首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  京东

京东金融 APP 被曝光会获取用户的相册图片并上传

  •  2
     
  •   HanJoker · 246 天前 · 7962 次点击
    这是一个创建于 246 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微博视频链接: https://weibo.com/tv/v/HgQkjgwbe?fid=1034:4340143864405128 今日头条预定...京东最近不太平啊

    79 回复  |  直到 2019-03-05 17:45:06 +08:00
        1
    tumbzzc   246 天前 via Android
    我去,b 脸都不要了
        2
    lhx2008   246 天前
    看不出来上传,除非有抓包实锤,别动不动就搞个大新闻。不过一个金融 APP 确实不干净。
        3
    HanJoker   246 天前
    @lhx2008 哈哈 有道理 等我去测试一波
        4
    tumbzzc   246 天前 via Android   ♥ 3
    实测截图会进入京东金融的数据里面!不管上不上传,但是拿我的截图干嘛??
        5
    zjsxwc   246 天前
    看了视频,拦截了截屏事件,倒不是上传用户自己相册图片,我手机能重现,安卓代码写的问题,不能单独监听京东自己 app 的截图
        6
    gabon   246 天前 via Android   ♥ 1
    还好我不用 jd 金融,这些大厂搞得小手段真恶心,工信部狠狠的罚它一笔就老实了
        7
    zst   246 天前 via Android
    我去,他不挂在后台还能获取到吗
        8
    HanJoker   246 天前
    @lhx2008 我看了下 截完图以后确实有一个请求发到京东那边 然后返回来的信息是这样的
    {
    "resultCode": 0,
    "resultMsg": "操作成功",
    "resultData": {
    "title": "选择反馈的类型",
    "list": [{
    "image": "https://img12.360buyimg.com/jrpmobile/jfs/t1/3594/31/3680/752/5b9a06d4Ed6c80ce4/bdb18516b9d5a1de.png?width=108&height=108",
    "title": "在线客服",
    "subTitle": "小京灵客服 3 分钟帮你解决问题",
    "fromVersionI": 20800,
    "toVersionI": 90000,
    "fromVersionA": 50006,
    "toVersionA": 90000,
    "forward": {
    "jumpType": "2",
    "jumpUrl": "https://m-jtalk.jd.com/hindex.htm?entrance=20193&source=h5&companyId=1"
    },
    "exposureData": {
    "pJson": " ",
    "bid": "jietu1002"
    }
    }, {
    "image": "https://img12.360buyimg.com/jrpmobile/jfs/t19420/153/2491491169/795/8132c4cd/5af540b5Neef1d764.png?width=108&height=108",
    "title": "意见反馈",
    "subTitle": "向我们反馈遇到的功能异常或建议",
    "fromVersionI": 20800,
    "toVersionI": 90000,
    "fromVersionA": 20800,
    "toVersionA": 90000,
    "forward": {
    "jumpType": "6",
    "jumpUrl": "5"
    },
    "exposureData": {
    "pJson": " ",
    "bid": "jietu1003"
    }
    }, {
    "image": "https://img12.360buyimg.com/jrpmobile/jfs/t22324/163/12944531/1212/a5141faf/5af53ff0Nfaa881e0.png?width=108&height=108",
    "title": "分享微信",
    "subTitle": "发送图片给微信朋友",
    "fromVersionI": 20800,
    "toVersionI": 90000,
    "fromVersionA": 20800,
    "toVersionA": 90000,
    "exposureData": {
    "pJson": " ",
    "bid": "jietu1004"
    }
    }]
    }
    }
    至于有没有真的上传还不清楚 不知道他用什么方式上传的 Charles 只能抓 https 我再去研究研究...
        9
    HanJoker   246 天前
    @zst 不能吧 我这杀了京东金融后台以后再截图就看不到他的请求了
        10
    passerbytiny   246 天前
    京东金融前不久开始垃圾推送了,我已经干掉了它的小红点和声音提醒。
    领券签到改成分享、京东金融垃圾推送、走 PDD 的老路……感觉刘强东有点控制不住了,签于目前没有替代品,我已经开始多往沃尔玛跑了。
        11
    learnshare   246 天前   ♥ 2
    很多国产 App 监听截图事件,并弹出“反馈”功能
        12
    littleylv   246 天前   ♥ 1
    @learnshare #11 监听截图,提供反馈,我能理解。但不是应该让用户来决定发不发送吗?不是应该弹出来让用户选择吗?偷偷的直接发送就是辣鸡,流氓
        13
    zbinlin   246 天前
    @HanJoker 从请求返回的信息来看,我觉得这是一个程序员的锅,估计是把它写得太“智能”了。
        14
    learnshare   246 天前
    @littleylv 监听截图这个已经很过分了,又不是做 DRM
        15
    orangeade   246 天前 via Android
    appops 禁存储权限,它拿个屁
        16
    HanJoker   246 天前
    @zbinlin 按照我的思维那个弹出反馈的东西 图标 文案一类的应该写在客户端代码里 不是从服务端拿...
        17
    jydeng   246 天前
    我猜测是“反馈”功能
        18
    zbinlin   246 天前
    @HanJoker 我不清楚你这条请求的 request url 是什么,是否有 body,不过从 response 看,应该是更新反馈页面的,这从服务端更新亦无不可。
    我猜的一种情况:首先 APP 监听截图事件,当用户在截图时,APP “智能”地认为用户是有问题需要反馈的,所以它提前地做“准备”,然后发起请求了。
        19
    HanJoker   246 天前
    @zbinlin 有 body 很长一大坨 里面还带了我的设备信息之类的 这里不能丢截图...
        20
    martint028   246 天前
    相册图片应该没次获取都申请一下权限就好
        21
    JamesR   246 天前
    @orangeade #15
    京东金融:
    读取您的 USB 存储设备中的内容 拒绝
    修改或删除您的 USB 存储设备中的内容 拒绝

