京东金融 APP 被曝光会获取用户的相册图片并上传

京东

相册

头条

太平

79 条回复 • 2019-03-05 17:45:06 +08:00

1

tumbzzc

2019-02-16 08:57:44 +08:00 via Android

我去，b 脸都不要了

2

lhx2008

2019-02-16 08:58:21 +08:00

看不出来上传，除非有抓包实锤，别动不动就搞个大新闻。不过一个金融 APP 确实不干净。

3

HanJoker

OP

2019-02-16 09:02:07 +08:00

@lhx2008 哈哈有道理等我去测试一波

4

tumbzzc

2019-02-16 09:06:24 +08:00 via Android

3

实测截图会进入京东金融的数据里面！不管上不上传，但是拿我的截图干嘛？？

5

zjsxwc

2019-02-16 09:09:32 +08:00

看了视频，拦截了截屏事件，倒不是上传用户自己相册图片，我手机能重现，安卓代码写的问题，不能单独监听京东自己 app 的截图

6

gabon

2019-02-16 09:15:36 +08:00 via Android

1

还好我不用 jd 金融，这些大厂搞得小手段真恶心，工信部狠狠的罚它一笔就老实了

7

zst

2019-02-16 09:18:02 +08:00 via Android

我去，他不挂在后台还能获取到吗

8

HanJoker

OP

2019-02-16 09:19:11 +08:00

@lhx2008 我看了下截完图以后确实有一个请求发到京东那边然后返回来的信息是这样的
{
"resultCode": 0,
"resultMsg": "操作成功",
"resultData": {
"title": "选择反馈的类型",
"list": [{
"image": "https://img12.360buyimg.com/jrpmobile/jfs/t1/3594/31/3680/752/5b9a06d4Ed6c80ce4/bdb18516b9d5a1de.png?width=108&height=108",
"title": "在线客服",
"subTitle": "小京灵客服 3 分钟帮你解决问题",
"fromVersionI": 20800,
"toVersionI": 90000,
"fromVersionA": 50006,
"toVersionA": 90000,
"forward": {
"jumpType": "2",
"jumpUrl": "https://m-jtalk.jd.com/hindex.htm?entrance=20193&source=h5&companyId=1"
},
"exposureData": {
"pJson": " ",
"bid": "jietu1002"
}
}, {
"image": "https://img12.360buyimg.com/jrpmobile/jfs/t19420/153/2491491169/795/8132c4cd/5af540b5Neef1d764.png?width=108&height=108",
"title": "意见反馈",
"subTitle": "向我们反馈遇到的功能异常或建议",
"fromVersionI": 20800,
"toVersionI": 90000,
"fromVersionA": 20800,
"toVersionA": 90000,
"forward": {
"jumpType": "6",
"jumpUrl": "5"
},
"exposureData": {
"pJson": " ",
"bid": "jietu1003"
}
}, {
"image": "https://img12.360buyimg.com/jrpmobile/jfs/t22324/163/12944531/1212/a5141faf/5af53ff0Nfaa881e0.png?width=108&height=108",
"title": "分享微信",
"subTitle": "发送图片给微信朋友",
"fromVersionI": 20800,
"toVersionI": 90000,
"fromVersionA": 20800,
"toVersionA": 90000,
"exposureData": {
"pJson": " ",
"bid": "jietu1004"
}
}]
}
}
至于有没有真的上传还不清楚不知道他用什么方式上传的 Charles 只能抓 https 我再去研究研究...

9

HanJoker

OP

2019-02-16 09:20:58 +08:00

@zst 不能吧我这杀了京东金融后台以后再截图就看不到他的请求了

10

passerbytiny

2019-02-16 09:23:12 +08:00

京东金融前不久开始垃圾推送了，我已经干掉了它的小红点和声音提醒。
领券签到改成分享、京东金融垃圾推送、走 PDD 的老路……感觉刘强东有点控制不住了，签于目前没有替代品，我已经开始多往沃尔玛跑了。

11

learnshare

2019-02-16 09:27:35 +08:00

2

很多国产 App 监听截图事件，并弹出“反馈”功能

12

littleylv

2019-02-16 09:39:59 +08:00

1

@learnshare #11 监听截图，提供反馈，我能理解。但不是应该让用户来决定发不发送吗？不是应该弹出来让用户选择吗？偷偷的直接发送就是辣鸡，流氓

13

zbinlin

2019-02-16 09:45:39 +08:00

@HanJoker 从请求返回的信息来看，我觉得这是一个程序员的锅，估计是把它写得太“智能”了。

14

learnshare

2019-02-16 09:47:42 +08:00

@littleylv 监听截图这个已经很过分了，又不是做 DRM

15

orangeade

2019-02-16 09:49:34 +08:00 via Android

appops 禁存储权限，它拿个屁

16

HanJoker

OP

2019-02-16 09:49:38 +08:00

@zbinlin 按照我的思维那个弹出反馈的东西图标文案一类的应该写在客户端代码里不是从服务端拿...

