在过去的两年里,无论是国内还是国外,都会不时爆出一些 App 窃取用户隐私。
用户越来越重视自己的隐私数据,在新安装 App 不同意授权框无脑的点,还是会仔细看是否符合 App 属性。例如,新闻 App 获得通讯录权限肯定是不合理的。
1.
说到用户隐私,今天又有 App 出事了,主要是 京东金融 App。
***微博网友 @瘦肋骨消失的大侠阿木 发现京东金融 App,在后台运行时,用户截图将被复制到 App 的私有目录中。
视频中演示的步骤如下:
不管JD.COM金融拿用户截图的目的是什么,在私人目录下存储用户截图是不是很神奇?
视频的作者,在视频内举例打开的是招商银行 App,还有金融,这种用户比较敏感。App。
事实上,京东金融并没有区分截图。即使用户截图国王的荣耀,它仍然会复制到目录下面,这在功能上没有区别。
2.
事件发生后,京东金融团队反应迅速,立即发送微博解释,声称保存声称保存的截图仅作为用户的本地操作。如果用户不主动将截图发送给客户服务,他们就不会无意识地上传用户截图,以窃取用户隐私。在解释的同时,此功能也同离线。
官方解释很长,可能意味着京东金融 App 内,有一个“图片助手”小功能主要是为了方便用户在截图后向 *** 反馈问题。
注意右上角。截图后,页面会浮动“图片助手”,它可以帮助用户快速反馈或分享问题。这些是常规功能,在许多 App 都有类似的功能。
这个功能,主要是为了方便用户操作,真正的问题反馈也感觉很亲密。但现在的问题是,其他产品只是 App 在前台运行时的截图会触发此功能。更重要的是,其他产品不会将截图复制到自己的私人目录中,这是大家关心的。
在这件事上,京东金融***的两个问题在于:
- 在京东金融 收集用户App 外截图。
- 将截图复制到京东金融 App 私有目录下。
只要这两个问题同时发生,问题就不大,严重的是同时发生的。
3.
你好奇京东金融为什么要把图片存储在私人目录下吗?事实上,如果你只是这样做“图片助手”反馈问题的功能是不需要将文件存储在自己的私人目录中,这相当于为自己埋下了隐患。
我猜这些细节应该是代码实现时没有考虑的。
知乎用户 @根据目录 uil-images 这个字符串,一步一步深挖,发现真相,有兴趣研究细节的朋友,可以查看文末的引用连接。
首先,京东金融 反编译App,截图暂时没有上传。但是为什么要把图片复制到私人目录呢?
简单来说,京东金融 App 中使用的图片加载库仍然是老 Android-Universal-Image-Loader。Image-Loader 这个库已经好几年没有维护了,但是有很多 App 因历史等原因仍在使用。
众所周知,图片库在加载图片时,会对图片进行磁盘缓存,Image-Loader 也不例外。它将显示的截图缓存到私人目录中。所以应该是“图片助手”,目前 尚未检测到App 是否在前台,只要有新的截图,就会触发显示截图的缩略图,然后使用 Image-Loader 去加载图片,最终导致 Image-Loader 去加载。
这是另一个由开源库引起的血案,但这一次,我真的不能抱怨开源库。人类开源库的功能没有问题,但这个业务场景应该需要特殊的配置,而不是通用的加载方式-缓存-显示。
4.
回到京东金融的解释,我相信。
在这种注重隐私的环境下,如果真的是为了上传截图而做的功能,大概率会考虑的更多,尽量做的更隐蔽。
大部分都是无心之失。功能实现时,不考虑 App 后台场景,“错误”的使用 Image-Loader 将图片缓存到私人目录中。你说开发者不知道 Image-Loader 会缓存图片吗?我不相信。
问题是在整个过程中,每个职位都不重视用户隐私,导致每个人都不考虑可能的用户隐私。在整个需求中-开发-在测试等环节中,用户隐私问题不考虑在检查清单中。
有网友为此编了段子,让我们娱乐一下。
reference:视频原创微博:https://m.weibo.cn/1620589064/4340143953936952
京东解释微博:
https://m.weibo.cn/6072759159/4340364808456506
截图分析(1)- 知乎:
https://zhuanlan.zhihu.com/p/56875556
截图分析(2)- 知乎:
https://zhuanlan.zhihu.com/p/56877625
【本文为51CTO专栏作者“张旸”请通过微信微信官方账号联系作者转载原稿获得授权
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。