京东金融App被网友曝光会自动获取用户敏感图片并自动上传一事有了最新进展。
2月17日下午,京东金融回应称,经过排查后发现,其安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复。京东金融表示,该App在“截图反馈”功能开发中存在技术问题,属于需求错误开发。
两条视频质疑京东金融侵犯用户隐私
2月16日凌晨,一位微博网友“@瘦出的肋骨已经消失的大侠阿木”发布了两条短视频,显示京东金融App会自动获取用户敏感图片并上传。第一条视频显示,操作者打开京东金融App后,再打开招商银行App并截屏,回到京东金融App后发现,刚才的截屏出现在了京东金融App缓存里;第二个视频则显示,操作者打开京东金融App后,再打开一款美颜相机拍照,回到京东金融App后,发现刚才拍摄的照片也出现在了京东金融App缓存里。
京东金融第一次回应
2月16日下午,京东金融对上述事件进行了回应,称“京东金融绝对不会收集未经用户授权的任何信息,更不会窃取!”,“缓存图片只存储在用户本地手机设备内,仅供用户本地操作提示,不会上传到京东金融后台系统。图片只在用户选择发送客服后才会上传服务器,京东金融后台系统才会看到图片。”
京东金融解释说,上述图片缓存现象其实是其在2018年12月发布的版本中的一个便利小功能,如果用户打开京东金融App后进行截屏,京东金融会认为用户有可能想投诉或建议。
“为了方便用户和客服沟通,我们在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。”
网友称解释“无说服力”,京东金融再回应
在京东金融做出上述回应后,上述微博网友认为并无说服力,他问道:“我的第二条视频还证明了京东金融还会‘窃取’美颜相机的照片。这个和‘截图反馈’功能毫无关系。又怎么解释呢?”
该网友还指出,技术角度上讲,“截图反馈”功能,只需要缓存这张图片原始的路径即可,而不需要复制一份原始图片,因为既浪费时间,又浪费性能,还浪费内存空间。
2月17日下午,京东金融就上述事件道歉并披露最新排查结果。京东金融称,安全技术团队对所有版本的京东金融APP进行排查后,发现安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复。
京东金融表示,京东金融App在上述功能开发中存在技术问题,具体为用户将京东金融App切换到后台后,该功能继续运行,继续接受新增图片通知(包括截屏和照片等)并在手机本地缓存,而原设计需求是切换后自动停止该功能,属于需求错误开发。
京东金融再回应侵犯隐私质疑 坚决不认上传用户截屏
2月17日消息,有用户在微博拍摄视频,称京东金融App会保存用户的截屏图片在自己的文件夹内,因此质疑京东金融App侵犯用户隐私。对此,京东金融今日在其官方微博中进行了回应。
京东金融方面表示,安全技术团队对所有版本的京东金融App进行排查后,发现安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复:
1)2018年12月,京东金融App5.0.5版本上线了客服截屏反馈功能,此功能的目的是,用户对京东金融App进行截屏时,本人可将京东金融App截屏发送给在线客服人员,以提高与在线客服的沟通效率。
2)此功能实现是通过安卓系统的两个官方通用类ContentObserver和MediaStore的组合调用来接收用户手机截屏动作的通知,使用了UniversalImageLoader这个通用第三方库实现截屏的本地缓存以及预览缩略图快速展示,但上述技术均不具备图片自动上传的能力,图片仅缓存在用户手机本地。
3)京东金融App在该项功能开发上存在技术问题,具体为用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。
同时,京东金融方面回应对用户照片和截屏进行私自上传的问题,其表示此次技术问题涉及的新增缓存图片仅存在用户手机本地,京东金融App坚决没有对用户照片和截屏进行私自上传,也对该功能进行了全面排查,并未发现任何一张未经授权的图片被收集。
此外,针对说明和回应,大家可能依然会质疑事实的真相,京东金融App表示将马上采取以下措施:
1)周一将邀请权威官方机构对京东金融App进行全面的安全性检测,并承诺未来每季度进行权威官方检测,及时公告检测结果。
2)下周将邀请包括本次问题发现者“@瘦出的肋骨已经消失的大侠阿木”在内的用户和外部专家、媒体组成信息安全顾问小组,对京东金融App提供的产品和服务进行独立、长期的检查监督,我们将定期公布顾问小组的检查结果。