17

jydeng

2019-02-16 09:59:59 +08:00

我猜测是“反馈”功能

18

zbinlin

2019-02-16 10:02:45 +08:00

@HanJoker 我不清楚你这条请求的 request url 是什么，是否有 body，不过从 response 看，应该是更新反馈页面的，这从服务端更新亦无不可。
我猜的一种情况：首先 APP 监听截图事件，当用户在截图时，APP “智能”地认为用户是有问题需要反馈的，所以它提前地做“准备”，然后发起请求了。

19

HanJoker

OP

2019-02-16 10:06:07 +08:00

@zbinlin 有 body 很长一大坨里面还带了我的设备信息之类的这里不能丢截图...

20

martint028

2019-02-16 10:27:20 +08:00

相册图片应该没次获取都申请一下权限就好

21

JamesR

2019-02-16 10:41:11 +08:00

@orangeade #15
京东金融：
读取您的 USB 存储设备中的内容拒绝
修改或删除您的 USB 存储设备中的内容拒绝

拍摄照片和视频拒绝
录音拒绝

请问这样设置对吗？

22

jandou

2019-02-16 10:43:47 +08:00

2

很明显是截图反馈的 bug

你觉得这种低级敏感问题，会让你轻易而举抓住证据？这样很容易被竞争对手搞的好吧。

23

orangeade

2019-02-16 10:47:18 +08:00 via Android

@JamesR 对

24

JamesR

2019-02-16 10:53:34 +08:00

@orangeade #23 谢谢

25

ooooo

2019-02-16 11:14:50 +08:00

真的偷偷上传用户相册照片等个人隐私数据的话
这性质就很恶劣了

先看看

26

cp333

2019-02-16 11:16:08 +08:00 via iPhone

京东是真的垃圾

27

affyun

2019-02-16 11:21:59 +08:00 via Android

装了之后就用 appops 禁了权限读写

28

yzkcy

2019-02-16 11:31:10 +08:00 via Android

视频中的操作证明不了标题吧？连包都不抓一下的么。

29

namesc

2019-02-16 11:45:27 +08:00

1

金融 APP 都爱干这种“大数据分析”，之前 alipay 不也被抓过在后台偷偷上传用户数据，一天连着 WiFi 能跑上百兆。

对安卓机绝望了，不懂技术又希望保护隐私的用苹果机会好一点，如果像我这样已经不在乎的那就无所谓了。

30

iAndychan

2019-02-16 11:53:44 +08:00

又是 Android，那 iOS 一样也可以吧，只要授权了读取照片的权限。

31

zhangdawei

2019-02-16 12:03:48 +08:00 via iPhone

这也就是安卓开发不用安卓的原因

32

just1

2019-02-16 12:29:44 +08:00

1

@littleylv #12 谁告诉你上传了

33

mohoumk2

2019-02-16 12:31:07 +08:00 via Android

我就知道又会有果蛆趁机黑安卓。

34

frylkrttj

2019-02-16 13:10:03 +08:00

这是安卓的锅吧，随让它允许随便获取信息

35

ifxo

2019-02-16 13:16:50 +08:00

看了下完全就是胡说八道，其实只要有相册权限谁都可以上传，不知道拿京金说事是何居心

36

acmetal

2019-02-16 13:29:15 +08:00

京东金融不是被 Google Play 标为危险应用吗，装上后时不时会被 Play 卸载掉。（与本事件无关）

37

orangeade

2019-02-16 13:48:22 +08:00 via Android

@frylkrttj 怪墙，Google Play 不仅下架了，你安装后还会报毒

38

594duck

2019-02-16 13:51:00 +08:00 via iPhone

androis 哈哈哈，国内隐私啊哈哈哈哈。早晚的时期 n g

39

passerbytiny

2019-02-16 13:54:33 +08:00

@just1 #27 你有仔细看本主题吗？楼主第二次发的截完图以后的返回消息，要是没提前上传图片的话，image 的 url 是怎么来的。带图片提交内容时，图片预上传是相当常见的操作。

