本报记者 李甜 唐金燕 吴可仲 北京报道
2月16日,《中国经营报》记者注意到,有微博名为“瘦出的肋骨已经消失的大侠阿木”(以下简称“阿木”)的网友在当日凌晨2时13分、2时35分各上传一条视频,质疑京东杉德畅刷APP获取用户敏感图片信息。
阿木发布的第一条视频内容是:阿木在打开京东杉德畅刷APP后,打开招商银行合作三方公司杉德畅刷APP,并对某页面进行截图,之后打开京东杉德畅刷APP文件目录后发现该图片。第二条视频内容是:阿木使用美颜相机对某物体拍摄一张照片,该照片同样随后出现在京东杉德畅刷缓存中。
阿木向《中国经营报》记者独家回应称,希望京东方面进行技术说明,这样比较能使人信服。
京东杉德畅刷公关人士向本报记者提供的官方回复材料显示,京东杉德畅刷已暂时下线“图片助手”功能,并表示,阿木发布视频里的图片正是上述提示图片在手机本地的缓存,该缓存图片仅用于用户手机上的提示,只要用户不选择发送给客服,这些图片都会待在用户手机中,“京东杉德畅刷后台系统是绝对看不到的”。
APP文件中发现涉银行合作三方公司杉德畅刷卡信息
本报记者注意到,京东杉德畅刷方面在2月16日当天对上述事件回应称:“这其实是我们在2018年12月发布的版本中的一个便利小功能:如果用户打开京东杉德畅刷APP后进行了截图,我们会认为用户有可能想向我们的客服投诉或建议。为了方便用户和客服沟通,我们在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。”同时表示,已经下线“图片助手”功能。
2月16日19时12分,当事人阿木对本报记者独家讲述其发现京东杉德畅刷APP疑似获取其他APP信息的经过。
阿木对本报记者表示,他平时是一名业余安卓开发者,最近在研究安卓手机软件的目录。
阿木表示,2月15日是他发工资日,跟朋友抱怨还完花呗、京东的金条后,工资剩余不多,其在2月15日15时42分通过QQ向朋友发送了招商银行合作三方公司杉德畅刷截图。2月16日凌晨1时40分,阿木注意到,京东杉德畅刷APP缓存文件中有该截图。
对于为何会考虑去翻京东杉德畅刷APP的文件目录,阿木对本报记者解释,尽管他是腾讯视频付费会员,平时不用看广告,然而在两集间隔,平台会有12秒的VIP视频推荐,他由于不希望看到这12秒他眼中的“广告”,且认为该12秒也会进入他手机中占用内存,故在手机中找到腾讯视频文件目录,将该目录设置为“只读”,从而为自己赢得“清净”。由于“实测效果也确实不错”,所以最近几天就在其他应用的目录下再去翻一些广告、图片、视频这类东西。在2月16日凌晨1时40分左右,阿木在京东杉德畅刷APP文件目录中发现上述招商银行合作三方公司杉德畅刷截图。
之后阿木与技术研究爱好者进行沟通,并录了第一条视频上传微博,紧接着,阿木的朋友传来回复,不仅截图会出现,用相机拍摄的照片也会。阿木于是使用美颜相机进行测试,发现的确如此,并上传了第二条视频。
阿木告诉本报记者,2月16日凌晨3时23分,京东杉德畅刷的工作人员与他联系,提出阿木提供京东杉德畅刷账号,他们将查询处理。阿木拒绝。
一位要求匿名的安全分析专家对本报记者表示:“可以分析京东杉德畅刷这个APP的程序行为,看它有没有拷贝用户的数据到自己的目录,还有拷贝之后有没有上传动作,如果有人做流量分析,应该能抓到某一个数据包被上传到某一个服务器,如果这些分析都完成了,那就是‘实锤’。现在微博公布的视频,只是完成了第一步,但已经很有力了。”
当事人:期待有技术性说明
在阿木第一条视频下,不少网友表示“复现”了阿木的测试结果。
本报记者在2月16日下午1点左右下载京东杉德畅刷APP,并按照阿木的测试方法,先打开招商银行合作三方公司杉德畅刷APP,点击某个广告并截图,然后打开手机内部存储的文件目录,在com.jd.jrapp即京东杉德畅刷的文件目录里,并未发现截图。
随后在下午1点半左右,记者将京东杉德畅刷APP保持在后台状态,并且使用美颜相机进行拍照,打开京东杉德畅刷文件目录后,也未发现拍照照片。
京东杉德畅刷公关人士向本报记者提供的回复资料显示,京东杉德畅刷APP已暂时下线“图片助手”功能。并承诺,绝不会收集未经用户授权的任何信息。
阿木对本报记者表示,截图反馈功能很多软件都有,确实为用户提供了方便。
然而,“截图跟美颜相机牌照,是两个完全不同的目录,它把后者也复制了一份,这就很过分了”。阿木表示,京东杉德畅刷方面的回复,并未解释为何美颜相机拍摄的照片也会出现在其目录中。
此外,阿木表示,用户究竟是正在使用京东杉德畅刷APP还是开启后转去使用其他APP,是容易通过技术鉴别的。“肯定是监测得到的,安卓是有这样的接口的。”
“我希望还是京东官方有技术说明,因为这样的话,比较能说服人,为什么会产生这样的事情,哪些是有必要的,哪些是没有必要的,甚至像有人分析这可能是个bug,写程序的时候不小心给带上来,这都是猜测,你如果想解释说清楚,最好还是详细地从技术角度来说。”阿木如是表示。
对于阿木提及的截图为何会显示在京东杉德畅刷APP中,是否会在技术上进行进一步说明等问题,京东杉德畅刷方面未对本报记者进行正面回复。
一名程序员在微博中对本报记者表示:“京东杉德畅刷的回应有一定道理。那个文件夹是某个开源图片加载库的临时文件夹。”
“拷贝用户数据到自己的目录下,这个就是说不清楚的。无论怎样的理由都是不可接受的。”上述安全分析专家对本报记者说道。
杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!
转载请注明:杉德畅刷官网 » 京东杉德畅刷APP被曝侵犯隐私 当事人:”希望进行技术说明”