京東金融系統自動保存用戶截圖是竊取隱私還是技術失誤?
據中國之聲《新聞縱橫》報導:這兩天,有網友在網上發布了兩條視頻,視頻中顯示京東金融的App會不當獲取用戶的敏感圖片信息,京東金融的行為引發了很多用戶的質疑。
在事件發酵之後,京東金融也很快就這一事件致歉,而其向中國之聲發來的書面回應中稱,絕沒有不當獲取用戶信息的意圖和做法,已經下線了相關功能,並提出一系列整改措施。
隨著智能手機的普及,我們的日常生活與社交確實比以往更加便利。隨手記錄拍下值得自己銘記的瞬間,在看到心儀的物品時只用打開手機掃一掃就能輕鬆支付,可這些便捷的功能與體驗同樣讓我們放鬆了警惕。一直以來,移動端應用洩露用戶個人隱私的事件就時有發生,無論是有意還是無意,隱私洩露帶來的後果都十分嚴重。那麼這次京東金融自動獲取圖片的行為到底算不算洩露隱私呢?又給我們帶來了哪些警示?在紛繁複雜的各種應用裡,我們該如何保護自己的隱私?
網友:京東金融App自動獲取用戶手機截圖,有何意圖?
“今天晚上發現一個很不得了的事情,拍個給大家說明一下。關於京東金融的軟件做的一些見不得光的事情,我們來看一下。首先我們打開京東金融App,然後他不要管他…… ”
這是微博網友“阿木”16日凌晨發佈在微博上的一段體驗視頻,說的內容,大致是京東金融竊取用戶的隱私圖片,具體方式是:當京東金融在手機後台運行時,用戶在使用手機其它應用時的屏幕截圖,會被存儲在京東金融的緩存當中。
“京東金融,你為什麼要拿我的銀行App的截圖,你想幹什麼?”
到底想幹什麼呢?昨天上午,京東金融方面向中國之聲發來文字說明稱,這是京東金融在2018年12月發布的版本中的一個便利小功能:如果用戶打開京東金融App後進行了截圖,京東金融會認為用戶有可能想向客服投訴或建議。為了方便用戶和客服溝通,京東金融在用戶界面的左上角展示圖片提示,用戶可進一步選擇是否聯繫客服並發送圖片。但無論如何,這一截圖反饋功能,不具備圖片自動上傳的能力,圖片只是緩存在用戶手機本地。目前,京東金融已經下線“圖片助手”功能。
但是,爆料的網友阿木認為,這一解釋難以接受。因為,他在此之前還發現,用戶使用其它手機應用時拍攝的照片,也會出現在京東金融的緩存文件當中。
“老樣子,還是先打開京東金融App把它放到後台,然後我們打開一個美顏相機,隨便拍點東西,保存了圖片之後,我們等一會兒回去,然後我們繼續打開文件夾看一眼,我們可以看到一個596KB、2月16日的文件,我們打開看一看它是什麼?我剛剛拍的照片。”
阿木接受媒體採訪時表示,截圖跟美顏相機拍照,是兩個完全不同的目錄,它把後者也複製了一份。
京東金融回應:安全問題已修復,將進行安全性檢測並建立安全審查機制
一位不願具名的網絡安全技術專家分析稱,根據目前公開的信息,京東金融方面惡意竊取用戶信息的可能性不大,更有可能是程序寫入時的考慮不周所致。因為單憑這些截圖,並不能危及網絡交易安全。但是,不排除這一漏洞被人利用,進而威脅到用戶的隱私。
昨天下午,京東金融就這一問題,再次向中國之聲發來文字說明,其中承認,這一App在截圖反饋功能上存在技術問題。具體為用戶將京東金融App切換到後台後,該功能繼續運行,繼續接收新增圖片通知(包括截屏和照片等)並在手機本地緩存,而原功能設計需求是切換後自動停止該功能,屬於需求錯誤開發。同時,經過安全技術團隊深度評估,該功能也不應該使用手機緩存技術來實現,應該直接使用手機實時內存(RAM)實現並增強提醒,無需使用手機本地緩存,當京東金融App切換或退出時,將自動清空。
北京外國語大學電子商務與網絡犯罪研究中心主任、法學院教授王文華認為,互聯網提供的便利,應當建立在安全的前提下,而絕不能以犧牲公民隱私為代價:
“互聯網企業應當把對用戶的個人信息的保護放在舉足輕重的位置,這個也是企業合規的最起碼的要求。違反了以後不僅是侵犯消費者的合法權益,實際上也損害自身的可持續發展,應當從技術上從法律上從企業的法務的整體上給予足夠的重視,防止之類的事情在發生,應該有足夠有效的措施來保障這樣一個制度的完善。”
京東金融發給中國之聲的書面回應中稱,下一步,京東金融今天將邀請權威官方機構對京東金融App進行全面的安全性檢測,並承諾未來每季度進行權威官方檢測,及時公告檢測結果,並將於本週邀請包括這次問題發現者網友“阿木”在內的用戶和外部專家、媒體組成安全顧問小組,對京東金融App提供的產品和服務進行獨立、長期的檢查監督。並將賦予內部安全技術團隊對產品功能的直接否決權,將投入更多資源,建立更為嚴謹的安全審查機制,對每一項技術應用和業務功能進行更加嚴格、全面的安全測試。
互聯互通,無所不能。方寸之間的手機小屏,方便著我們每個人與這個世界的溝通。在紛繁複雜的各種應用裡,我們該如何保護自己的隱私?北京外國語大學法學院教授王文華說:
“第一點就是在下載App的時候,用戶都應該詳細閱讀相關的協議提出的一些要求,不要覺得省時間圖方便,包括我自己曾經也有過一路只點“同意同意”,然後很快的就下載了,就啟動了、運行了,這樣是會帶來一些後患的。第二個就是發現任何有異常情況,應該及時與平台、商家,與相關的監管部門進行溝通、報告,要求及時給予處理。還有對一些可疑的App盡量輕易不要下載,還是找一些比較權威的、評價比較好的、得到市場認可的這一些App來自己選擇使用。”
央廣記者:肖源