用戶擔(dān)心手機(jī)內(nèi)隱私圖片會(huì)被上傳云端 目前“圖片助手”功能已下線

京東金融致歉 “因?yàn)槲覀冞@個(gè)低級(jí)失誤，給用戶和行業(yè)帶來(lái)廣泛擔(dān)憂，傷害到京東金融長(zhǎng)期以來(lái)積累的用戶信賴，我們比誰(shuí)都覺(jué)得不值得，非常懊惱、非常痛心、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線，京東金融也恪守正道成功的商業(yè)經(jīng)營(yíng)理念，我們絕不會(huì)做任何侵害用戶權(quán)益的事。”

日前，有用戶在微博發(fā)布視頻，爆料京東金融App自動(dòng)保存用戶圖片在安卓手機(jī)的文件夾內(nèi)，并質(zhì)疑京東金融App侵犯用戶隱私。

昨天下午，京東金融發(fā)布技術(shù)排查結(jié)果，承認(rèn)存在技術(shù)失誤，向客戶致歉，但表示相關(guān)緩存圖片僅存在用戶手機(jī)本地，京東金融App絕沒(méi)有對(duì)用戶照片和截屏進(jìn)行私自上傳，也未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

據(jù)悉，京東金融下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者在內(nèi)的用戶和外部專家、媒體組成信息安全顧問(wèn)小組，對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長(zhǎng)期的檢查監(jiān)督，并將定期公布顧問(wèn)小組的檢查結(jié)果。

發(fā)現(xiàn)

京東金融App自動(dòng)保存圖片

用戶擔(dān)心隱私被竊取

微博網(wǎng)友“@瘦出的肋骨已經(jīng)消失的大俠阿木”（以下簡(jiǎn)稱“阿木”）2月16日凌晨2時(shí)13分、2時(shí)35分各上傳一條視頻，質(zhì)疑京東金融App獲取用戶敏感圖片信息。

在第一條視頻，阿木用自己的安卓手機(jī)先將京東金融App打開(kāi)，然后進(jìn)入后臺(tái)運(yùn)行，之后再打開(kāi)招行App，隨意進(jìn)入一個(gè)廣告界面后截圖，再進(jìn)入文件管理器，打開(kāi)目錄，找到京東金融的文件夾，發(fā)現(xiàn)剛才那張截圖就在這個(gè)文件夾里。

第二條視頻，阿木還是跟之前一樣，打開(kāi)并后臺(tái)運(yùn)行京東金融App，之后用美顏相機(jī)隨便拍了一張照片，結(jié)果在京東金融的文件夾里竟也看到了這張新拍的照片。

據(jù)了解，阿木是一名業(yè)余安卓開(kāi)發(fā)者，最近在研究安卓手機(jī)軟件的目錄。2月15日是他發(fā)工資日，當(dāng)天下午他通過(guò)QQ向朋友發(fā)送了招商銀行App的截圖。2月16日凌晨1時(shí)40分，阿木在研究手機(jī)應(yīng)用的文件目錄時(shí)意外發(fā)現(xiàn)京東金融App緩存文件中竟然有這張截圖。于是阿木錄了第一條視頻上傳微博。經(jīng)朋友提醒，阿木發(fā)現(xiàn)使用美顏相機(jī)拍的照片也會(huì)在京東金融文件夾里留下緩存圖片，就上傳了第二條視頻。

阿木的微博發(fā)出后，引起很多網(wǎng)友的關(guān)注，大家最擔(dān)心的是，京東金融App會(huì)把這些用戶手機(jī)里的照片上傳云端收集分析，竊取客戶隱私。

2月16日凌晨3時(shí)23分，也就是阿木的微博發(fā)出一個(gè)小時(shí)左右，京東金融的工作人員就與他聯(lián)系，希望阿木提供京東金融賬號(hào)便于查詢處理，但是被阿木拒絕。當(dāng)天上午，很多網(wǎng)友如法炮制時(shí)，已經(jīng)無(wú)法復(fù)現(xiàn)成功，在京東金融的文件夾里已經(jīng)看不見(jiàn)自己的圖片。

回應(yīng)

