AD
我国著名互联网巨头李彦宏老师曾经说过,“中国人对隐私问题的态度更开放,也相对来说没那么敏感。”不管是说错了话,还是一时口滑,或许这正道出了某些科技巨头对用户利益一以贯之的态度。
· · ·
京东无眠。
刘强东性侵案的风波才过没多久,京东金融又卷入了窃取用户隐私的旋涡里。
2月16日凌晨,一名微博认证为“数码博主”的网友@瘦出的肋骨已经消失的大侠阿木 将京东金融推上风口浪尖。
他上传的视频显示,京东金融App会获取用户手机银行类软件截图。
他使用的是一款安卓手机,首先需要将京东金融App打开并且在后台运行。
随后打开任意银行手机软件,并且在手机银行软件任意界面截屏。之后,在文件管理器中的京东金融App目录下,可以查看到用户之前所截的银行软件图片。
在该微博评论中,也有数名网友表示自己成功复现了该问题。
不过也有网友表示小米、华为等手机并未复制成功。
不仅如此,他还表示京东金融APP不止偷图,还会偷照片。(用手机相机拍摄的照片)
有网友指出,只要用户按照视频操作启动京东金融App并且在后台运行,那么用户之后所截的第一张图均会出现在视频所示的文件夹中。
京东作为一个大品牌,该爆料又涉及了用户最在意的隐私问题,事件很快发酵,并被各大网友纷纷转发。
14个小时后,@京东金融客服 终于回应了,表示“坚决维护用户信息安全,绝不会收集未经用户授权的任何信息,更不会窃取。”
京东金融在声明中表示,目前已将相关功能暂时下线:“原本是一个方便的小功能,为的是方便向客服投诉或进行沟通建议。一般这些图片只作为缓存图片,存在在用户手机里面,用户自己不主动上传,后台系统是看不到的,不会侵犯用户隐私。”
不过用户似乎对此回应并不买单,有网友质疑@京东金融客服 是用iOS APP来解释发生在安卓平台上的事情。尽管@京东金融客服 对此作出了回应,却也越描越黑。
就在今天下午,京东金融表示将马上采取新的措施:①已邀请权威官方机构对京东金融APP进行全面安全性检测;②邀请包括@瘦出的肋骨已经消失的大侠阿木 在内的用户和外部专家、媒体组成信息安全顾问小组,对其服务进行监督;③建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。
想必事件后续还会有所发展。现在,我们不妨来好好分析一下这件事。
1.
/ 京东金融这么做违规吗?/
通过安装安卓版京东金融APP,我们发现在隐私政策中有提到与相机相册和用户银行账号信息的几条隐私政策说明。
权限方面京东金融在安装时需要获得读取存储卡内容,包括修改或删除存储卡的内容。
隐私政策里提到的访问相册只说是为咨询客服是提供证明,并没有提到在用户非主动发送的情况下私自读取。
个人信息方面京东金融收集的信息包括个人财产证明类信息例如各个银行账户及其他支付工具的账户信息等。
但这也没有提到会通过读取用户银行类截图的形式收集用户账号信息,至少隐私政策披露里京东金融也违规。
2.
/ 京东金融为什么会有这些图片?/
京东金融APP主要是向用户推荐各种理财产品,上传银行类截图软件很可能是用来分析用户账户持有的资产等。
有资产数据后就可以用来向用户推送更精准的理财产品。
但是京东金融保存用户银行类截图和用户相机拍照的图片,这又是为何?
有知乎网友回应称:
我不是京东金融的员工,只是刚好认得“uil-images”这个目录。
这是一个叫做Android-Universal-Image-Library的库,用来加载图片的。
你看到的各种相册、照片列表,包括很多App中上传图片的界面,都是上面图片里的样子。它们可能从手机的存储空间里列举所有的照片,把它们的缩略图展现出来。但是有的照片很大,或者这个相册是在线相册,图片都是线上存储的,没办法立刻加载完成。况且如果把这么多几百万像素的照片加载进RAM,手机就会资源不足。
这样就需要一个图片加载工具,把原图缩放到比较小的尺寸,做一次缓存。等到以后再加载的时候,速度更快一点。即使是本地图片,进行一次缩放,存到缓存中,也有性能的提升。
这就是为什么你会在京东金融App的 cache/uil-images 里见到相册里的图片。
至于为什么没打开京东金融,图片就在缓存里找到,那十有八九就是它一直驻留后台,并且注册了“新照片添加”的事件。可以说明它在后台不老实,但是没法直接证明京东金融有备份用户的私人图片。
▲ 微博用户@瘦出的肋骨已经消失的大侠阿木 打开“uil-images”文件夹,发现了被京东金融APP窃取的手机照片
此外,从上述视频中我们还可以看到京东金融文件夹中获取的图片全部是问号,问号代表未识别出文件的格式。
但演示视频中我们可以看到只要使用图片查看器就可以显示内容,这个做法看起来像是有意识操作方式。
手机里的相册能被用来干什么?
