京东金融APP侵犯用户隐私实锤!

2月16日凌晨,有微博网友“@瘦出的肋骨已经消失的大侠阿木”在微博发布视频,称京东金融APP会获取用户的敏感图片并上传。

该网友发布的视频显示,其打开手机上的银行应用然后进行截图。随后打开文件管理器,找到京东金融的文件目录,在此目录下,出现了刚刚的银行应用截图。该网友质疑道:“京东金融你为什么要拿我的银行APP的截图呢?”

京东金融官微很快便回应:图片缓存为方便客户投诉或建议使用,不会上传至京东金融后台,不会未经允许收集用户隐私,目前相关功能已经下线。(胡说八道的回应)

视频中,阿木先打开了京东金融 App,然后让其在后台运行,接着,阿木打开了招商银行的 App,随机打开一个界面并截图,最后,阿木发现,在京东金融的文件夹下发现了刚刚的截图。文件夹的路径为Anroid—data—com.jd.jrapp—cache—uil-images。

紧接着在 20 分钟后,@瘦出的肋骨已经消失的大侠阿木 再次发微博视频表示,“京东金融 App 不止偷截图,还会偷照片”。在此次视频演示中,他同样先打开了京东金融 App,随后打开美颜相机,并使用美颜相机拍摄一张照片保存,如其预料的一样,在上述京东金融 App 的缓存目录下也找到了刚刚摄下照片。

此消息一经爆出,立即引发部分京东金融 App 用户恐慌,甚至也有不少用户称:“复现成功。”对此,在评论区,网友们也展开激烈讨论:应该是给给了访问相册的权限吧,禁掉权限应该就拿不到图了;

不止京东,国内很多 App 都会把用户隐私按在地上摩擦;

先要确认是不是官方 App 的行为,这个要等官方解答,但作为一个安全从业者,Android 生态上的 App 分发平台及 App 自身的权限管控安全问题确实亟需关注,截屏、麦克风、摄像头权限都是重灾区。

事实上,针对该事件,存在一个最为争议的问题就是,该博主表示的“获取用户的敏感图片并上传”问题。倘若在未经明确告知用户的前提下,将获得的图片上传至京东的服务器端,那么该 App 窃取用户隐私几近实锤了。所以京东金融 App 所获取的用户截图及照片,究竟是保存在了用户个人手机的本地端?还是上传到了服务器端?

不仅如此,阿木还发现,在后台运行京东金融的情况下,京东金融也会保存相机拍摄的照片。隐私护卫队发现,在阿木发布的爆料视频的下方,多位网友表示他们复现了京东金融保存截图的现象。

针对阿木及网友的质疑,昨天下午,京东金融客服回复了阿木。

京东金融表示,之所以会缓存图片,是因为用户打开京东金融 App 截图后,京东金融认为用户可能想向客服投诉或建议,为了方便,截图会在用户界面的左上角展示,用户可选择是否发送该图片。如果用户不选择发送该图片,京东金融是看不到这个截图的,它只会保存在用户的手机里面。京东金融还表示,目前,上述功能已暂时下线。

今天下午,京东金融官方再发声明,表示将马上采取新的措施:

  • ①已邀请权威官方机构对京东金融APP进行全面安全性检测;
  • ②邀请包括@瘦出的肋骨已经消失的大侠阿木 在内的用户和外部专家、媒体组成信息安全顾问小组,对其服务进行监督;
  • ③建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。

专家咋看?

对于这一事件,互联网专家包冉表示,这是个严肃的法律层面的问题。《中华人民共和国网络安全法》自2017年6月1日起就已正式实施,在该法[第四章 网络信息安全]中第41条明确规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息”。

不论京东金融APP有没有将获取的用户截图上传至服务器,也不论其他平台或应用是否也有类似功能(实际上很多),只要没有向用户明白无误的告知、并获得同意,就都是涉嫌非法和违法状态。

事实上,在全球范围内,在用户个人信息保护领域最为严格的立法是欧盟《通用数据保护条例(GDPR)》,该条例更规定,不管是哪里的公司,只要在欧盟范围内的市场开展业务,就一定要接受该条例监管,其处罚力度是单笔2000万欧元,或受罚企业全球营业额的4%,且按高者处罚。

所以,包括京东金融在内的中国互联网公司,真的要认真提高法律意识与合规水平,无论在设计、开发、运营、营销、客服等各个环节,无论高层中层还是基层员工,过去很多互联网上的“套路”,风险越来越大了!这不再是抖聪明的小事,一招不慎就会成为企业不可承受之重。

这件事不由得让我想起来了百度CEO李彦宏说的一句话,“中国人对隐私问题的态度更开放,也相对来说没那么敏感。”不管是说错了话,还是一时口滑,或许这正道出了某些科技巨头对用户利益一以贯之的态度。

所以,你又怎么看呢?