原标题:京东金融系统自动保存用户截图,是窃取隐私还是技术失误?
据中国之声《新闻纵横》报道:这两天,有网友在网上发布了两条视频,视频中显示京东金融的App会不当获取用户的敏感图片信息,京东金融的行为引发了很多用户的质疑。在事件发酵之后,京东金融也很快就这一事件致歉,而其向中国之声发来的书面回应中称,绝没有不当获取用户信息的意图和做法,已经下线了相关功能,并提出一系列整改措施。
随着智能手机的普及,我们的日常生活与社交确实比以往更加便利。随手记录拍下值得自己铭记的瞬间,在看到心仪的物品时只用打开手机扫一扫就能轻松支付,可这些便捷的功能与体验同样让我们放松了警惕。一直以来,移动端应用泄露用户个人隐私的事件就时有发生,无论是有意还是无意,隐私泄露带来的后果都十分严重。那么这次京东金融自动获取图片的行为到底算不算泄露隐私呢?又给我们带来了哪些警示?在纷繁复杂的各种应用里,我们该如何保护自己的隐私?
网友:京东金融App自动获取用户手机截图,有何意图?
“今天晚上发现一个很不得了的事情,拍个视频给大家说明一下。关于京东金融的软件做的一些见不得光的事情,我们来看一下。首先我们打开京东金融App,然后他不要管他……”
这是微博网友“阿木”16日凌晨发布在微博上的一段体验视频,说的内容,大致是京东金融窃取用户的隐私图片,具体方式是:当京东金融在手机后台运行时,用户在使用手机其它应用时的屏幕截图,会被存储在京东金融的缓存当中。
“京东金融,你为什么要拿我的银行App的截图,你想干什么?”
到底想干什么呢?昨天上午,京东金融方面向中国之声发来文字说明称,这是京东金融在2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融App后进行了截图,京东金融会认为用户有可能想向客服投诉或建议。为了方便用户和客服沟通,京东金融在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。但无论如何,这一截图反馈功能,不具备图片自动上传的能力,图片只是缓存在用户手机本地。目前,京东金融已经下线“图片助手”功能。
但是,爆料的网友阿木认为,这一解释难以接受。因为,他在此之前还发现,用户使用其它手机应用时拍摄的照片,也会出现在京东金融的缓存文件当中。
“老样子,还是先打开京东金融App把它放到后台,然后我们打开一个美颜相机,随便拍点东西,保存了图片之后,我们等一会儿回去,然后我们继续打开文件夹看一眼,我们可以看到一个596KB、2月16日的文件,我们打开看一看它是什么?我刚刚拍的照片。”
阿木接受媒体采访时表示,截图跟美颜相机拍照,是两个完全不同的目录,它把后者也复制了一份。
京东金融回应:安全问题已修复,将进行安全性检测并建立安全审查机制
一位不愿具名的网络安全技术专家分析称,根据目前公开的信息,京东金融方面恶意窃取用户信息的可能性不大,更有可能是程序写入时的考虑不周所致。因为单凭这些截图,并不能危及网络交易安全。但是,不排除这一漏洞被人利用,进而威胁到用户的隐私。
昨天下午,京东金融就这一问题,再次向中国之声发来文字说明,其中承认,这一App在截图反馈功能开发上存在技术问题。具体为用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。
北京外国语大学电子商务与网络犯罪研究中心主任、法学院教授王文华认为,互联网提供的便利,应当建立在安全的前提下,而绝不能以牺牲公民隐私为代价:
“互联网企业应当把对用户的个人信息的保护放在举足轻重的位置,这个也是企业合规的最起码的要求。违反了以后不仅是侵犯消费者的合法权益,实际上也损害自身的可持续发展,应当从技术上从法律上从企业的法务的整体上给予足够的重视,防止之类的事情在发生,应该有足够有效的措施来保障这样一个制度的完善。”
京东金融发给中国之声的书面回应中称,下一步,京东金融今天将邀请权威官方机构对京东金融App进行全面的安全性检测,并承诺未来每季度进行权威官方检测,及时公告检测结果,并将于本周邀请包括这次问题发现者网友“阿木”在内的用户和外部专家、媒体组成安全顾问小组,对京东金融App提供的产品和服务进行独立、长期的检查监督。并将赋予内部安全技术团队对产品功能的直接否决权,将投入更多资源,建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。
互联互通,无所不能。方寸之间的手机小屏,方便着我们每个人与这个世界的沟通。在纷繁复杂的各种应用里,我们该如何保护自己的隐私?北京外国语大学法学院教授王文华说:
“第一点就是在下载App的时候,用户都应该详细阅读相关的协议提出的一些要求,不要觉得省时间图方便,包括我自己曾经也有过一路只点“同意同意”,然后很快的就下载了,就启动了、运行了,这样是会带来一些后患的。第二个就是发现任何有异常情况,应该及时与平台、商家,与相关的监管部门进行沟通、报告,要求及时给予处理。还有对一些可疑的App尽量轻易不要下载,还是找一些比较权威的、评价比较好的、得到市场认可的这一些App来自己选择使用。”
央广记者:肖源