微慑信息网

京东金融APP被曝侵犯隐私

2月16日,《中国经营报》记者注意到,有微博名为“瘦出的肋骨已经消失的大侠阿木”(以下简称“阿木”)的网友在当日凌晨2时13分、2时35分各上传一条视频,质疑京东金融APP获取用户敏感图片信息。

阿木发布的第一条视频内容是:阿木在打开京东金融APP后,打开招商银行APP,并对某页面进行截图,之后打开京东金融APP文件目录后发现该图片。第二条视频内容是:阿木使用美颜相机对某物体拍摄一张照片,该照片同样随后出现在京东金融缓存中。

阿木向《中国经营报》记者独家回应称,希望京东方面进行技术说明,这样比较能使人信服。

京东金融公关人士向本报记者提供的官方回复材料显示,京东金融已暂时下线“图片助手”功能,并表示,阿木发布视频里的图片正是上述提示图片在手机本地的缓存,该缓存图片仅用于用户手机上的提示,只要用户不选择发送给客服,这些图片都会待在用户手机中,“京东金融后台系统是绝对看不到的”。

APP文件中发现涉银行卡信息

本报记者注意到,京东金融方面在2月16日当天对上述事件回应称:“这其实是我们在2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融APP后进行了截图,我们会认为用户有可能想向我们的客服投诉或建议。为了方便用户和客服沟通,我们在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。”同时表示,已经下线“图片助手”功能。

2月16日19时12分,当事人阿木对本报记者独家讲述其发现京东金融APP疑似获取其他APP信息的经过。

阿木对本报记者表示,他平时是一名业余安卓开发者,最近在研究安卓手机软件的目录。

阿木表示,2月15日是他发工资日,跟朋友抱怨还完花呗、京东的金条后,工资剩余不多,其在2月15日15时42分通过QQ向朋友发送了招商银行截图。2月16日凌晨1时40分,阿木注意到,京东金融APP缓存文件中有该截图。

对于为何会考虑去翻京东金融APP的文件目录,阿木对本报记者解释,尽管他是腾讯视频付费会员,平时不用看广告,然而在两集间隔,平台会有12秒的VIP视频推荐,他由于不希望看到这12秒他眼中的“广告”,且认为该12秒也会进入他手机中占用内存,故在手机中找到腾讯视频文件目录,将该目录设置为“只读”,从而为自己赢得“清净”。由于“实测效果也确实不错”,所以最近几天就在其他应用的目录下再去翻一些广告、图片、视频这类东西。在2月16日凌晨1时40分左右,阿木在京东金融APP文件目录中发现上述招商银行截图。

之后阿木与技术研究爱好者进行沟通,并录了第一条视频上传微博,紧接着,阿木的朋友传来回复,不仅截图会出现,用相机拍摄的照片也会。阿木于是使用美颜相机进行测试,发现的确如此,并上传了第二条视频。

阿木告诉本报记者,2月16日凌晨3时23分,京东金融的工作人员与他联系,提出阿木提供京东金融账号,他们将查询处理。阿木拒绝。

一位要求匿名的安全分析专家对本报记者表示:“可以分析京东金融这个APP的程序行为,看它有没有拷贝用户的数据到自己的目录,还有拷贝之后有没有上传动作,如果有人做流量分析,应该能抓到某一个数据包被上传到某一个服务器,如果这些分析都完成了,那就是‘实锤’。现在微博公布的视频,只是完成了第一步,但已经很有力了。”

当事人:期待有技术性说明

在阿木第一条视频下,不少网友表示“复现”了阿木的测试结果。

本报记者在2月16日下午1点左右下载京东金融APP,并按照阿木的测试方法,先打开招商银行APP,点击某个广告并截图,然后打开手机内部存储的文件目录,在com.jd.jrapp即京东金融的文件目录里,并未发现截图。

随后在下午1点半左右,记者将京东金融APP保持在后台状态,并且使用美颜相机进行拍照,打开京东金融文件目录后,也未发现拍照照片。

京东金融公关人士向本报记者提供的回复资料显示,京东金融APP已暂时下线“图片助手”功能。并承诺,绝不会收集未经用户授权的任何信息。

阿木对本报记者表示,截图反馈功能很多软件都有,确实为用户提供了方便。

然而,“截图跟美颜相机牌照,是两个完全不同的目录,它把后者也复制了一份,这就很过分了”。阿木表示,京东金融方面的回复,并未解释为何美颜相机拍摄的照片也会出现在其目录中。

此外,阿木表示,用户究竟是正在使用京东金融APP还是开启后转去使用其他APP,是容易通过技术鉴别的。“肯定是监测得到的,安卓是有这样的接口的。”

“我希望还是京东官方有技术说明,因为这样的话,比较能说服人,为什么会产生这样的事情,哪些是有必要的,哪些是没有必要的,甚至像有人分析这可能是个bug,写程序的时候不小心给带上来,这都是猜测,你如果想解释说清楚,最好还是详细地从技术角度来说。”阿木如是表示。

对于阿木提及的截图为何会显示在京东金融APP中,是否会在技术上进行进一步说明等问题,京东金融方面未对本报记者进行正面回复。

一名程序员在微博中对本报记者表示:“京东金融的回应有一定道理。那个文件夹是某个开源图片加载库的临时文件夹。”

“拷贝用户数据到自己的目录下,这个就是说不清楚的。无论怎样的理由都是不可接受的。”上述安全分析专家对本报记者说道。

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 京东金融APP被曝侵犯隐私

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册