质疑京东金融窃取用户信息?这篇技术分析文讲明白了

2019-02-17 17:21:03来源:威易网 作者:

        昨日凌晨2点多,微博@瘦出的肋骨已经消失的大侠阿木发布一条博文称,京东金融会获取用户敏感图片并上传,并给配上自录视频。一瓜激起千层浪,昨天上午还一度把京东金融送上热搜。京东金融也及时对事件做出回

        昨日凌晨2点多,微博@瘦出的肋骨已经消失的大侠阿木发布一条博文称,京东金融会获取用户敏感图片并上传,并给配上自录视频。一瓜激起千层浪,昨天上午还一度把京东金融送上热搜。京东金融也及时对事件做出回应,发布官方解释声明。

        话题发酵到现在将近一天的时间,很多知名大V、技术咖也开始关注。如在微博互联网资讯分析方面颇具名气的@互联网分析师于斌便针对此事发布一篇文章,阐明自己对于该事件的看法。
 
       于斌在文中表示,他在关注该事件后马上也做了相同测试,但没有复现这个问题。他表示在京东金融内截图,虽然发现这个应用确实在监听用户的截图行为,但是这个行为是为了方便调用客服和分享,是行业内普遍做法,并不具备恶意。以下是于斌个人文章的详细内容:
 
        从技术上来说,目前APP获取用户手机页面截图和缩略图常见的有两种可能,都是为了提高用户体验而做。一种是在用户截图时方便调用客服或分享功能,很多应用都会加入这个需求获取权限,使用场景是在应用内针对用户的截图行为出现实时反应,发现用户有截图行为立刻调动询问是否出现问题需要寻找客服解决或者询问是否要分享,在使用微信、滴滴打车、淘宝等APP时,这种情况相信大家不会陌生。
\ 
(淘宝购物截图页面调用缩略图场景想必大家很熟悉)
 
        京东金融后续发布的声明也说明了所谓的获取上传用户图片就是这种情况,还有一种获取截图的情况,就是在用户调用分享的时候,APP用来截取当前页面作为缩略图,方便分享。
 
       挺正常是吧,那为什么京东金融就被指责是泄露隐私呢?而且实锤也有,安卓用户确实存在截图被保存到京东金融的子目录里的情况啊。笔者又扒了一下为什么会出现该情况的技术帖,发现京东金融确实有点冤。

       其实京东金融的主观意愿确实是为了方便用户,发生截图行为时能够方便调用客服,保存的图片也只是在自己个人手机内的子目录,没有用户允许并不会上传。这里涉及到用户质疑的获取隐私,是因为实现这个功能的代码多了个莫名其妙的显示截图的功能设置,导致了图片出现在了私有目录。

       主要是京东金融的程序员使用了一个开源库,这个开源库用私有目录作为缓存目录,把展示的图片保存在缓存目录下,然后显示截图的时候调用了开源库,截图就出现在了手机的私有目录下了。而这样做的原因很可能是技术人员认为这样做可以加速加载速度,并不是恶意代码。
 
        京东金融的回应也说明了,这个缓存图片仅在本人手机上,只要用户不选择上传,后台是无法看到的。

        这个被称为图片助手的功能,是目前大部分应用都在使用的功能,不过在方便用户的同时,很多人也曾经发出过质疑,比如截图后,聊天软件为何能够主动识别推荐是否发送给朋友?具备云盘功能的xx手机为何偷偷上传照片等等。

        技术升级和改进是为了更好的服务用户,京东金融这事被质疑是恶性获取隐私是纯属躺枪了,但是也希望通过这样的用户质疑,能够引发移动应用开发者和产品经理们的反思,在实现服务用户的道路上,是否可能保持更多的克制,不做非必要的信息获取权限,或者获取调用权限时,让用户有更清晰的认知,避免造成这样的误会。
 
        毕竟,随着移动互联网技术的发展普及,消费者们对于隐私的关注和保护意识觉醒,保护自己的信息安全已经远远重于获得一些不太重要的便捷服务。而对于应用特别是金融类APP来说,安全要求总是压倒一切排在第一位的。
 
关键词:京东金融