近日,有网友质疑京东金融APP擅自保存用户图片,涉嫌窃取用户隐私。京东金融对其进行了回应,承认产品存在技术问题,但绝对没有将用户照片和截屏进行私自上传。今日,京东金融独家回应人民网,称已按公告表述于17日如期联系了多家专业权威检测机构,邀请其对京东金融app进行全面安全性检测。截至记者发稿,已经有机构决定受理京东金融app安全检测委托。近日,京东金融将会公布具体进展。
多位业内专家先后向人民网记者表示, “单纯的本地储存照片不会泄露用户隐私。缓存图片是否被任意上传至企业后台和利用方式是否有边界,才是判断隐私泄露与否的关键。”
存图存照片?京东金融:致歉但否认窃取隐私
2月16日,网友@瘦出的肋骨已经消失的大侠阿木(下简称“阿木”) 发布视频称,京东金融APP会获取用户图片并上传。网友打开京东金融APP切换至“后台运行”模式后,打开银行APP界面截图,随后,网友在京东金融的文件目录下,发现了刚刚保存的银行APP界面截图。
银行APP界面截图出现在京东金融的文件目录下(图片来源:微博)
此后,阿木发布第二条视频并表示:“京东金融不止偷截图,还会偷照片。”视频中,阿木在京东金融APP后台运行过程中,使用美颜相机拍照。随后,阿木在京东金融的文件目录下,再次发现了所拍照片。
一天之内,相关内容被大量转发,引起网友讨论。不少网友进行测试,并纷纷回复称确实能够“复现”,并担心京东金融是否会以此举获得自己的隐私信息。
事发当日,京东金融做出首次回应,并在次日作出二次回应。两次回应中,京东金融均拒绝承认窃取用户隐私,但对用户的不良感受致以歉意。
2月16日下午,京东金融通过微博作出承诺称,绝不会收集未经用户授权的任何信息。缓存图片只存储在用户本地手机设备内,不会上传到京东金融后台系统。同时,京东金融APP暂时下线“图片助手”功能,并对给用户带来的不良感受致以歉意。
但是,爆料网友阿木对此番回应并不认可。阿木从技术角度提出,反馈功能的预缓存,只需要缓存图片的原始路径即可,而不需要复制一份原始图片。
次日,京东金融进行第二次回应,承认京东金融APP在客服截屏反馈功能开发上存在技术问题,属于需求错误开发。同时,京东金融表示,本周会邀请权威官方机构对京东金融APP进行全面的安全性检测,并邀请阿木在内的相关人员对京东金融进行长期监督。
如何判断隐私泄露?是否上传缓存图片成关键点
双方各执一词。现在,围绕“储存行为会不会泄露用户信息”、“照片是否被上传照片至京东金融后台”的争议成为了事件的焦点。人民网就此采访了多位相关专业人士求证相关问题。
中国计算机取证专委会委员万涛表示,“目前,市场上许多APP都有类似 ‘截图助手’ 的功能,比如淘宝、微信等。这类设计主要是为了提升用户体验的便捷性。”
一位资深编程人员介绍说,“一般APP提供的类似功能在使用图片时,会直接到图片所在的文件夹中访问。而京东金融则是将图片拷贝至京东金融的文件夹,需要使用照片时,访问京东金融文件夹。”
万涛认为, “就京东金融事件而言,所谓 ‘图片截取’ 的本质是缓存。单纯的缓存并不会泄露用户的隐私。缓存图片是否被任意上传至企业后台和利用方式是否有边界,才是判断隐私泄露与否的关键。”
那么,如何得知缓存图片是否被上传呢?2月17日,京东金融公开表示将于18日邀请第三方权威机构对京东金融APP就“是否泄露用户隐私”问题进行检测。
万涛认为,第三方机构的结果将比京东金融的声明更具有说服力,“第三方检测机构有两种,一种是证明APP本身的安全性,比如不会被黑客攻击等;一种是司法的取证类机构,更善于鉴定企业行为。第三方机构主要是依靠公信力和专业能力立足。只要该机构有足够的资质和公信力,寻求检测是一个比较有效的判断途径。”
专家:预防APP隐私泄露有办法
互联网时代,个人隐私的保护是用户关注的重点话题。
缓存用户照片违法吗?中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领表示,“不管图片内容是否涉及用户个人信息或个人隐私,如果APP仅对于用户的照片进行本地缓存、保存在用户手机里,只要不存在上传等泄露行为,并不违反法律。”但是,他强调,“为了避免用户误解甚至产生恐慌心理,有必要明确告知用户。”
缓存图片后会被上传吗?“在安卓系统下,APP只要获得手机图库读取权限都有可能缓存图库中的图片。”万涛说,“并且,从技术上看,APP获得图库权限后,自动缓存并上传照片是可以做到的,当然这其中也存在资源开销和实际效益问题。但是由于技术水平和条件限制,用户自己很难判断APP缓存的图片是否被上传。”
一位资深编程人员解释说,“因为处于商业保密和效率原因,APP上传下载的数据有可能是被分拆、加密、转码、打包的,这个对于普通用户来说比较难分析,或者仅仅靠截图后流量变化得出结论。”
如何有效避免各类APP盗取用户隐私信息?关闭图库权限,可以避免类似问题。在苹果手机的系统中,对于授权分为“始终授权”、“使用应用期间授权”和“永不授权”三类。万涛建议用户将相关权限调整至“使用应用期间授权”。此外,安卓系统下的授权分类目前仅有“授权”和“不授权”两类,如果图库内容有敏感隐私信息,建议用户在使用完APP后关闭相关图库的授权。
此次事件中,网友在网络平台公开对这种行为提出质疑。一位资深业内人士对这种行为表示认可,“大众的隐私意识增强倒逼厂商在隐私方面做得更完善,能够提供足够强的信用背书以及数据使用报告。”