“截圖反饋”方便溝通

“圖片助手”暫時(shí)下線

2月16日16時(shí)51分，京東金融客服官方微博發(fā)布“關(guān)于@瘦出的肋骨已經(jīng)消失的大俠阿木反饋問(wèn)題的聲明”。聲明首先回答了大家最關(guān)心的問(wèn)題：為什么會(huì)有圖片緩存？是否為竊取用戶隱私？

京東金融稱，如果用戶打開(kāi)京東金融App后進(jìn)行了截圖，會(huì)認(rèn)為用戶有可能想向客服投訴或建議。為了方便用戶和客服溝通，就在用戶界面的左上角展示圖片提示，用戶可進(jìn)一步選擇是否聯(lián)系客服并發(fā)送圖片。而阿木視頻里的圖片正是該提示圖片在手機(jī)本地的緩存。該緩存圖片僅用于用戶手機(jī)上的提示，只要用戶不選擇發(fā)送給客服，這些圖片都會(huì)乖乖地待在用戶的手機(jī)里，京東金融后臺(tái)系統(tǒng)是絕對(duì)看不到的。

京東金融同時(shí)鄭重承諾，絕不會(huì)收集未經(jīng)用戶授權(quán)的任何信息。緩存圖片只存儲(chǔ)在用戶本地手機(jī)設(shè)備內(nèi)，僅供用戶本地操作提示，不會(huì)上傳到京東金融后臺(tái)系統(tǒng)。圖片只在用戶選擇發(fā)送客服后才會(huì)上傳服務(wù)器，京東金融后臺(tái)系統(tǒng)才會(huì)看到圖片。

京東金融當(dāng)時(shí)向阿木的監(jiān)督表示感謝，也對(duì)廣大用戶致以歉意，并表示暫時(shí)下線“圖片助手”小功能，待進(jìn)一步改進(jìn)用戶安全體驗(yàn)后再上線。

爭(zhēng)論

本地緩存沒(méi)侵犯隱私

拷貝用戶數(shù)據(jù)不能接受

不過(guò)，對(duì)于京東金融的這一回應(yīng)，阿木有不同意見(jiàn)。2月16日17時(shí)11分，也就是京東金融第一份聲明發(fā)出20分鐘后，阿木發(fā)布微博，認(rèn)為京東金融有關(guān)“截圖反饋”的解釋并無(wú)說(shuō)服力，解釋不了他第二條視頻反映的留存美顏相機(jī)照片的問(wèn)題。

阿木寫(xiě)道：“因?yàn)槲业牡诙l視頻還證明了京東金融還會(huì)‘竊取’美顏相機(jī)的照片。這個(gè)和‘截圖反饋’功能毫無(wú)關(guān)系。又怎么解釋呢？另外，技術(shù)角度上講，‘截圖反饋’功能，只需要緩存這張圖片原始的路徑即可，而不需要復(fù)制一份原始圖片，因?yàn)榧壤速M(fèi)時(shí)間，又浪費(fèi)性能，還浪費(fèi)內(nèi)存空間。所以仍然有理由進(jìn)行進(jìn)一步的揣測(cè)，京東金融確實(shí)是為了其他目的才這么做的?！?/p>

有安全技術(shù)專家也認(rèn)為，拷貝用戶數(shù)據(jù)到自己的目錄下，無(wú)論出于什么樣的理由都是不可接受的。

不過(guò)，北京青年報(bào)記者注意到，也有網(wǎng)友在阿木的微博下留言稱，阿木給出的爆料只能證明京東金融這款A(yù)pp在用戶手機(jī)后臺(tái)里不太規(guī)矩，會(huì)收集手機(jī)本地文件里的圖片，但是并沒(méi)有將這些照片上傳到京東服務(wù)器上的直接證據(jù)。畢竟本地圖片緩存不管怎么操作都還是在客戶自己的手機(jī)里，只有私自上傳才會(huì)侵犯客戶隱私。

還有網(wǎng)友認(rèn)為，截圖反饋是App的“標(biāo)準(zhǔn)操作”，其他很多App都有類似功能。京東金融App可能是出了什么 BUG。因?yàn)槿绻嬉脩舻慕貓D，根本不用這么麻煩復(fù)制到自己的目錄，即使要復(fù)制也不可能這么不加掩飾，不會(huì)讓用戶這么輕而易舉地就直接打開(kāi)看見(jiàn)。最大可能這個(gè)截圖攔截是給“反饋”功能使用的，但不知道是由于技術(shù)問(wèn)題還是其他原因變成了攔截所有圖片。

