V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
HanJoker
V2EX  ›  京东

京东金融 APP 被曝光会获取用户的相册图片并上传

  •  2
     
  •   HanJoker · 2019-02-16 08:54:16 +08:00 · 12225 次点击
    这是一个创建于 2101 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微博视频链接: https://weibo.com/tv/v/HgQkjgwbe?fid=1034:4340143864405128 今日头条预定...京东最近不太平啊

    79 条回复    2019-03-05 17:45:06 +08:00
    tumbzzc
        1
    tumbzzc  
       2019-02-16 08:57:44 +08:00 via Android
    我去,b 脸都不要了
    lhx2008
        2
    lhx2008  
       2019-02-16 08:58:21 +08:00
    看不出来上传,除非有抓包实锤,别动不动就搞个大新闻。不过一个金融 APP 确实不干净。
    HanJoker
        3
    HanJoker  
    OP
       2019-02-16 09:02:07 +08:00
    @lhx2008 哈哈 有道理 等我去测试一波
    tumbzzc
        4
    tumbzzc  
       2019-02-16 09:06:24 +08:00 via Android   ❤️ 3
    实测截图会进入京东金融的数据里面!不管上不上传,但是拿我的截图干嘛??
    zjsxwc
        5
    zjsxwc  
       2019-02-16 09:09:32 +08:00
    看了视频,拦截了截屏事件,倒不是上传用户自己相册图片,我手机能重现,安卓代码写的问题,不能单独监听京东自己 app 的截图
    gabon
        6
    gabon  
       2019-02-16 09:15:36 +08:00 via Android   ❤️ 1
    还好我不用 jd 金融,这些大厂搞得小手段真恶心,工信部狠狠的罚它一笔就老实了
    zst
        7
    zst  
       2019-02-16 09:18:02 +08:00 via Android
    我去,他不挂在后台还能获取到吗
    HanJoker
        8
    HanJoker  
    OP
       2019-02-16 09:19:11 +08:00
    @lhx2008 我看了下 截完图以后确实有一个请求发到京东那边 然后返回来的信息是这样的
    {
    "resultCode": 0,
    "resultMsg": "操作成功",
    "resultData": {
    "title": "选择反馈的类型",
    "list": [{
    "image": "https://img12.360buyimg.com/jrpmobile/jfs/t1/3594/31/3680/752/5b9a06d4Ed6c80ce4/bdb18516b9d5a1de.png?width=108&height=108",
    "title": "在线客服",
    "subTitle": "小京灵客服 3 分钟帮你解决问题",
    "fromVersionI": 20800,
    "toVersionI": 90000,
    "fromVersionA": 50006,
    "toVersionA": 90000,
    "forward": {
    "jumpType": "2",
    "jumpUrl": "https://m-jtalk.jd.com/hindex.htm?entrance=20193&source=h5&companyId=1"
    },
    "exposureData": {
    "pJson": " ",
    "bid": "jietu1002"
    }
    }, {
    "image": "https://img12.360buyimg.com/jrpmobile/jfs/t19420/153/2491491169/795/8132c4cd/5af540b5Neef1d764.png?width=108&height=108",
    "title": "意见反馈",
    "subTitle": "向我们反馈遇到的功能异常或建议",
    "fromVersionI": 20800,
    "toVersionI": 90000,
    "fromVersionA": 20800,
    "toVersionA": 90000,
    "forward": {
    "jumpType": "6",
    "jumpUrl": "5"
    },
