最近在网上看到篇文章,说刘强东性侵案展示了一个处在金字塔顶端的公关团队。有了他们,刘才避免了被“全面绞杀”的命运。新的一年到来,原以为一切已成往事,但谁知地震之后伴随着的往往是一连串的余震。
这不,情人节刚过,“刘强东离婚”事件才因为一份律师声明被平息下来。正所谓一波未平一波又起,就在今日,昵称为@瘦出的肋骨已经消失的大侠阿木的微博网友在一段录制视频中曝光京东金融涉嫌获取用户手机中的敏感图片。
吃瓜群众们对此事作何感想?还想啥呀,自然是惊涛骇浪般的骂声铺面而来,这气势,这阵容,有一瞬真的有种要被口水淹没的感觉。
截图内容来自微博
看这情形,估计京东金融的公关小姐姐们又要彻夜无眠了吧?阿门~
公关:唉我去~咱能长心不?
一段视频引发的“海啸”
究竟是何等视频能引起大家对安全保障如此墙裂的共鸣?这不,为了搞清楚来龙去脉编辑我翻来覆去把这段1分40秒的视频看了个遍。简单总结一下,视频中主要演示了以下几个操作步骤:
1、打开工商银行APP,进入后截取其中一个页面图片;
2、打开安卓文件管理器,找到京东金融APP文件目录;
3、设置按照时间顺序排列,可在文件目录中找到上述截图;
此外,该微博网友称:“京东金融APP不止会偷截图,还会偷照片。”在另一个视频中,他同样录制了详细的操作过程:
1、打开京东金融APP,让其保持后台运行,退出到主界面;
2、打开美颜相机APP,用它拍一张照片;
3、打开文件管理器,找到京东金融APP文件目录;
4、设置按照时间顺序排列,可在文件目录中找到上述照片;
对此,这位网友提出了质疑:“为何我的图片会出现在京东金融APP的文件目录中?”正如上面所说,消息一出评论区可谓是好不热闹。编辑在里面一扒拉,发现不少评论中都称按照视频中描述的步骤成功复现了其全过程。
当然,评论中也并不是只有骂声一片,在一个名为V2EX的网站上,昵称@HanJoker 的网友发表评论称,确实发现了该京东金融APP发送信息的痕迹,其反馈的信息如下图所示:
当然,这位网友称这目前也只是推测,至于有没有真的上传还不清楚。目前还不知道它用什么方式上传的 Charles。
在这之后,同网站昵称为@zbinlin的网友猜测:“目前并不知道这条请求的requesturl是什么,是否有body。不过从response看,应该是更新反馈页面的,这从服务端更新亦无不可。我认为有一种情况是首先 APP监听截图事件,当用户在截图时APP‘智能’地认为用户是有问题需要反馈的,所以它提前地做‘准备’,然后发起请求了。”
雷锋网得知,在众多试图复现这一问题的网友中,也并非全部都操作成功,也有一部分称并没有在视频中说的文件目录中找到提前保存的图片。
值得一提的是,尽管发布视频的网友认为京东金融APP自动上传了这些敏感图片,但是在视频中的确没有明确演示这一上传过程。对此,京东金融客服也在微博发表回应称,由于看不到该账户(指网友)无法核实具体情况,会在私信后为其核实处理。
从隐私政策中找“答案”
为了进一步找寻答案,编辑在网上翻找了《京东金融隐私政策》。
该隐私政策主要从十个方面描述了京东金融对于用户隐私获取、使用和分享的详细情况。在“我们可能获得的个人信息”一栏中提到,在注册或使用服务时,会获取相关个人信息,例如姓名、证件号码及信息、电话号码、电子邮件地址、邮寄地址、银行账户及其他支付工具的账户信息、生物特征信息等,但其中并未提到图片信息。
雷锋网注意到,在这一栏中还提到多媒体信息相关的内容,其中写道:“在使用一些京东金融服务时,会根据业务需要访问摄像头和麦克风等权限,并收集、使用、储存和/或分享相关多媒体信息。”
值得一提的是,其开头部分这样写道:“这些信息是为提供京东金融服务,用户可能主动向其提供,亦可能收集用户的一些信息。”
在京东金融方面未作出答复之前,我们尚不知道视频中描述的情况是否真会偷走用户的敏感图片。但从该政策中可以看出,京东金融APP确实会自动收集、使用用户的相关信息内容,而其中一部分并没有提到是否会在收集之前寻求用户的许可或者提供关闭权限服务。
实际上,京东金融APP出类似的Bug并非第一次。2018年3月,微博中出现大量用户投诉,发现自己京东金融app账户中的资金突然消失。对此京东金融方面只回应了“正在紧急修复”。
保护隐私从我做起
而在众多的评论中,编辑也看到有网友发出了这样的感慨:“在选择使用的时候,其实我们就已经放弃了自己的隐私。”
是这样吗?
的确,在数据=金钱的逻辑推动下,厂商尽可能全的获取用户权限的思路几乎是无法避免的。以腾讯出品的吃鸡游戏《绝地求生:刺激战场》为例,其国内版默认获取的权限为31个,而相比之下国际版默认获取的权限只有14个。
不过,一名白帽黑客告诉雷锋网,这并不意味着用户就失去了保护自身隐私安全的权利。反之,用户可以通过在使用过程中养成良好习惯,有意识的控制厂商获取个人信息的量。及时关闭权限,按时清理缓存、有意识拒绝进入具有明显隐私信息收集意图的软件等都可以从源头起到保护隐私的作用。
参考来源:《京东金融隐私政策》;知乎;微博