    拍摄照片和视频 拒绝
    录音 拒绝

    请问这样设置对吗?
        22
    jandou   246 天前   ♥ 2
    很明显是截图反馈的 bug

    你觉得这种低级敏感问题,会让你轻易而举抓住证据?这样很容易被竞争对手搞的好吧。
        23
    orangeade   246 天前 via Android
    @JamesR
        24
    JamesR   246 天前
    @orangeade #23 谢谢
        25
    ooooo   246 天前
    真的偷偷上传用户相册照片等个人隐私数据的话
    这性质就很恶劣了

    先看看
        26
    cp333   246 天前 via iPhone
    京东是真的垃圾
        27
    affyun   246 天前 via Android
    装了之后就用 appops 禁了权限读写
        28
    yzkcy   246 天前 via Android
    视频中的操作证明不了标题吧?连包都不抓一下的么。
        29
    namesc   246 天前   ♥ 1
    金融 APP 都爱干这种“大数据分析”,之前 alipay 不也被抓过在后台偷偷上传用户数据,一天连着 WiFi 能跑上百兆。

    对安卓机绝望了,不懂技术又希望保护隐私的用苹果机会好一点,如果像我这样已经不在乎的那就无所谓了。
        30
    iAndychan   246 天前
    又是 Android,那 iOS 一样也可以吧,只要授权了读取照片的权限。
        31
    zhangdawei   246 天前 via iPhone
    这也就是安卓开发不用安卓的原因
        32
    just1   246 天前   ♥ 1
    @littleylv #12 谁告诉你上传了
        33
    mohoumk2   246 天前 via Android
    我就知道又会有果蛆趁机黑安卓。
        34
    frylkrttj   246 天前
    这是安卓的锅吧,随让它允许随便获取信息
        35
    ifxo   246 天前
    看了下完全就是胡说八道,其实只要有相册权限谁都可以上传,不知道拿京金说事是何居心
        36
    acmetal   246 天前
    京东金融不是被 Google Play 标为危险应用吗,装上后时不时会被 Play 卸载掉。(与本事件无关)
        37
    orangeade   246 天前 via Android
    @frylkrttj 怪墙,Google Play 不仅下架了,你安装后还会报毒
        38
    594duck   246 天前 via iPhone
    androis 哈哈哈,国内隐私啊哈哈哈哈。早晚的时期 n   g
        39
    passerbytiny   246 天前
    @just1 #27 你有仔细看本主题吗?楼主第二次发的截完图以后的返回消息,要是没提前上传图片的话,image 的 url 是怎么来的。带图片提交内容时,图片预上传是相当常见的操作。
        40
    acmetal   246 天前
    @passerbytiny 哥们你好歹打开#8 里 image 链接看看图片是什么再怼啊
        41
    windowsuuy   246 天前
        42
    elfive   246 天前 via iPhone
    iOS 没给相册权限,还能获取吗?我看了下我还没给他权限的。

    其实微信什么也一直监视相册,iOS 上微信拍摄都只能用它程序内部的相机功能组件,以前记得还是调用系统相机的。微信自带的相机辣鸡得一逼。
        43
    windowsuuy   246 天前
    大概应该是京东金融默认截图是消息反馈了?
        44
    icyalala   246 天前   ♥ 3
    想到了前几天国外 iOS App 被爆录制用户屏幕操作,最终还得到苹果警告: https://www.zhihu.com/question/311519113

    结果阿里的咸鱼还在昨天大力宣扬它自己的 Flutter 录屏技术:
    http://blog.itpub.net/69900359/viewspace-2636134/

    国内技术团队,大部分没有对隐私的敏感。。
        45
    Maskeney   246 天前   ♥ 3
    不以最坏的心态揣测,估计是野鸡程序员写逻辑写错了,若要说上传还得提供数据包证据才能扣上“并上传”这个帽子
    很多 app 都会读取首张图片的
    微信 淘宝 京东