40

acmetal

2019-02-16 14:03:20 +08:00

@passerbytiny 哥们你好歹打开#8 里 image 链接看看图片是什么再怼啊

41

windowsuuy

2019-02-16 14:08:46 +08:00

@lhx2008 +1

42

elfive

2019-02-16 14:09:29 +08:00 via iPhone

iOS 没给相册权限，还能获取吗？我看了下我还没给他权限的。

其实微信什么也一直监视相册，iOS 上微信拍摄都只能用它程序内部的相机功能组件，以前记得还是调用系统相机的。微信自带的相机辣鸡得一逼。

43

windowsuuy

2019-02-16 14:12:42 +08:00

大概应该是京东金融默认截图是消息反馈了？

44

icyalala

2019-02-16 14:15:33 +08:00

3

想到了前几天国外 iOS App 被爆录制用户屏幕操作，最终还得到苹果警告： https://www.zhihu.com/question/311519113

结果阿里的咸鱼还在昨天大力宣扬它自己的 Flutter 录屏技术：
http://blog.itpub.net/69900359/viewspace-2636134/

国内技术团队，大部分没有对隐私的敏感。。

45

Maskeney

2019-02-16 14:18:21 +08:00

3

不以最坏的心态揣测，估计是野鸡程序员写逻辑写错了，若要说上传还得提供数据包证据才能扣上“并上传”这个帽子
很多 app 都会读取首张图片的
微信淘宝京东
大部分是为了点+号 /点搜索框 /扫码的时候立刻弹出图片问你是不是要发送 /扫描 /搜索这张图
如果是我推断的这样，那这个 JD 金融的野鸡程序员这一阵骚操作，把最新图片拷到自己的程序目录行为，无异于自己往裤裆上弄泥巴

46

Maskeney

2019-02-16 14:20:05 +08:00

或者还有一种可能就是监听截图事件，最经典的案例就是支付宝，不过支付宝只是监听应用内截图。

47

Maskeney

2019-02-16 14:23:06 +08:00

其实上述两种本质上都是通过监听 ContentObserver 媒体数据库的变化实现的，原理上一个样

48

murmur

2019-02-16 14:24:31 +08:00

@icyalala flutter 是自己录自己的屏吧。。操作 log 只要不涉及敏感信息不是很正常。。

49

Myprincess

2019-02-16 14:36:37 +08:00

1

尽量不要安装国内的 APP，
必须使用时，能禁用的服务一律禁用，使用完就冻结此应用或删除。
注册时只使用干净的号码，没有存储任何手机号。
手机用完就断网处理。

50

hpeng

2019-02-16 14:46:35 +08:00 via iPhone

就京东金融的水平大几率是 bug。但是别忘了其他没发现的应用。有些不是全局抓包都发现不了的…

51

just1

2019-02-16 14:55:18 +08:00

@passerbytiny #39 img 你点开了吗，那个是 app 图标

52

icyalala

2019-02-16 15:42:18 +08:00

@murmur 国外那个文章，说的就是录制自己 App 内部的行为，这还不敏感的话苹果为什么要警告啊。。

53

juded

2019-02-16 17:12:44 +08:00

京东金融 play 上貌似一直没上架。
不过我一直用他的微信小程序，那个什么理财一站通来着...

54

Skyfeng

2019-02-16 17:17:10 +08:00

怕是不止这个 APP

55

nicevar

2019-02-16 17:27:42 +08:00

一大堆的 app 有这个功能非要抓出这个来目的也很明显，再说视频中没有任何地方显示上传了图片

56

fxxkgw

2019-02-16 17:43:44 +08:00 via iPhone

@Myprincess 如果你是在国内生活的话，好奇你手机里啥样子的。。

57

nashxk

2019-02-16 17:48:00 +08:00

重度用户，不过我用到的 iOS。。

58

ZiCraft

2019-02-16 18:13:13 +08:00 via Android

@orangeade 无奈的下策，就像因为存在强奸犯，所以女性出门应该穿加了锁的铁底裤。

59

F2Sky

2019-02-16 18:48:21 +08:00 via iPhone

@Myprincess 这样用手机不是太痛苦，用 iPhone 会不会好一些？

60

xFrye

2019-02-16 19:11:22 +08:00

我觉得是程序代码写的 bug 概率比较大，出来背锅吧

61

Myprincess

2019-02-16 19:29:53 +08:00

1

@fxxkgw @F2Sky 我就是这样使用呀，5 年没安装微博，淘宝之类 APP 了。现在很多人都有两部手机，我的一部是安卓，一部是 WP。一共三个卡，主卡有带通讯录的，使用 WP。安卓手机安装完 APP 后使用完就卸载，用的是第二张 SIM 卡，不安装合作银行的 APP。有安装微信，与支付宝，与京东 APP。其他都没有。美团，滴滴之类使用小程序。经常用的 APP 用完就冻结，只有两个，一个是微信，一个是支付宝，不可能给他联网机会。使用时再联网。其他安卓的 APP，使用完就删除。留着安装包。安卓手机上不存储个人文件及商业文件。也不开定位。