被指获取用户私人图片 京东金融:系需求错误开发 不会私自上传图片
声明称将邀请第三方组成信息安全顾问小组进行长期检查监督,并公布结果
2月16日凌晨,网友阿木视频质疑京东金融在后台运行时,自动保存用户的照片和在其他App上的截图,涉嫌侵犯隐私。
连续两天,京东金融两次发文回应,“这次失误是产品开发过程中的技术问题,我们从未想过未经用户授权获取用户图片。”
●网友实测
京东金融App会保存其他App截图和图片
在爆料视频中,网友阿木先打开了京东金融App,然后让其在后台运行,接着,阿木打开了招商银行的App,随机打开一个界面并截图,结果发现,在京东金融的文件夹下出现了刚刚的截图。
此外,阿木还实测发现,在后台运行京东金融App的情况下,它也会保存美颜相机拍摄的照片。南都记者注意到,在上述视频发布后,多位网友称可复现京东金融App保存截图的现象。
●京东金融
属需求开发错误,后台运行时停止该功能
对此京东金融回应,去年12月,京东金融App5.05版本上线了客服截屏功能,旨在方便用户快速将截图发送给在线客服人员,但在功能开发上存在技术问题。
具体表现在当用户将京东金融App切换到后台后,该功能仍继续运行,接收新增图片通知,包括截屏和照片,并在手机本地缓存。而原功能设计需求是切换后即自动停止该功能。京东金融方面表示,这属于需求错误开发。
本该使用手机实时内存,退出时可清空图片
同时,安全技术团队评估发现,这项功能设计还存在另一项问题,即不应该使用手机缓存技术来实现该功能。更好的做法应该是,直接使用手机实时内存(RAM)实现,并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。
针对用户普遍关注的新增缓存图片是否会上传的问题,京东金融强调这些图片仅存在于用户手机本地,坚决没有对用户照片和截屏进行私自上传,也对该功能进行了全面排查,并未发现任何一张未经授权的图片被收集。
对于出现这个失误,京东金融方面称,“非常懊恼、非常痛心、非常自责”,从未想过未经用户授权获取用户图片,并表示愿意接受官方机构对其App的安全性进行检测。
据悉,京东金融将在下周邀请问题发现者、外部专家、媒体组成信息安全顾问小组,对京东金融提供的产品和服务进行独立、长期的检查监督,并定期公布检查结果。
●技术专家
京东金融可以不预存图片实现服务所需功能
对于京东金融的最新回复,移动技术专家彭根向南都记者表示,声明中所说的两个“类”的功能在行业中是通用的。它的表现为:当运用系统功能拍照或截图后,系统会提示App有新增截图或拍照。
他还表示,类似在某些聊天App中也会出现京东金融截屏反馈的现象。比如当用户截图或拍照后,聊天App会展示刚刚的截图以提醒是否发送这张截图。
“这种功能的实现方法是多样的。”彭根对南都记者说,一种是京东金融将截图或照片保存在本地的方法,另外,还可以使用声明中所说的使用手机实时内存的方法。声明中提及的使用手机实时内存方法是当切换App(到后台)或退出时,内存将自动清空。彭根就此点向南都记者解释说,具体怎么清空内存,需要看代码怎么写,切换App到后台或退出时可实现清除内存,也可以在结束App进程时清空内存。
●律师说法
图片不上传,只保存本地,不算侵犯用户隐私
南都记者发现,不少App都有类似的图片截屏反馈功能,对图片进行预缓存,这种功能是否会侵犯用户隐私?
京衡律师上海事务所律师余超告诉南都记者,如果图片缓存在用户手机本地,不具备自动上传能力,在退出APP后自动清空,则在技术上无法实现侵犯客户隐私的可能。另一方面,也没证据表明京东金融有侵犯客户隐私的主观故意。也许这就是一个技术失误。
浙江垦丁律师事务所联合创始人麻策也认为,如果真如京东金融所说,截图只是保存在用户本地终端,没有和京东服务器进行回传和交互,且是否上传图片由用户决定,则不应该认定京东有个人信息的违规收集行为。
不可否认的是,在用户隐私焦虑的背景下,这样的失误已经引起用户的担忧。在声明中,京东金融提及,用户信赖是发展的底线,将投入更多资源,建立更为严谨的安全审查机制。采写:南都记者李玲实习生尤一
标签: 京东金融