    "exposureData": {
    "pJson": " ",
    "bid": "jietu1003"
    }
    }, {
    "image": "https://img12.360buyimg.com/jrpmobile/jfs/t22324/163/12944531/1212/a5141faf/5af53ff0Nfaa881e0.png?width=108&height=108",
    "title": "分享微信",
    "subTitle": "发送图片给微信朋友",
    "fromVersionI": 20800,
    "toVersionI": 90000,
    "fromVersionA": 20800,
    "toVersionA": 90000,
    "exposureData": {
    "pJson": " ",
    "bid": "jietu1004"
    }
    }]
    }
    }
    至于有没有真的上传还不清楚 不知道他用什么方式上传的 Charles 只能抓 https 我再去研究研究...
    HanJoker
        9
    HanJoker  
    OP
       2019-02-16 09:20:58 +08:00
    @zst 不能吧 我这杀了京东金融后台以后再截图就看不到他的请求了
    passerbytiny
        10
    passerbytiny  
       2019-02-16 09:23:12 +08:00
    京东金融前不久开始垃圾推送了,我已经干掉了它的小红点和声音提醒。
    领券签到改成分享、京东金融垃圾推送、走 PDD 的老路……感觉刘强东有点控制不住了,签于目前没有替代品,我已经开始多往沃尔玛跑了。
    learnshare
        11
    learnshare  
       2019-02-16 09:27:35 +08:00   ❤️ 2
    很多国产 App 监听截图事件,并弹出“反馈”功能
    littleylv
        12
    littleylv  
       2019-02-16 09:39:59 +08:00   ❤️ 1
    @learnshare #11 监听截图,提供反馈,我能理解。但不是应该让用户来决定发不发送吗?不是应该弹出来让用户选择吗?偷偷的直接发送就是辣鸡,流氓
    zbinlin
        13
    zbinlin  
       2019-02-16 09:45:39 +08:00
    @HanJoker 从请求返回的信息来看,我觉得这是一个程序员的锅,估计是把它写得太“智能”了。
    learnshare
        14
    learnshare  
       2019-02-16 09:47:42 +08:00
    @littleylv 监听截图这个已经很过分了,又不是做 DRM
    orangeade
        15
    orangeade  
       2019-02-16 09:49:34 +08:00 via Android
    appops 禁存储权限,它拿个屁
    HanJoker
        16
    HanJoker  
    OP
       2019-02-16 09:49:38 +08:00
    @zbinlin 按照我的思维那个弹出反馈的东西 图标 文案一类的应该写在客户端代码里 不是从服务端拿...
    jydeng
        17
    jydeng  
       2019-02-16 09:59:59 +08:00
    我猜测是“反馈”功能
    zbinlin
        18
    zbinlin  
       2019-02-16 10:02:45 +08:00
    @HanJoker 我不清楚你这条请求的 request url 是什么,是否有 body,不过从 response 看,应该是更新反馈页面的,这从服务端更新亦无不可。
    我猜的一种情况:首先 APP 监听截图事件,当用户在截图时,APP “智能”地认为用户是有问题需要反馈的,所以它提前地做“准备”,然后发起请求了。
    HanJoker
        19
    HanJoker  
    OP
       2019-02-16 10:06:07 +08:00
    @zbinlin 有 body 很长一大坨 里面还带了我的设备信息之类的 这里不能丢截图...
    martint028
        20
    martint028  
       2019-02-16 10:27:20 +08:00
    相册图片应该没次获取都申请一下权限就好
    JamesR
        21
    JamesR  
       2019-02-16 10:41:11 +08:00
    @orangeade #15
    京东金融:
    读取您的 USB 存储设备中的内容 拒绝
    修改或删除您的 USB 存储设备中的内容 拒绝

