京東金融被指偷儲存使用者截圖,這或許是個 bug,但問題不小
一直以來,應用程式獲取不必要的許可權都是令人深惡痛絕的行為,京東金融這兩天就踩到了使用者對於隱私的敏感神經。
數碼博主@瘦出的肋骨已經消失的大俠阿木 昨日在微博稱京東金融 app 獲取使用者截圖且私自上傳,併發布了相關視訊舉證。
京東金融很快做出迴應,表示該功能原本是為了讓使用者在使用京東金融的過程中遇到問題時,可直接截圖向客服反饋,並強調如果使用者沒有傳送圖片,圖片並不會上傳至京東金融伺服器。為了平息爭議,京東金融暫時下線了該功能。
然而,大俠阿木對京東金融的指控也存在可商榷之處。他釋出的視訊中並無法證明京東金融會將截圖自行上傳至伺服器,且經測試,京東金融每次重啟後,都會捕獲系統的第一張截圖,不僅限於所謂的「敏感圖片」。
那麼京東金融到底有無越界行為?我們請技術人員進行了抓包測試,在京東金融於後臺執行的情況下,對手機主屏截圖,發現這一動作觸發了京東金融 4 次請求,該應用上傳了裝置資訊並返回了「反饋成功」的結果,但並未發現有上傳圖片的行為。
▲ 抓包結果
技術人員推測是京東金融使用了「監聽截圖」功能,也就是官方宣告中提到的方便使用者反饋的「圖片助手」,應用內截圖即彈出反饋視窗也是不少應用的常見做法,但京東金融的程式碼可能出現了 bug,才導致沒有限定監聽範圍,將非京東金融的截圖也快取在自家資料夾中。
不過,雖然京東金融沒有私自上傳截圖,但手機一有截圖操作就將裝置資訊自動上傳的做法似乎也不太厚道。
而對於京東金融的解釋,不少網友並不買賬,反饋稱除了儲存截圖,還發現自己手機上出現了其他使用者的截圖甚至自拍。總之,就算京東金融本無惡意,擅自儲存使用者圖片,這個 bug 也不是小事了。
由於此次被曝出問題的是 Android 版的京東金融,也再度引發了網友對於 Android 應用亂象的討論。相比於 iOS 嚴格的許可權管理,Android 給了應用更多自由,瀏覽器要求訪問相簿,輸入法還要獲取通訊錄許可權的現象比比皆是。
儘管如今 Android 的許可權管理有了不小的進步,應用要獲取敏感許可權大多需要經使用者允許,但 Android 的高度開放性仍然讓很多廠商找到了鑽空子的機會。去年 vivo NEX 的升降攝像頭,就讓一大堆在後臺偷偷開啟相機的應用露了餡兒,被戲稱是「流氓軟體檢測器」。
更糟心的是,除了少數硬核玩家可以通過各種技術手段防止系統許可權被濫用外,大部分使用者吐槽歸吐槽,也只能一邊冒著隱私被洩露的風險,一邊繼續使用了。
題圖來自: Unsplash