尊敬的京东金融用户、行业管理机构、合作伙伴和媒体朋友:
昨天,一些用户通过微博发布了京东金融App安全问题,我们公司***联系用户跟进调查,并迅速组织安全技术团队进行24小时全面调查,现将当前调查结果与大家同步:
1.所有版本的京东金融安全技术团队App经过调查,发现安卓系统上的安卓系统App5.0.5这个问题存在于以后的版本中,问题已经定位并下线修复:
1)2018年12月,京东金融App5.0.5版本上线了 *** 截屏反馈功能,此功能的目的是,用户对京东金融App截屏时,我可以截屏京东金融App截屏发送给在线 *** 人员,以提高与在线 *** 的沟通效率。
2)通过安卓系统的两个官方通用类实现此功能ContentObserver和MediaStore用于接收用户手机截屏动作通知的组合调用UniversalImageLoader本通用第三方库实现了截图的本地缓存和预览缩略图的快速显示,但上述技术不具备自动上传图片的能力,图片存在用户手机本地。
3)京东金融App该功能开发存在技术问题,用户将京东金融App切换到后台后,功能继续运行,继续接收新的图片通知(包括截图和照片等),并在手机本地缓存,原功能设计要求在切换后自动停止,属于需求错误开发。同时,经过安全技术团队的深入评估,该功能不应使用手机缓存技术,而应直接使用手机实时内存(RAM)当京东金融实现并增强提醒时,不需要使用手机本地缓存App切换或退出时,自动清空。
2.本次技术问题涉及的新缓存图片仅存在于用户手机本地,京东金融App坚决不私下上传用户照片和截图,全面调查功能,未发现收集未经授权的图片。
我们将立即采取以下措施:
周一,我们将邀请京东金融的权威官方机构App进行全面的安全性检测,并承诺未来每季度进行权威官方检测,及时公告检测结果。
2)下周我们将邀请发现这个问题的人“@瘦肋骨消失的大侠阿木”信息安全顾问小组由用户、外部专家和媒体组成,包括京东金融App对提供的产品和服务进行独立、长期的检查和监督,我们将定期公布咨询小组的检查结果。
3)我们将赋予内部安全技术团队直接否决产品功能的权利,投入更多资源,建立更严格的安全审查机制,对各项技术应用和业务功能进行更严格、更全面的安全测试。
因为我们的低级错误给用户和行业带来了广泛的担忧,损害了京东金融长期积累的用户信任,我们感到非常懊恼、非常悲伤和懊悔。用户信任是京东金融发展的底线。京东金融也坚持正确、成功的商业经营理念。我们永远不会做任何侵犯用户权益的事情。
这个错误是我们在产品开发过程中的一个技术问题。我们从未想过未经用户授权获取用户图片。这一次,我们摔得很重,但请相信我们,京东金融以前没有,未来也不会私下上传用户图片,并愿意接受权威官方机构的测试。我们感谢用户和媒体对我们的监督,并指出我们工作中的漏洞。我们有信心解决这个问题,请继续监督我们。
再次道歉。
京东金融
2019/2/17
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。