    拍摄照片和视频 拒绝
    录音 拒绝

    请问这样设置对吗?
    jandou
        22
    jandou  
       2019-02-16 10:43:47 +08:00   ❤️ 2
    很明显是截图反馈的 bug

    你觉得这种低级敏感问题,会让你轻易而举抓住证据?这样很容易被竞争对手搞的好吧。
    orangeade
        23
    orangeade  
       2019-02-16 10:47:18 +08:00 via Android
    @JamesR
    JamesR
        24
    JamesR  
       2019-02-16 10:53:34 +08:00
    @orangeade #23 谢谢
    ooooo
        25
    ooooo  
       2019-02-16 11:14:50 +08:00
    真的偷偷上传用户相册照片等个人隐私数据的话
    这性质就很恶劣了

    先看看
    cp333
        26
    cp333  
       2019-02-16 11:16:08 +08:00 via iPhone
    京东是真的垃圾
    affyun
        27
    affyun  
       2019-02-16 11:21:59 +08:00 via Android
    装了之后就用 appops 禁了权限读写
    yzkcy
        28
    yzkcy  
       2019-02-16 11:31:10 +08:00 via Android
    视频中的操作证明不了标题吧?连包都不抓一下的么。
    namesc
        29
    namesc  
       2019-02-16 11:45:27 +08:00   ❤️ 1
    金融 APP 都爱干这种“大数据分析”,之前 alipay 不也被抓过在后台偷偷上传用户数据,一天连着 WiFi 能跑上百兆。

    对安卓机绝望了,不懂技术又希望保护隐私的用苹果机会好一点,如果像我这样已经不在乎的那就无所谓了。
    iAndychan
        30
    iAndychan  
       2019-02-16 11:53:44 +08:00
    又是 Android,那 iOS 一样也可以吧,只要授权了读取照片的权限。
    zhangdawei
        31
    zhangdawei  
       2019-02-16 12:03:48 +08:00 via iPhone
    这也就是安卓开发不用安卓的原因
    just1
        32
    just1  
       2019-02-16 12:29:44 +08:00   ❤️ 1
    @littleylv #12 谁告诉你上传了
    mohoumk2
        33
    mohoumk2  
       2019-02-16 12:31:07 +08:00 via Android
    我就知道又会有果蛆趁机黑安卓。
    frylkrttj
        34
    frylkrttj  
       2019-02-16 13:10:03 +08:00
    这是安卓的锅吧,随让它允许随便获取信息
    ifxo
        35
    ifxo  
       2019-02-16 13:16:50 +08:00
    看了下完全就是胡说八道,其实只要有相册权限谁都可以上传,不知道拿京金说事是何居心
    acmetal
        36
    acmetal  
       2019-02-16 13:29:15 +08:00
    京东金融不是被 Google Play 标为危险应用吗,装上后时不时会被 Play 卸载掉。(与本事件无关)
    orangeade
        37
    orangeade  
       2019-02-16 13:48:22 +08:00 via Android
    @frylkrttj 怪墙,Google Play 不仅下架了,你安装后还会报毒
    594duck
        38
    594duck  
       2019-02-16 13:51:00 +08:00 via iPhone
    androis 哈哈哈,国内隐私啊哈哈哈哈。早晚的时期 n   g
    passerbytiny
        39
    passerbytiny  
       2019-02-16 13:54:33 +08:00
    @just1 #27 你有仔细看本主题吗?楼主第二次发的截完图以后的返回消息,要是没提前上传图片的话,image 的 url 是怎么来的。带图片提交内容时,图片预上传是相当常见的操作。
    acmetal
        40
    acmetal  
       2019-02-16 14:03:20 +08:00
    @passerbytiny 哥们你好歹打开#8 里 image 链接看看图片是什么再怼啊
    windowsuuy
        41
    windowsuuy  
       2019-02-16 14:08:46 +08:00
    elfive
        42
    elfive  
       2019-02-16 14:09:29 +08:00 via iPhone
    iOS 没给相册权限,还能获取吗?我看了下我还没给他权限的。

    其实微信什么也一直监视相册,iOS 上微信拍摄都只能用它程序内部的相机功能组件,以前记得还是调用系统相机的。微信自带的相机辣鸡得一逼。
    windowsuuy
        43
    windowsuuy  
       2019-02-16 14:12:42 +08:00
    大概应该是京东金融默认截图是消息反馈了?
    icyalala
        44
    icyalala  
       2019-02-16 14:15:33 +08:00   ❤️ 3
    想到了前几天国外 iOS App 被爆录制用户屏幕操作,最终还得到苹果警告: https://www.zhihu.com/question/311519113

    结果阿里的咸鱼还在昨天大力宣扬它自己的 Flutter 录屏技术:
    http://blog.itpub.net/69900359/viewspace-2636134/

