京东金融炸了,窃取用户敏感截图私自上传

昨晚开始,微信群开始流传一段视频,网友@瘦出的肋骨已经消失的大侠阿木凌晨时发现安卓版京东金融会窃取用户敏感截图例如银行客户端截图。


1.京东金融窃取用户敏感截图


在网友的演示视频中我们可以看到当安卓版京东金融在后台运行时,会将用户招商银行的截图进行保存上传。

这条微博下也有几位网友自己动手进行测试发现问题复现,这意味着京东金融确实在上传用户敏感截图信息。

先看下窃取银行截图的演示视频:(有声音说明)

这条微博下有网友评论表示复现问题:


京东金融炸了,窃取用户敏感截图私自上传_第1张图片

京东金融上传银行截图干嘛:

作为金融类型应用主要向用户推荐各种理财产品,上传银行类截图软件很可能是用来分析用户账户持有资产。

有资产数据后就可以用来向用户推送更精准的理财产品等,从视频中我们可以看到京东金融已保存很多截图。

这种全方位的监视对于用户来说与被强 X有有何区别?如果你以为这就是京东金融,那么下面还有更夸张的。

直接上传用户照片有是为哪般:

这名网友随后发布的演示视频显示京东金融不但私自窃取用户银行类截图还会直接上传用户相机拍照的图片。

监控用户银行账户信息还能向推广理财产品上考虑,但是直接上传用户各种照片信息京东金融到底想干嘛呢?

不论是银行类截图还是用户的照片内容都是极具私密的,京东金融未经用户同意直接窃取又与病毒有何区别。

私自上传用户刚刚拍摄的照片 演示视频:



2.京东金融的隐私政策

通过安装安卓版京东金融我们发现在隐私政策中有提到与相机相册和用户银行账号信息的几条隐私政策说明。

首先看权限方面: 京东金融在安装时需要获得读取存储卡内容,包括修改或删除存储卡的内容(修改包括读取)

隐私政策里提到的访问相册只说是为咨询客服是提供证明,并没有提到在用户非主动发送的情况下私自读取。

个人信息方面京东金融收集的信息包括个人财产证明类信息例如各个银行账户及其他支付工具的账户信息等。

但这也没有提到会通过读取用户银行类截图的形式收集用户账号信息,至少隐私政策披露里京东金融也违规。

京东金融炸了,窃取用户敏感截图私自上传_第2张图片

图片删除后缀避免被用户发现?

从上述视频中我们还可以看到京东金融文件夹中获取的图片全部是问号,问号代表系未识别出文件的格式。

因为京东金融将图片后缀删除并进行顺序编号,对于普通用户来说看到这种文件可能想不起来怎么查文件。

但演示视频中我们可以看到只要使用图片查看器就可以显示内容,这个做法看起来绝对是有意识操作方式。

基于安全考虑建议所有京东金融用户立即卸载京东金融,避免自己的用户信息直接在京东金融窃取下裸奔。

关注蓝点网微博更快更及时的获得新消息和参与讨论:

京东金融炸了,窃取用户敏感截图私自上传_第3张图片


截止本文发布,JD已经发公告在停了这个功能,除了京东金融,我们的手机上都装有一些应用,也就是App,但是在享用这些应用软件便利的同时,一些隐私也可能暴露了!


3.App时代 如何保护隐私


今年1月起,中央网信办等四部委决定在全国范围内组织开展App违法违规收集使用个人信息专项治理。在治理整顿中,相关部门发现,相当多的App都存在过度收集个人信息的情况。


大量普通手机App在安装使用时,都需要申请通讯录、摄像头、短信、录音、位置等多项与其核心功能无关的权限,若用户拒绝某些权限的申请,应用则无法正常使用。


监管部门出手治理整顿,意味着划下了一条红线。有关部门将督促指导相关企业堵塞漏洞,提高对网络犯罪的防范能力。 


京东金融炸了,窃取用户敏感截图私自上传_第4张图片


在移动互联网时代,大家的生活已经被手机App深度捆绑,但是我们也看到,不少手机App研发方、运营方,普遍存在过度收集用户个人信息的现象。保护用户隐私信息不被泄露和侵犯,这就是互联网世界的法律和道德底线所在。


首先,对像京东金融这种过度收集用户个人信息的手机App,必须依法予以处罚,不能总是约谈了之。


另外,要尽快制定和明确手机App获取用户个人信息的合法、正当、必要的标准,要给手机App采集用户信息划定底线和上限,为手机App和用户提供清晰的参考。  


公众号内回复“1”带你进粉丝群640?wx_fmt=gif

你可能感兴趣的:(京东金融炸了,窃取用户敏感截图私自上传)