    大部分是为了点+号 /点搜索框 /扫码的时候立刻弹出图片问你是不是要发送 /扫描 /搜索这张图
    如果是我推断的这样,那这个 JD 金融的野鸡程序员这一阵骚操作,把最新图片拷到自己的程序目录行为,无异于自己往裤裆上弄泥巴
        46
    Maskeney   246 天前
    或者还有一种可能就是监听截图事件,最经典的案例就是支付宝,不过支付宝只是监听应用内截图。
        47
    Maskeney   246 天前
    其实上述两种本质上都是通过监听 ContentObserver 媒体数据库的变化实现的,原理上一个样
        48
    murmur   246 天前
    @icyalala flutter 是自己录自己的屏吧。。操作 log 只要不涉及敏感信息不是很正常。。
        49
    Myprincess   246 天前   ♥ 1
    尽量不要安装国内的 APP,
    必须使用时,能禁用的服务一律禁用,使用完就冻结此应用或删除。
    注册时只使用干净的号码,没有存储任何手机号。
    手机用完就断网处理。
        50
    hpeng   246 天前 via iPhone
    就京东金融的水平大几率是 bug。但是别忘了其他没发现的应用。有些不是全局抓包都发现不了的…
        51
    just1   246 天前
    @passerbytiny #39 img 你点开了吗,那个是 app 图标
        52
    icyalala   246 天前
    @murmur 国外那个文章,说的就是录制自己 App 内部的行为,这还不敏感的话苹果为什么要警告啊。。
        53
    juded   246 天前
    京东金融 play 上貌似一直没上架。
    不过我一直用他的微信小程序,那个什么理财一站通来着...
        54
    Skyfeng   246 天前
    怕是不止这个 APP
        55
    nicevar   246 天前
    一大堆的 app 有这个功能非要抓出这个来目的也很明显,再说视频中没有任何地方显示上传了图片
        56
    fxxkgw   246 天前 via iPhone
    @Myprincess 如果你是在国内生活的话,好奇你手机里啥样子的。。
        57
    nashxk   246 天前
    重度用户,不过我用到的 iOS。。
        58
    ZiCraft   246 天前 via Android
    @orangeade 无奈的下策,就像因为存在强奸犯,所以女性出门应该穿加了锁的铁底裤。
        59
    F2Sky   246 天前 via iPhone
    @Myprincess 这样用手机不是太痛苦,用 iPhone 会不会好一些?
        60
    xFrye   246 天前
    我觉得是程序代码写的 bug 概率比较大,出来背锅吧
        61
    Myprincess   246 天前   ♥ 1
    @fxxkgw @F2Sky 我就是这样使用呀,5 年没安装微博,淘宝之类 APP 了。现在很多人都有两部手机,我的一部是安卓,一部是 WP。一共三个卡,主卡有带通讯录的,使用 WP。安卓手机安装完 APP 后使用完就卸载,用的是第二张 SIM 卡,不安装合作银行的 APP。有安装微信,与支付宝,与京东 APP。其他都没有。美团,滴滴之类使用小程序。经常用的 APP 用完就冻结,只有两个,一个是微信,一个是支付宝,不可能给他联网机会。使用时再联网。其他安卓的 APP,使用完就删除。留着安装包。安卓手机上不存储个人文件及商业文件。也不开定位。
        62
    hilbertz   246 天前
    腾讯浏览器还直接启动的你的摄像头呢,国产这都不稀奇
        63
    Tounea   246 天前 via Android   ♥ 2
    国内很多主流 app 在 Google paly 很少见到,有些在 Google Paly 上也是露个脸,安装完应用结果在应用内更新,绕过 Google Paly 安全机制,而且还要跟本应用无关的手机权限,不给权限不给用!我是很想知道像国产 APP 这种尿性,在欧盟国家会不会被罚破产?
        64
    barrelsoil   246 天前 via Android
    Magisk + App Ops
        65
    BOYPT   246 天前
    微信也会啊,你截图后进入聊天框还会问你是不是要发这个图片呢,
    啥大惊小怪的。
        66
    dachuige   246 天前
    我靠,我拍的片 是不是也传上去了
        67
    liaoyaoheng   246 天前
    其他 app 的拍照等都会拷贝到自己的文件目录,且改名字隐藏后续(有意隐盖?)。