    国内技术团队,大部分没有对隐私的敏感。。
    Maskeney
        45
    Maskeney  
       2019-02-16 14:18:21 +08:00   ❤️ 3
    不以最坏的心态揣测,估计是野鸡程序员写逻辑写错了,若要说上传还得提供数据包证据才能扣上“并上传”这个帽子
    很多 app 都会读取首张图片的
    微信 淘宝 京东
    大部分是为了点+号 /点搜索框 /扫码的时候立刻弹出图片问你是不是要发送 /扫描 /搜索这张图
    如果是我推断的这样,那这个 JD 金融的野鸡程序员这一阵骚操作,把最新图片拷到自己的程序目录行为,无异于自己往裤裆上弄泥巴
    Maskeney
        46
    Maskeney  
       2019-02-16 14:20:05 +08:00
    或者还有一种可能就是监听截图事件,最经典的案例就是支付宝,不过支付宝只是监听应用内截图。
    Maskeney
        47
    Maskeney  
       2019-02-16 14:23:06 +08:00
    其实上述两种本质上都是通过监听 ContentObserver 媒体数据库的变化实现的,原理上一个样
    murmur
        48
    murmur  
       2019-02-16 14:24:31 +08:00
    @icyalala flutter 是自己录自己的屏吧。。操作 log 只要不涉及敏感信息不是很正常。。
    Myprincess
        49
    Myprincess  
       2019-02-16 14:36:37 +08:00   ❤️ 1
    尽量不要安装国内的 APP,
    必须使用时,能禁用的服务一律禁用,使用完就冻结此应用或删除。
    注册时只使用干净的号码,没有存储任何手机号。
    手机用完就断网处理。
    hpeng
        50
    hpeng  
       2019-02-16 14:46:35 +08:00 via iPhone
    就京东金融的水平大几率是 bug。但是别忘了其他没发现的应用。有些不是全局抓包都发现不了的…
    just1
        51
    just1  
       2019-02-16 14:55:18 +08:00
    @passerbytiny #39 img 你点开了吗,那个是 app 图标
    icyalala
        52
    icyalala  
       2019-02-16 15:42:18 +08:00
    @murmur 国外那个文章,说的就是录制自己 App 内部的行为,这还不敏感的话苹果为什么要警告啊。。
    juded
        53
    juded  
       2019-02-16 17:12:44 +08:00
    京东金融 play 上貌似一直没上架。
    不过我一直用他的微信小程序,那个什么理财一站通来着...
    Skyfeng
        54
    Skyfeng  
       2019-02-16 17:17:10 +08:00
    怕是不止这个 APP
    nicevar
        55
    nicevar  
       2019-02-16 17:27:42 +08:00
    一大堆的 app 有这个功能非要抓出这个来目的也很明显,再说视频中没有任何地方显示上传了图片
    fxxkgw
        56
    fxxkgw  
       2019-02-16 17:43:44 +08:00 via iPhone
    @Myprincess 如果你是在国内生活的话,好奇你手机里啥样子的。。
    nashxk
        57
    nashxk  
       2019-02-16 17:48:00 +08:00
    重度用户,不过我用到的 iOS。。
    ZiCraft
        58
    ZiCraft  
       2019-02-16 18:13:13 +08:00 via Android
    @orangeade 无奈的下策,就像因为存在强奸犯,所以女性出门应该穿加了锁的铁底裤。
    F2Sky
        59
    F2Sky  
       2019-02-16 18:48:21 +08:00 via iPhone
    @Myprincess 这样用手机不是太痛苦,用 iPhone 会不会好一些?
    xFrye
        60
    xFrye  
       2019-02-16 19:11:22 +08:00
    我觉得是程序代码写的 bug 概率比较大,出来背锅吧
    Myprincess
        61
    Myprincess  
       2019-02-16 19:29:53 +08:00   ❤️ 1
    @fxxkgw @F2Sky 我就是这样使用呀,5 年没安装微博,淘宝之类 APP 了。现在很多人都有两部手机,我的一部是安卓,一部是 WP。一共三个卡,主卡有带通讯录的,使用 WP。安卓手机安装完 APP 后使用完就卸载,用的是第二张 SIM 卡,不安装合作银行的 APP。有安装微信,与支付宝,与京东 APP。其他都没有。美团,滴滴之类使用小程序。经常用的 APP 用完就冻结,只有两个,一个是微信,一个是支付宝,不可能给他联网机会。使用时再联网。其他安卓的 APP,使用完就删除。留着安装包。安卓手机上不存储个人文件及商业文件。也不开定位。
    hilbertz
        62
    hilbertz  
       2019-02-16 19:32:30 +08:00
    腾讯浏览器还直接启动的你的摄像头呢,国产这都不稀奇
    Tounea
        63
    Tounea  
       2019-02-16 22:22:05 +08:00 via Android   ❤️ 2
    国内很多主流 app 在 Google paly 很少见到,有些在 Google Paly 上也是露个脸,安装完应用结果在应用内更新,绕过 Google Paly 安全机制,而且还要跟本应用无关的手机权限,不给权限不给用!我是很想知道像国产 APP 这种尿性,在欧盟国家会不会被罚破产?
    barrelsoil
        64
    barrelsoil  
       2019-02-16 22:29:46 +08:00 via Android
    Magisk + App Ops
    BOYPT
        65
    BOYPT  
       2019-02-16 22:31:06 +08:00
    微信也会啊,你截图后进入聊天框还会问你是不是要发这个图片呢,
    啥大惊小怪的。
    dachuige
        66
    dachuige  
       2019-02-16 22:48:10 +08:00
    我靠,我拍的片 是不是也传上去了
    liaoyaoheng
        67
    liaoyaoheng  
       2019-02-17 00:02:30 +08:00
    其他 app 的拍照等都会拷贝到自己的文件目录,且改名字隐藏后续(有意隐盖?)。