微博博主@游戏打折情报 撰文称:“这么多APP想尽办法要访问你的相册通讯录,我不知道它们想要干什么,但是我知道相册通讯录里有什么。”
单说相册,里面就有:
1、照片中的敏感信息,包括可能有:身份证、护照 等敏感信息。现在有上传身份证功能的应用都可以在本地识别身份证上的内容了,后台扫描一下你的照片库就可以把这些信息一次性全部提取出来。
2、你所有的个人照片和合照:人像识别,用户profile建立、机器学习的最佳素材。还可以用通讯录、IM好友交叉比对找出你的关系链。
3、你的照片、截图上所带的地理位置信息:即使没有地理位置权限也可以通过抓取最新的照片知道你在哪,而且根本不用上传整张照片,在本地就可以提取分析出 GPS 坐标。你拍照的时候经常和谁在一起拍,软件比你知道得更清楚。
4、照片文件的时间:每年你都会拍照片,随着年龄变化,每年的脸是不是都有不同呢?和第2点人像还有第3点地理位置结合起来可以做更多事情,两个不认识的人在同一个景点拍的照片作对比,再分析一下照片的时间……想想还有点小激动呢。
5、还有我没有想到的其它用途,太多了。
不过该博主也说:
那条“京东金融截图”的微博的内容在我看来已经见怪不怪,甚至可以说是APP的“标准操作”,这条居然能火让我摸不着头脑。更何况这多半是一个 BUG,不是它故意要这么做的。
为什么我说它可能是个BUG,是因为要你的截图根本不用这么麻烦复制到自己的目录,即使要复制到也不可能就这么直接搞过去,准备干坏事的必须会改个头打个包什么的不可能让你直接就这么打开。我寻思这个截图拦截是给“反馈”功能使用的,但不知道是由于技术问题还是其它原因变成了拦截所有图片。
3.
/ 为什么互联网流氓软件横行?/
实际上,用户对自己个人信息被商家不法获取的指责还有很多。早在2016年,就有用户称支付宝会定期开启用户手机摄像头拍照和录音。
该用户表示,支付宝安卓版每隔一定时间便会开启摄像头拍照录音,上传至服务器并且同时也会有通讯录,通话记录,附近基站和Wi-Fi等信息。
不过,支付宝方面回应称,上述说法纯属毫无根据的造谣,申请摄像头授权并不等于实际启动摄像头。支付宝绝对不会“在用户不知情的情况下,后台启动摄像头拍照或录音”。
而据腾讯社会研究中心和DCCI互联网数据研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2018年上半年)》指出,在2017年下半年,几乎所有的安卓手机APP都在获取用户隐私权限,869个Android手机APP中未获取的仅占0.1%。其中生活购物类和投资理财类APP占比明显增加,生活购物类由7.6%增加到11.2%,投资理财类由9.1%增加到10%。
而到了2018年上半年,获取“打开摄像头”权限的APP比例达到89.9%,获取“使用话筒录音”权限的APP比例达到86.2%,这两个权限也是用户最为关注的隐私信息。
知乎有作者@吔屎了内 回应了该问题:
以android app为例
国内没有google play,导致了许多第三方应用商店的诞生,这些应用商店对app的审核仅仅停留在:app不违法法律。
所以,很多app便顺利过审,上架应用商店。
google在app开发建议中声明:不要在启动页停留过长时间,不要加入让用户需要等待很久而且讨厌的内容以及其它一些让用户反感的内容。
所以可以看到腾讯视频,爱奇艺视频等等一系列软件的play版本,是没有任何广告的!为什么play版没有广告?很大一部分为了过审。
为什么现在软件会各种唤醒和需要手机权限?
我从开发者角度来回答:
大部分app,都会请求你的地理位置,包括很多莫名其妙的app都会有这个请求,为什么?
产品经理要收集用户分布区域,统计用户范围。
还有一些权限,比如手机串号,电话,通讯录,短信等。(这里我提醒一下记住电话通讯录和短信这些权限千万别给)
先科普一个知识,当你删除你手机内的短信或者电话记录时候,你以为你的手机真删了?不,它只是把数据库那条记录加个删除标记,不显示给你看而已。其实还在数据库内,但是开发者却可以拿到这些数据,所以建议大家不要给app这些权限。
app收集这些内容是为了什么,我觉得大家肯定知道。
app之间相互唤醒,因为要保活。
举个例子:微信。它是如何保活?靠自己。
它在后台开两个服务,一个是主要的用来接收消息,一个是保证这个接收消息的服务被杀死后能唤醒它。
假如你杀死其中任何一个服务(服务被杀死时候这个服务可以知道自己被杀死),它会再次唤醒自己,如果失败,另外一个会唤醒它。用户不可能同时杀死两个服务,因为你杀死时候总有一个先后顺序,除非用那些比如绿色守护这类的软件。
app这么毒瘤目的只有一个就是收集用户信息,想办法变现。
另外支付宝实际权限是200多个,微信是80多个。
所以,在下载安装手机软件时,要注意不要默认开启不必要的隐私信息权限,避免造成个人信息泄漏等问题。
基于安全考虑,大家会卸载京东金融APP吗?欢迎在留言区跟八妹分享。
—end—
金八传媒往期获得奖项
2019 新盟盛典年度财经新媒体
2018 “一点号年度财经清朗榜”
2018 新浪财经头条最佳传播财经新媒体
2018 微博十大影响力财经机构
2018 经济观察报VTime新橙奖受欢迎财经新媒体
2018 胡润新金融百强榜优秀财经记者
2018 微播易年度财经自媒体
2017 新榜内容创业公司TOP100
2017 一点资讯 一点号优秀自媒体
2017 金熊猫爪奖最具行业影响力自媒体
2017 领航中国年度杰出财经自媒体
2017 胡润新金融百强榜中国最具影响力财经自媒体50强
2016 新浪财经自媒体意见领袖
2016 新浪微博财经人气大V
2016 创业黑马TOP100中国最具潜力创业公司
2016 品牌中国自媒体行业品牌年度人物
2016 金熊猫爪奖 最佳跨界金融自媒体
2016 金V榜最具传播力财经自媒体
金融八卦女APP,有态度、有温度、有深度,700万人的选择。点击阅读原文,这里有更大的视界,金融八卦女等你。
本文首发于微信公众号:金融八卦女频道。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
