京东金融：安卓版本存在收集用户图片问题 已下线修复

本篇文章1573字，读完约4分钟

今天下午，京东财经在社交媒体上发布了一份声明，称在检查了京东财经应用的所有版本后，安全技术团队发现安卓应用5.0.5之后的版本存在未经授权收集用户图片的问题，该问题已被离线定位和修复。

京东财经表示，他们没有私下上传用户的照片和截图，并对此功能进行了全面调查，没有发现未经授权的图片被收集。

京东金融表示，将立即采取以下措施:

1.已邀请权威官方机构对京东金融应用进行全面安全测试；

2.邀请用户、外部专家和媒体组成一个信息安全咨询小组来监督我们的服务；

3.建立更加严格的安全审查机制，对每个技术应用和业务功能进行更加严格和全面的安全测试。

据媒体报道，一名网民在微博上发布了一段视频，称京东财经应用将获取用户的敏感照片并上传。视频显示它在手机上打开银行应用程序，然后截图。然后打开文件管理器，找到京东金融的文件目录。在这个目录中，银行应用程序的屏幕截图刚刚出现。

以下是京东金融客户服务声明全文:

1.在检查了京东金融应用的所有版本后，安全技术团队发现安卓系统上app5.0.5之后的版本存在此问题，问题在离线时被找到并修复:

1)2018年12月，京东金融应用app5.0.5版推出客户服务截图反馈功能。此功能的目的是当用户抓取京东金融应用的截图时，我可以将京东金融应用的截图发送给在线客服人员，提高与在线客服的沟通效率。

2)该功能通过安卓两个官方通用类contentobserver和mediastore的联合调用实现，接收用户手机截图动作的通知，通用图像加载器(一个通用的第三方库)实现截图的本地缓存和预览缩略图的快速显示。然而，上述技术都没有自动上传图片的能力，并且图片只被本地缓存在用户的手机上。

3)在京东金融应用中开发该功能存在技术问题。具体来说，在用户将京东财经应用切换到后台后，该功能将继续运行，并继续接收新图片通知(包括截图和照片等)。)并将它们本地缓存在移动电话上。然而，最初的功能设计要求是在切换后自动停止该功能，这是一个错误的发展。同时，经过安全技术团队的深入评估，该功能不应使用手机缓存技术来实现，而应直接使用手机实时内存(ram)来实现和增强，而不使用手机本地缓存。当京东金融应用切换或退出时，它将自动清空空.

2.这个技术问题中涉及的新添加的缓存图片只存在于用户的手机上。京东财经应用坚决没有私下上传用户的照片和截图，并且也对此功能进行了全面的调查，没有发现未经授权的图片被收集。

对于上述解释，大家可能还是会质疑事实的真实性，我们将立即采取以下措施:

1)周一，我们将邀请权威官方机构对京东金融应用进行全面的安全测试，并承诺今后每季度进行一次权威官方测试，并及时公布测试结果。

2)下周，我们将邀请包括该问题的发现者“@英雄阿木瘦骨如柴”在内的用户、外部专家和媒体组成信息安全咨询小组，对京东财经应用提供的产品和服务进行独立、长期的检查和监督，并定期公布咨询小组的检查结果。

3)赋予内部安全技术团队对产品功能的直接否决权，投入更多资源，建立更加严格的安全审查机制，对每项技术应用和业务功能进行更加严格和全面的安全测试。

由于我们的低级失误，引起了用户和行业的广泛关注，也伤害了京东金融长期积累的用户信任。我们比任何人都感到不值得、非常恼火、非常悲伤和非常自责。用户信任是京东金融发展的底线。京东金融也遵循正确和成功的经营理念，我们永远不会做任何侵犯用户权益的事情。

这个错误是产品开发过程中的一个技术问题，我们从来没有想过在没有用户授权的情况下获取用户图片。这个秋天很沉重，但是请相信我们，京东财经之前没有私下上传用户图片，以后也不会上传用户图片，愿意接受权威官方机构的测试。我们感谢用户和媒体的监督，并指出我们工作中的漏洞，我们有信心解决。请继续监督我们。

再次道歉。

京东金融

2019/2/17

来源：搜狐微门户