    Google 框架提示为危险应用。

    ★是否上传仍需站内的技术大佬确定
    easylee
        68
    easylee  
       2019-02-17 00:08:46 +08:00
    骂京东 laji 的,真的是笑笑不说话了。
    mario85
        69
    mario85  
       2019-02-17 00:26:17 +08:00 via iPhone
    支付宝 ios 版(ios 版,ios 版,ios 版)至今还会在支付成功界面静默截图
    scoful
        70
    scoful  
       2019-02-17 00:29:57 +08:00
    @HanJoker 帅哥,看看支付宝的,也会
    745839
        71
    745839  
       2019-02-17 00:42:33 +08:00 via iPhone
    @mario85 这是为何用意
    belin520
        72
    belin520  
       2019-02-17 00:43:45 +08:00 via iPhone
    证不证据不重要了,意识形态最重要
    scoful
        73
    scoful  
       2019-02-17 00:52:32 +08:00
    @HanJoker 有朋友发现,其他人的截图跑他手机里了。。。
    glaucus
        74
    glaucus  
       2019-02-17 02:52:48 +08:00 via iPhone
    我感觉是 BUG,就是一个类似支付宝的截图反馈功能,结果本应该只监听自己 APP 的截图事件变成监听全局了
    jerryrib
        75
    jerryrib  
       2019-02-17 07:06:37 +08:00 via Android
    截图反馈只对于当前 APP 界面监听吧
    duanyajuzi
        76
    duanyajuzi  
       2019-02-17 08:36:46 +08:00
    我记得这个软件,Google play 自带的安全扫描会提示,这个软件有问题…
    jandou
        77
    jandou  
       2019-02-17 10:56:25 +08:00 via iPhone
    @Myprincess 尽量不要在地球生活。
    wdv2ly
        78
    wdv2ly  
       2019-02-17 11:22:22 +08:00 via Android   ❤️ 1
    微博也就算了,没想到一个技术社区也能这么轻易的带节奏
    ioschen
        79
    ioschen  
       2019-03-05 17:45:06 +08:00
    @learnshare 谷歌 亚马逊最先干的,国产学习而已
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1281 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 23:51 · PVG 07:51 · LAX 15:51 · JFK 18:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.