|
一直以来,应用程序获取不必要的权限都是令人深恶痛绝的行为,京东金融这两天就踩到了用户对于隐私的敏感神经。
数码博主@瘦出的肋骨已经消失的大侠阿木 昨日在微博称京东金融 app 获取用户截图且私自上传,并发布了相关视频举证。 ( 腾讯视频)该用户声称京东金融获取的是用户在其他金融应用中的截图,从演示视频来看,用户在招行手机银行截图后,图片的确出现在了京东金融的文件夹中,配以「获取用户的敏感图片并上传」的标题,足以引发广大用户的担忧和对京东金融的口诛笔伐。
京东金融很快做出回应,表示该功能原本是为了让用户在使用京东金融的过程中遇到问题时,可直接截图向客服反馈,并强调如果用户没有发送图片,图片并不会上传至京东金融服务器。为了平息争议,京东金融暂时下线了该功能。
然而,大侠阿木对京东金融的指控也存在可商榷之处。他发布的视频中并无法证明京东金融会将截图自行上传至服务器,且经测试,京东金融每次重启后,都会捕获系统的第一张截图,不仅限于所谓的「敏感图片」。 那么京东金融到底有无越界行为?我们请技术人员进行了抓包测试,在京东金融于后台运行的情况下,对手机主屏截屏,发现这一动作触发了京东金融 4 次请求,该应用上传了设备信息并返回了「反馈成功」的结果,但并未发现有上传图片的行为。
▲ 抓包结果 技术人员推测是京东金融使用了「监听截图」功能,也就是官方声明中提到的方便用户反馈的「图片助手」,应用内截图即弹出反馈窗口也是不少应用的常见做法,但京东金融的代码可能出现了 bug,才导致没有限定监听范围,将非京东金融的截图也缓存在自家文件夹中。 不过,虽然京东金融没有私自上传截图,但手机一有截图操作就将设备信息自动上传的做法似乎也不太厚道。 而对于京东金融的解释,不少网友并不买账,反馈称除了保存截图,还发现自己手机上出现了其他用户的截图甚至自拍。总之,就算京东金融本无恶意,擅自保存用户图片,这个 bug 也不是小事了。 由于此次被曝出问题的是 Android 版的京东金融,也再度引发了网友对于 Android 应用乱象的讨论。相比于 iOS 严格的权限管理,Android 给了应用更多自由,浏览器要求访问相册,输入法还要获取通讯录权限的现象比比皆是。
尽管如今 Android 的权限管理有了不小的进步,应用要获取敏感权限大多需要经用户允许,但 Android 的高度开放性仍然让很多厂商找到了钻空子的机会。去年 vivo NEX 的升降摄像头,就让一大堆在后台偷偷开启相机的应用露了馅儿,被戏称是「流氓软件检测器」。 更糟心的是,除了少数硬核玩家可以通过各种技术手段防止系统权限被滥用外,大部分用户吐槽归吐槽,也只能一边冒着隐私被泄露的风险,一边继续使用了。 题图来自:Unsplash 吴羚与多情人,谈有情事。 邮箱 3 |
- 关注天气:
