微博视频链接: https://weibo.com/tv/v/HgQkjgwbe?fid=1034:4340143864405128 今日头条预定...京东最近不太平啊
1
tumbzzc 2019-02-16 08:57:44 +08:00 via Android
我去,b 脸都不要了
|
2
lhx2008 2019-02-16 08:58:21 +08:00
看不出来上传,除非有抓包实锤,别动不动就搞个大新闻。不过一个金融 APP 确实不干净。
|
4
tumbzzc 2019-02-16 09:06:24 +08:00 via Android 3
实测截图会进入京东金融的数据里面!不管上不上传,但是拿我的截图干嘛??
|
5
zjsxwc 2019-02-16 09:09:32 +08:00
看了视频,拦截了截屏事件,倒不是上传用户自己相册图片,我手机能重现,安卓代码写的问题,不能单独监听京东自己 app 的截图
|
6
gabon 2019-02-16 09:15:36 +08:00 via Android 1
还好我不用 jd 金融,这些大厂搞得小手段真恶心,工信部狠狠的罚它一笔就老实了
|
7
zst 2019-02-16 09:18:02 +08:00 via Android
我去,他不挂在后台还能获取到吗
|
8
HanJoker OP @lhx2008 我看了下 截完图以后确实有一个请求发到京东那边 然后返回来的信息是这样的
{ "resultCode": 0, "resultMsg": "操作成功", "resultData": { "title": "选择反馈的类型", "list": [{ "image": "https://img12.360buyimg.com/jrpmobile/jfs/t1/3594/31/3680/752/5b9a06d4Ed6c80ce4/bdb18516b9d5a1de.png?width=108&height=108", "title": "在线客服", "subTitle": "小京灵客服 3 分钟帮你解决问题", "fromVersionI": 20800, "toVersionI": 90000, "fromVersionA": 50006, "toVersionA": 90000, "forward": { "jumpType": "2", "jumpUrl": "https://m-jtalk.jd.com/hindex.htm?entrance=20193&source=h5&companyId=1" }, "exposureData": { "pJson": " ", "bid": "jietu1002" } }, { "image": "https://img12.360buyimg.com/jrpmobile/jfs/t19420/153/2491491169/795/8132c4cd/5af540b5Neef1d764.png?width=108&height=108", "title": "意见反馈", "subTitle": "向我们反馈遇到的功能异常或建议", "fromVersionI": 20800, "toVersionI": 90000, "fromVersionA": 20800, "toVersionA": 90000, "forward": { "jumpType": "6", "jumpUrl": "5" }, "exposureData": { "pJson": " ", "bid": "jietu1003" } }, { "image": "https://img12.360buyimg.com/jrpmobile/jfs/t22324/163/12944531/1212/a5141faf/5af53ff0Nfaa881e0.png?width=108&height=108", "title": "分享微信", "subTitle": "发送图片给微信朋友", "fromVersionI": 20800, "toVersionI": 90000, "fromVersionA": 20800, "toVersionA": 90000, "exposureData": { "pJson": " ", "bid": "jietu1004" } }] } } 至于有没有真的上传还不清楚 不知道他用什么方式上传的 Charles 只能抓 https 我再去研究研究... |
10
passerbytiny 2019-02-16 09:23:12 +08:00
京东金融前不久开始垃圾推送了,我已经干掉了它的小红点和声音提醒。
领券签到改成分享、京东金融垃圾推送、走 PDD 的老路……感觉刘强东有点控制不住了,签于目前没有替代品,我已经开始多往沃尔玛跑了。 |
11
learnshare 2019-02-16 09:27:35 +08:00 2
很多国产 App 监听截图事件,并弹出“反馈”功能
|
12
