最近两天,阿里和京东都不消停,阿里是因为前员工碰瓷营销,被恶心了以下,京东则是另外一个麻烦。
一名 网友通过微博晒出一段视频,称京东金融 APP 会获取用户的敏感视频并上传。
视频内容显示,京东金融文件目录内将用户的手机截图自动复制。该网友质疑称:" 京东金融你为什么要拿我的银行 App 的截图呢?"
一时间,京东金融APP保存用户截图,涉及侵犯用户隐私的事情成了新闻,引发了各方讨论。
对此,京东金融客服通过官方微博回应该网友称:" 京东金融绝对不会收集未经用户授权的任何信息,更不会窃取,关注到用户反馈的问题后,已经做了技术排查和处理。" 并同期发布长文对该问题做出了详细的解释。但是技术性比较强,网友们也将信将疑,那么事情到底是怎么回事呢?我们来看一下。
一、 京东金融APP为什么被质疑
其实,京东金融APP所谓的侵犯隐私事件是从一个目录开始的。
我们知道,安卓手机的图库会显示手机里面有图片的文件。
在京东金融APP的文件夹里面,包括了用户的截图,当新版本的京东金融APP在后台运行的时候,只要用户通过手机截图,就会保存在京东金融APP的一个缓存文件夹里面。
一般用户不会注意到这个问题,而这名用户注意到了,为什么京东金融APP会保存手机截图的信息(不仅是京东金融的截图,而是手机当时所有的截图。)
京东金融APP为什么要保存手机当时所有截图呢?用户开始质疑,于是就有了这个事件。
二、 京东的解释和事实的真相
对于质疑,京东做了两次解释。第一次说这其实是 2018 年 12 月发布的版本中的一个便利小功能:如果用户打开京东金融 APP 后进行了截图,我们会认为用户有可能向我们的客服投诉或建议。为了方便用户和客服沟通,我们在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。只要用户不选择发送给客服,这些图片会乖乖地待在用户收集里,金融金融后台系统是绝对看不到的。
但是,网友对此并不满意,说既然截取为了客服容易沟通,为什么当京东金融后台开启的时候,不开京东金融时候的截图也会保存呢?
京东金融再次解释,这一App在截图反馈功能开发上存在技术问题。具体为用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。
京东的这个解释是否合理呢?这个就需要看代码了。
这个事情经过其实很简单。
聊天软件和客服软件在沟通的时候,往往是需要截图作为证据的。
为了方便用户找图(截图后不用来回切换找刚才截的图),京东金融APP在2018年12月的版本上,加了一个最近截图直接调用的产品需求。
这个需求没有问题,确实是便民的。
但是,需求是产品经理提出来的,产品还得程序员来写。
于是,程序员就针对这个功能做了更新。
有好事者逆向了安卓的代码,发现程序员在写这个功能的时候,直接调动了一个有这个功能的开源库。
而这个开源库用私有目录作为缓存目录,把展示的图片保存在缓存目录下。
通过这个开源库,客服截图不用找的功能是实现了,但是也罢截图保存到临时缓存目录下面了,而且还没有删除。
于是,就有了这个乌龙事件。
因为,京东金融APP调用的这个开源库,是为了显示截图到客户聊天里面,根本就不上传,所以不涉及侵犯用户隐私。
但是,这个编程的做法,把截图文件保存在缓存目录里面,又没有立即删除,用户能看到,而这个用户又比较敏感。于是就出了这次事件。
京东金融并没有侵犯用户的隐私,但是在开发的时候,只考虑了功能实现,没考虑可能给用户带来的误解,属于测试的不够细致。
这个功能要改也很简单,所以京东金融评估说可以直接从内存中读取,不用那个临时目录保存。
三、 乌龙的启示
这个事情虽然是一场乌龙,但是应该给京东金融或者其他开发者敲起警钟。
一个新功能加上去,可能功能上没有问题,但是这个功能对用户来说不仅是一个功能的问题,而是一个综合体验。
像京东金融这种APP,用户上亿,其中会有各种各样认真的用户,金融类APP安全敏感,你看似可以的实现方式,对用户来说,就可能被认为是侵犯隐私。
能力越大,责任越大,APP用的人越多,改动就要越谨慎。
头条号入驻
4000520066 欢迎批评指正
All Rights Reserved 新浪公司 版权所有
