首页 安全防御正文

京东金融 App 被爆窃取用户隐私?可别又怪开源库!

在过去的两年里,无论是国内还是国外,都会不时爆出一些 App 窃取用户隐私。

用户越来越重视自己的隐私数据,在新安装 App 不同意授权框无脑的点,还是会仔细看是否符合 App 属性。例如,新闻 App 获得通讯录权限肯定是不合理的。

1.

说到用户隐私,今天又有 App 出事了,主要是 京东金融 App。

***微博网友 @瘦肋骨消失的大侠阿木 发现京东金融 App,在后台运行时,用户截图将被复制到 App 的私有目录中。

视频中演示的步骤如下:

               
  • 打开京东金融 App,Home 键回桌面。
  •                
  • 开招商银行 App,随便找页面截图。
  •                
  • 从文件管理器中找到京东金融的目录(android/data/com.jd.jdapp)。
  •                
  • 在其中的 uil-images 在目录下,可以在步骤 2 中找到截图文件。
  • 不管JD.COM金融拿用户截图的目的是什么,在私人目录下存储用户截图是不是很神奇?

    视频的作者,在视频内举例打开的是招商银行 App,还有金融,这种用户比较敏感。App。

    事实上,京东金融并没有区分截图。即使用户截图国王的荣耀,它仍然会复制到目录下面,这在功能上没有区别。

    2.

    事件发生后,京东金融团队反应迅速,立即发送微博解释,声称保存声称保存的截图仅作为用户的本地操作。如果用户不主动将截图发送给客户服务,他们就不会无意识地上传用户截图,以窃取用户隐私。在解释的同时,此功能也同离线。

    官方解释很长,可能意味着京东金融 App 内,有一个“图片助手”小功能主要是为了方便用户在截图后向 *** 反馈问题。

    注意右上角。截图后,页面会浮动“图片助手”,它可以帮助用户快速反馈或分享问题。这些是常规功能,在许多 App 都有类似的功能。

    这个功能,主要是为了方便用户操作,真正的问题反馈也感觉很亲密。但现在的问题是,其他产品只是 App 在前台运行时的截图会触发此功能。更重要的是,其他产品不会将截图复制到自己的私人目录中,这是大家关心的。

    在这件事上,京东金融***的两个问题在于:

                     
    • 在京东金融 收集用户App 外截图。
    •                
    • 将截图复制到京东金融 App 私有目录下。

    只要这两个问题同时发生,问题就不大,严重的是同时发生的。

    3.

    你好奇京东金融为什么要把图片存储在私人目录下吗?事实上,如果你只是这样做“图片助手”反馈问题的功能是不需要将文件存储在自己的私人目录中,这相当于为自己埋下了隐患。

    我猜这些细节应该是代码实现时没有考虑的。

    知乎用户 @根据目录 uil-images 这个字符串,一步一步深挖,发现真相,有兴趣研究细节的朋友,可以查看文末的引用连接。

    首先,京东金融 反编译App,截图暂时没有上传。但是为什么要把图片复制到私人目录呢?

    简单来说,京东金融 App 中使用的图片加载库仍然是老 Android-Universal-Image-Loader。Image-Loader 这个库已经好几年没有维护了,但是有很多 App 因历史等原因仍在使用。

    众所周知,图片库在加载图片时,会对图片进行磁盘缓存,Image-Loader 也不例外。它将显示的截图缓存到私人目录中。所以应该是“图片助手”,目前 尚未检测到App 是否在前台,只要有新的截图,就会触发显示截图的缩略图,然后使用 Image-Loader 去加载图片,最终导致 Image-Loader 去加载。

    这是另一个由开源库引起的血案,但这一次,我真的不能抱怨开源库。人类开源库的功能没有问题,但这个业务场景应该需要特殊的配置,而不是通用的加载方式-缓存-显示。

    4.

    回到京东金融的解释,我相信。

    在这种注重隐私的环境下,如果真的是为了上传截图而做的功能,大概率会考虑的更多,尽量做的更隐蔽。

    大部分都是无心之失。功能实现时,不考虑 App 后台场景,“错误”的使用 Image-Loader 将图片缓存到私人目录中。你说开发者不知道 Image-Loader 会缓存图片吗?我不相信。

    问题是在整个过程中,每个职位都不重视用户隐私,导致每个人都不考虑可能的用户隐私。在整个需求中-开发-在测试等环节中,用户隐私问题不考虑在检查清单中。

    有网友为此编了段子,让我们娱乐一下。


    reference:视频原创微博:https://m.weibo.cn/1620589064/4340143953936952

    京东解释微博:

    https://m.weibo.cn/6072759159/4340364808456506

    截图分析(1)- 知乎:

    https://zhuanlan.zhihu.com/p/56875556

    截图分析(2)- 知乎:

    https://zhuanlan.zhihu.com/p/56877625

    【本文为51CTO专栏作者“张旸”请通过微信微信官方账号联系作者转载原稿获得授权

    戳这里,看作者更好的文章

       
    版权声明

    本文仅代表作者观点,不代表本站立场。
    本文系作者授权发表,未经许可,不得转载。