littleylv 2019-02-16 09:39:59 +08:00 1
@learnshare #11 监听截图,提供反馈,我能理解。但不是应该让用户来决定发不发送吗?不是应该弹出来让用户选择吗?偷偷的直接发送就是辣鸡,流氓
|
14
learnshare 2019-02-16 09:47:42 +08:00
@littleylv 监听截图这个已经很过分了,又不是做 DRM
|
15
orangeade 2019-02-16 09:49:34 +08:00 via Android
appops 禁存储权限,它拿个屁
|
17
jydeng 2019-02-16 09:59:59 +08:00
我猜测是“反馈”功能
|
18
zbinlin 2019-02-16 10:02:45 +08:00
@HanJoker 我不清楚你这条请求的 request url 是什么,是否有 body,不过从 response 看,应该是更新反馈页面的,这从服务端更新亦无不可。
我猜的一种情况:首先 APP 监听截图事件,当用户在截图时,APP “智能”地认为用户是有问题需要反馈的,所以它提前地做“准备”,然后发起请求了。 |
20
martint028 2019-02-16 10:27:20 +08:00
相册图片应该没次获取都申请一下权限就好
|
21
JamesR 2019-02-16 10:41:11 +08:00
|
22
jandou 2019-02-16 10:43:47 +08:00 2
很明显是截图反馈的 bug
你觉得这种低级敏感问题,会让你轻易而举抓住证据?这样很容易被竞争对手搞的好吧。 |
25
ooooo 2019-02-16 11:14:50 +08:00
真的偷偷上传用户相册照片等个人隐私数据的话
这性质就很恶劣了 先看看 |
26
cp333 2019-02-16 11:16:08 +08:00 via iPhone
京东是真的垃圾
|
27
affyun 2019-02-16 11:21:59 +08:00 via Android
装了之后就用 appops 禁了权限读写
|
28
yzkcy 2019-02-16 11:31:10 +08:00 via Android
视频中的操作证明不了标题吧?连包都不抓一下的么。
|
29
namesc 2019-02-16 11:45:27 +08:00 1
金融 APP 都爱干这种“大数据分析”,之前 alipay 不也被抓过在后台偷偷上传用户数据,一天连着 WiFi 能跑上百兆。
对安卓机绝望了,不懂技术又希望保护隐私的用苹果机会好一点,如果像我这样已经不在乎的那就无所谓了。 |
30
iAndychan 2019-02-16 11:53:44 +08:00
又是 Android,那 iOS 一样也可以吧,只要授权了读取照片的权限。
|
31
zhangdawei 2019-02-16 12:03:48 +08:00 via iPhone
这也就是安卓开发不用安卓的原因
|
33
mohoumk2 2019-02-16 12:31:07 +08:00 via Android
我就知道又会有果蛆趁机黑安卓。
|
34
frylkrttj 2019-02-16 13:10:03 +08:00
这是安卓的锅吧,随让它允许随便获取信息
|
35
ifxo 2019-02-16 13:16:50 +08:00
看了下完全就是胡说八道,其实只要有相册权限谁都可以上传,不知道拿京金说事是何居心
|
36
acmetal 2019-02-16 13:29:15 +08:00
京东金融不是被 Google Play 标为危险应用吗,装上后时不时会被 Play 卸载掉。(与本事件无关)
|
38
594duck 2019-02-16 13:51:00 +08:00 via iPhone
androis 哈哈哈,国内隐私啊哈哈哈哈。早晚的时期 n g
|
39
passerbytiny 2019-02-16 13:54:33 +08:00
@just1 #27 你有仔细看本主题吗?楼主第二次发的截完图以后的返回消息,要是没提前上传图片的话,image 的 url 是怎么来的。带图片提交内容时,图片预上传是相当常见的操作。
|
40
acmetal 2019-02-16 14:03:20 +08:00
@passerbytiny 哥们你好歹打开#8 里 image 链接看看图片是什么再怼啊
|
41
windowsuuy 2019-02-16 14:08:46 +08:00
@lhx2008 +1
|
42
elfive 2019-02-16 14:09:29 +08:00 via iPhone
iOS 没给相册权限,还能获取吗?我看了下我还没给他权限的。
其实微信什么也一直监视相册,iOS 上微信拍摄都只能用它程序内部的相机功能组件,以前记得还是调用系统相机的。微信自带的相机辣鸡得一逼。 |
43
windowsuuy 2019-02-16 14:12:42 +08:00
大概应该是京东金融默认截图是消息反馈了?
