京东金融陷“隐私门”!APP被曝窃取用户私人图片,回应称系功能错误开发
一直以来,移动端应用泄露用户个人隐私的事件就时有发生,无论是有意还是无意,隐私泄露带来的后果都十分严重。据艾媒网获悉,2月16日,京东金融APP被指会获取用户的敏感图片并上传,此举引发网友对个人隐私被窃取的担忧。
17日下午,京东金融发布技术排查结果,承认存在技术失误,向客户致歉,但表示相关缓存图片仅存在用户手机本地,京东金融App绝没有对用户照片和截屏进行私自上传,也未发现任何一张未经授权的图片被收集。
京东金融被曝获取用户敏感图片并上传
2月16日凌晨,微博网友@瘦出的肋骨已经消失的大侠阿木 发布视频称,京东金融App会获取用户的敏感图片并上传。京东金融APP在后台运行期间,该网友打开手机中的银行应用进行页面截图。随后在手机文件管理器中打开京东金融的文件目录,而此目录中出现了该用户刚刚保存的的银行应用界面截图。
另外,该网友还发布新视频表示:“京东金融不止偷截图,还会偷照片。”新视频显示,京东金融APP在后台运行期间,用手机其他相机软件拍摄的图片也可在京东金融的文件目录中找到。
该爆料经过媒体报道后,引发一些用户的担忧,也遭到外界对京东金融有关安全和隐私保护策略的质疑。
回应:反馈功能的预缓存,“图片助手”暂时下线
16日下午,京东金融回应称,“京东金融绝对不会收集未经用户授权的任何信息,更不会窃取,关注到用户反馈的问题后,已经做了技术排查和处理。”并同期发布长文对该问题做出了详细的解释。
京东金融客服表示,这其实是2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融APP后进行了截图,我们会认为用户有可能向我们的客服投诉或建议。为了方便用户和客服沟通,我们在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。只要用户不选择发送给客服,这些图片会乖乖地待在用户收集里,金融金融后台系统是绝对看不到的。
京东金融方面还表示,目前已将相关功能暂时下线。
然而,对于京东金融的回应,网友@瘦出的肋骨已经消失的大侠阿木 有不同意见,其再度发声称:京东金融已经发了声明,解释说是反馈功能的预缓存,但是并无说服力。因为我的第二条视频还证明了京东金融还会“窃取”美颜相机的照片。这个和“截图反馈”功能毫无关系。又怎么解释呢?另外,技术角度上讲,“截图反馈”功能,只需要缓存这张图片原始的路径即可,而不需要复制一份原始图片,因为既浪费时间,又浪费性能,还浪费内存空间。所以仍然有理由进行进一步的揣测,京东金融确实是为了其他目的才这么做的。
再度回应:系功能错误开发,照片和截屏不会私自上传
2月17日,京东金融就此事再次进行了回应:“安全技术团队对所有版本的京东金融App进行排查后,发现安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复”。
根据京东金融的解释,2018年12月,京东金融App5.0.5版本上线了客服截屏反馈功能,旨在方便用户快速将截图发送给在线客服人员,但在功能开发上存在技术问题。具体为用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。
同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。
针对用户普遍关注的新增缓存图片是否会上传的问题,京东金融强调这些图片仅存在于用户手机本地,坚决没有对用户照片和截屏进行私自上传,也对该功能进行了全面排查,并未发现任何一张未经授权的图片被收集。
京东金融方面称,“非常懊恼、非常痛心、非常自责”,从未想过未经用户授权获取用户图片,并表示愿意接受官方机构对其App的安全性进行检测。
据悉,为彻底打消公众的疑虑,京东金融将在2月18日邀请权威官方机构对京东金融App进行安全检测,并及时公告检测结果。另外,还会在下周邀请包括本次问题发现者在内的用户和外部专家、媒体组成信息安全顾问小组,对京东金融App提供的产品和服务进行独立、长期的检查监督,并定期公布检查结果。