞被人利用,进而威胁到用户的隐私。

    今天下午4点半,京东金融就这一问题,再次向中国之声发来文字说明,其中承认,这一App在截图反馈功能开发上存在技术问题。具体为,用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。

    下一步,京东金融将在周一(18日),也就是明天,邀请权威官方机构对京东金融App进行全面的安全性检测,并承诺未来每季度进行权威官方检测,及时公告检测结果。并将于下周邀请包括本次问题发现者——网友“阿木”在内的用户和外部专家、媒体组成安全顾问小组,对京东金融App提供的产品和服务进行独立、长期的检查监督。并将赋予内部安全技术团队对产品功能的直接否决权,将投入更多资源,建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面地安全测试。

    原文来自:4435cn