聲明

功能開(kāi)發(fā)存在技術(shù)問(wèn)題

明確“圖片不會(huì)私自上傳”

經(jīng)過(guò)24小時(shí)的全面排查，昨天14時(shí)56分，京東金融官微發(fā)布最新聲明并向客戶致歉。京東金融承認(rèn)開(kāi)發(fā)技術(shù)存在問(wèn)題，但是沒(méi)有對(duì)用戶照片和截屏進(jìn)行私自上傳，經(jīng)排查也未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

京東金融在聲明中稱，安全技術(shù)團(tuán)隊(duì)對(duì)所有版本的京東金融App進(jìn)行排查后，發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問(wèn)題，并已定位問(wèn)題且下線修復(fù)。

根據(jù)京東金融的解釋，2018年12月，京東金融App5.0.5版本上線了客服截屏反饋功能，此功能的目的是，用戶對(duì)京東金融App進(jìn)行截屏?xí)r，本人可將京東金融App截屏發(fā)送給在線客服人員，以提高與在線客服的溝通效率。此功能可以實(shí)現(xiàn)截屏的本地緩存以及預(yù)覽縮略圖快速展示，但技術(shù)上不具備圖片自動(dòng)上傳的能力，圖片僅緩存在用戶手機(jī)本地。

聲明承認(rèn)京東金融App在該項(xiàng)功能開(kāi)發(fā)上存在技術(shù)問(wèn)題，具體為用戶將京東金融App切換到后臺(tái)后，該功能繼續(xù)運(yùn)行，繼續(xù)接收新增圖片通知（包括截屏和照片等）并在手機(jī)本地緩存，而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能，屬于需求錯(cuò)誤開(kāi)發(fā)。同時(shí)，經(jīng)過(guò)安全技術(shù)團(tuán)隊(duì)深度評(píng)估，該功能也不應(yīng)該使用手機(jī)緩存技術(shù)來(lái)實(shí)現(xiàn)，應(yīng)該直接使用手機(jī)實(shí)時(shí)內(nèi)存（RAM）實(shí)現(xiàn)并增強(qiáng)提醒，無(wú)需使用手機(jī)本地緩存，當(dāng)京東金融App切換或退出時(shí)，將自動(dòng)清空。

對(duì)于技術(shù)上的這種低級(jí)失誤，京東金融也表示十分痛心?！耙?yàn)槲覀冞@個(gè)低級(jí)失誤，給用戶和行業(yè)帶來(lái)廣泛擔(dān)憂，傷害到京東金融長(zhǎng)期以來(lái)積累的用戶信賴，我們比誰(shuí)都覺(jué)得不值得，非常懊惱、非常痛心、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線，京東金融也恪守正道成功的商業(yè)經(jīng)營(yíng)理念，我們絕不會(huì)做任何侵害用戶權(quán)益的事?！本〇|金融在致歉聲明中表示，“這次的失誤，是我們?cè)诋a(chǎn)品開(kāi)發(fā)過(guò)程中的技術(shù)問(wèn)題，我們從未想過(guò)未經(jīng)用戶授權(quán)獲取用戶圖片。這次的跟頭摔得很重，但是請(qǐng)大家相信我們，京東金融之前沒(méi)有、未來(lái)也不會(huì)私自上傳用戶圖片，并愿意接受權(quán)威官方機(jī)構(gòu)的檢測(cè)?！?/p>

為徹底打消公眾的疑慮，京東金融表示，周一將邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面的安全性檢測(cè)，并承諾未來(lái)每季度進(jìn)行權(quán)威官方檢測(cè)，及時(shí)公告檢測(cè)結(jié)果。同時(shí)下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家、媒體組成信息安全顧問(wèn)小組，對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長(zhǎng)期的檢查監(jiān)督，并將定期公布顧問(wèn)小組的檢查結(jié)果。

文/本報(bào)記者　程婕