|
44
icyalala 2019-02-16 14:15:33 +08:00 3
想到了前几天国外 iOS App 被爆录制用户屏幕操作,最终还得到苹果警告: https://www.zhihu.com/question/311519113
结果阿里的咸鱼还在昨天大力宣扬它自己的 Flutter 录屏技术: http://blog.itpub.net/69900359/viewspace-2636134/ 国内技术团队,大部分没有对隐私的敏感。。 |
45
Maskeney 2019-02-16 14:18:21 +08:00 3
不以最坏的心态揣测,估计是野鸡程序员写逻辑写错了,若要说上传还得提供数据包证据才能扣上“并上传”这个帽子
很多 app 都会读取首张图片的 微信 淘宝 京东 大部分是为了点+号 /点搜索框 /扫码的时候立刻弹出图片问你是不是要发送 /扫描 /搜索这张图 如果是我推断的这样,那这个 JD 金融的野鸡程序员这一阵骚操作,把最新图片拷到自己的程序目录行为,无异于自己往裤裆上弄泥巴 |
46
Maskeney 2019-02-16 14:20:05 +08:00
或者还有一种可能就是监听截图事件,最经典的案例就是支付宝,不过支付宝只是监听应用内截图。
|
47
Maskeney 2019-02-16 14:23:06 +08:00
其实上述两种本质上都是通过监听 ContentObserver 媒体数据库的变化实现的,原理上一个样
|
49
Myprincess 2019-02-16 14:36:37 +08:00 1
尽量不要安装国内的 APP,
必须使用时,能禁用的服务一律禁用,使用完就冻结此应用或删除。 注册时只使用干净的号码,没有存储任何手机号。 手机用完就断网处理。 |
50
hpeng 2019-02-16 14:46:35 +08:00 via iPhone
就京东金融的水平大几率是 bug。但是别忘了其他没发现的应用。有些不是全局抓包都发现不了的…
|
51
just1 2019-02-16 14:55:18 +08:00
@passerbytiny #39 img 你点开了吗,那个是 app 图标
|
53
juded 2019-02-16 17:12:44 +08:00
京东金融 play 上貌似一直没上架。
不过我一直用他的微信小程序,那个什么理财一站通来着... |
54
Skyfeng 2019-02-16 17:17:10 +08:00
怕是不止这个 APP
|
55
nicevar 2019-02-16 17:27:42 +08:00
一大堆的 app 有这个功能非要抓出这个来目的也很明显,再说视频中没有任何地方显示上传了图片
|
56
fxxkgw 2019-02-16 17:43:44 +08:00 via iPhone
@Myprincess 如果你是在国内生活的话,好奇你手机里啥样子的。。
|
57
nashxk 2019-02-16 17:48:00 +08:00
重度用户,不过我用到的 iOS。。
|
59
F2Sky 2019-02-16 18:48:21 +08:00 via iPhone
@Myprincess 这样用手机不是太痛苦,用 iPhone 会不会好一些?
|
60
xFrye 2019-02-16 19:11:22 +08:00
我觉得是程序代码写的 bug 概率比较大,出来背锅吧
|
61
Myprincess 2019-02-16 19:29:53 +08:00 1
|
62
hilbertz 2019-02-16 19:32:30 +08:00
腾讯浏览器还直接启动的你的摄像头呢,国产这都不稀奇
|
63
Tounea 2019-02-16 22:22:05 +08:00 via Android 2
国内很多主流 app 在 Google paly 很少见到,有些在 Google Paly 上也是露个脸,安装完应用结果在应用内更新,绕过 Google Paly 安全机制,而且还要跟本应用无关的手机权限,不给权限不给用!我是很想知道像国产 APP 这种尿性,在欧盟国家会不会被罚破产?
|
64
barrelsoil 2019-02-16 22:29:46 +08:00 via Android
Magisk + App Ops
|
65
BOYPT 2019-02-16 22:31:06 +08:00
微信也会啊,你截图后进入聊天框还会问你是不是要发这个图片呢,
啥大惊小怪的。 |
66
dachuige 2019-02-16 22:48:10 +08:00
我靠,我拍的片 是不是也传上去了
|
67
liaoyaoheng 2019-02-17 00:02:30 +08:00
其他 app 的拍照等都会拷贝到自己的文件目录,且改名字隐藏后续(有意隐盖?)。
Google 框架提示为危险应用。 ★是否上传仍需站内的技术大佬确定 |
68
easylee 2019-02-17 00:08:46 +08:00
骂京东 laji 的,真的是笑笑不说话了。
|
69
mario85 2019-02-17 00:26:17 +08:00 via iPhone
支付宝 ios 版(ios 版,ios 版,ios 版)至今还会在支付成功界面静默截图
|
72
belin520 2019-02-17 00:43:45 +08:00 via iPhone
证不证据不重要了,意识形态最重要
|
74
glaucus 2019-02-17 02:52:48 +08:00 via iPhone
我感觉是 BUG,就是一个类似支付宝的截图反馈功能,结果本应该只监听自己 APP 的截图事件变成监听全局了
|
75
jerryrib 2019-02-17 07:06:37 +08:00 via Android
截图反馈只对于当前 APP 界面监听吧
|
76
duanyajuzi 2019-02-17 08:36:46 +08:00
我记得这个软件,Google play 自带的安全扫描会提示,这个软件有问题…
|
77
jandou 2019-02-17 10:56:25 +08:00 via iPhone
@Myprincess 尽量不要在地球生活。
|
78
wdv2ly 2019-02-17 11:22:22 +08:00 via Android 1
微博也就算了,没想到一个技术社区也能这么轻易的带节奏
|
79
ioschen 2019-03-05 17:45:06 +08:00
@learnshare 谷歌 亚马逊最先干的,国产学习而已
|