    Google 框架提示为危险应用。

    ★是否上传仍需站内的技术大佬确定
        68
    easylee   246 天前
    骂京东 laji 的,真的是笑笑不说话了。
        69
    mario85   246 天前 via iPhone
    支付宝 ios 版(ios 版,ios 版,ios 版)至今还会在支付成功界面静默截图
        70
    scoful   246 天前
    @HanJoker 帅哥,看看支付宝的,也会
        71
    745839   246 天前 via iPhone
    @mario85 这是为何用意
        72
    belin520   246 天前 via iPhone
    证不证据不重要了,意识形态最重要
        73
    scoful   246 天前
    @HanJoker 有朋友发现,其他人的截图跑他手机里了。。。
        74
    glaucus   246 天前 via iPhone
    我感觉是 BUG,就是一个类似支付宝的截图反馈功能,结果本应该只监听自己 APP 的截图事件变成监听全局了
        75
    jerryrib   246 天前 via Android
    截图反馈只对于当前 APP 界面监听吧
        76
    duanyajuzi   245 天前
    我记得这个软件,Google play 自带的安全扫描会提示,这个软件有问题…
        77
    jandou   245 天前 via iPhone
    @Myprincess 尽量不要在地球生活。
        78
    wdv2ly   245 天前 via Android   ♥ 1
    微博也就算了,没想到一个技术社区也能这么轻易的带节奏
        79
    ioschen   229 天前
    @learnshare 谷歌 亚马逊最先干的,国产学习而已
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1198 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 29ms · UTC 23:39 · PVG 07:39 · LAX 16:39 · JFK 19:39
    ♥ Do have faith in what you're doing.