[[257612]]

這兩年，無論是國內(nèi)還是國外，時不時的都會爆出了一些 App 竊取用戶隱私的事件。

用戶對自己的隱私數(shù)據(jù)，也是越來越重視了，在新安裝 App 的時候，也不是對授權(quán)框無腦的點同意，還是會認真看清楚是否符合 App 的屬性。例如一個新聞類的 App 想要獲取通訊錄權(quán)限，這肯定是不合理的。

1.

說到用戶隱私，今天又有 App 出事兒了，事兒主是 京東金融 App。

***被微博網(wǎng)友 @瘦出的肋骨已經(jīng)消失的大俠阿木 發(fā)現(xiàn)，京東金融 App，運行在后臺的時候，會將用戶截圖復(fù)制到 App 的私有目錄中。

視頻內(nèi)演示的步驟是這樣的：

1. 打開京東金融 App，Home 鍵回到桌面。
2. 打開招商銀行 App，隨便找個頁面截圖。
3. 從文件管理器中，找到京東金融的目錄(android/data/com.jd.jdapp)。
4. 在其中的 uil-images 目錄下，可以找到步驟 2 中的截圖文件。

是不是很神奇，無論京東金融拿用戶截圖有什么目的，在私有目錄下存儲用戶截圖這件事情，都是板上釘釘?shù)氖聝毫恕?/p>

視頻的作者，在視頻內(nèi)舉例打開的是招商銀行 App，話術(shù)里也是在說金融，這類用戶比較敏感的 App。

真實情況是，京東金融并沒有對截圖進行區(qū)分，哪怕用戶是對王者榮耀進行截圖，它依然會拷貝到自己的目錄下面，這一點從功能上，是沒有區(qū)分的。

2.

此事發(fā)生之后，京東金融團隊反應(yīng)也很快，立刻發(fā)微博解釋，聲稱保存的截圖，僅作為用戶本地操作，用戶不主動發(fā)送給客服，是不會無感知的將用戶截圖上傳的，以此竊取用戶隱私。在解釋的同時，也同步下線了此功能。

官方的解釋很長，大概意思就是，京東金融 App 內(nèi)，有一個“圖片助手”的小功能，主要是為了方便用戶在截圖后向客服反饋問題。

注意看右上角，在截圖后，頁面會有一個浮動的“圖片助手”，可以幫用戶快捷的反饋問題或者分享。這些就是常規(guī)的功能了，在很多 App 內(nèi)都有類似的功能。

這個功能，主要是為了方便用戶操作，真有問題反饋的時候也覺得很貼心。但是現(xiàn)在問題在于，別家的產(chǎn)品都是僅在 App 在前臺運行時的截圖，才會觸發(fā)此功能。更重要的是，別家的產(chǎn)品也不會將截圖拷貝到自己的私有目錄下，這一點才是大家所關(guān)心的。

在這件事情上，京東金融***的兩個問題在于：

• 收集用戶在京東金融 App 外的截圖。
• 將截圖復(fù)制到京東金融 App 的私有目錄下。

這兩個問題，只要不同時發(fā)生，其實問題都不大，嚴重就嚴重在，它們同時發(fā)生了。

3.

到這里大家是不是好奇，京東金融為什么要將圖片存儲到私有目錄下?實際上如果只是做“圖片助手”去反饋問題這個功能，是不需要把文件存儲到自己的私有目錄下，這么做等于是給自己埋下了隱患。

我猜測應(yīng)該是代碼實現(xiàn)時候，沒有考慮到這些細節(jié)。

知乎用戶 @琴梨梨 通過反編譯，根據(jù)目錄 uil-images 這個字符串，一步步深挖，發(fā)現(xiàn)了真相，有興趣研究細節(jié)的朋友，可以查看文末的引用連接。

首先說明一點，通過反編譯京東金融 App，暫時沒有發(fā)現(xiàn)截圖存在上傳操作。但是為什么會發(fā)生將圖片拷貝到私有目錄的事情呢?

簡單來說，京東金融 App 中使用的圖片加載庫，還是老牌的 Android-Universal-Image-Loader。Image-Loader 這個庫，已經(jīng)好幾年沒有維護了，但是有很多 App 因為歷史等原因，依然在使用它。

我們知道，圖片庫在加載圖片的時候，都會對圖片進行磁盤緩存，Image-Loader 也不例外，它將要顯示的截圖，緩存到了私有目錄下。所以應(yīng)該是“圖片助手”，沒有檢測當前 App 是否在前臺，只要有新的截圖，就會觸發(fā)它顯示截圖的縮略圖，然后用 Image-Loader 去加載圖片，最終導(dǎo)致 Image-Loader 去加載。

這又是一個開源庫引發(fā)的血案，但是這一回，可真怨不得開源庫了。人開源庫的功能沒問題，只是這個業(yè)務(wù)場景，應(yīng)該需要特殊的配置，而不是使用通用的方式進行加載-緩存-顯示。

4.

說回到京東金融的解釋吧，我是信的。

在這個注重隱私的大環(huán)境下，要是真的是為了上傳截圖而做的功能，大概率也會考慮的更多，盡量做的更隱蔽一些。

多半就是一個無心之失，功能實現(xiàn)的時候，沒有考慮到 App 在后臺的場景，并且“錯誤”的使用 Image-Loader 導(dǎo)致圖片被緩存到私有目錄。你說開發(fā)者不知道 Image-Loader 會緩存圖片吧?我是不信的。

要我說，問題就是出在整個流程中，各個崗位對用戶隱私的不重視，導(dǎo)致大家都不會考慮可能的用戶隱私的問題。在整個需求-開發(fā)-測試等環(huán)節(jié)中，檢查清單中并沒有考慮到用戶隱私的問題。

有網(wǎng)友為此還編了段子，大家娛樂一下。

reference：視頻原始微博：https://m.weibo.cn/1620589064/4340143953936952

京東解釋微博：

https://m.weibo.cn/6072759159/4340364808456506

截圖分析(一)- 知乎：

https://zhuanlan.zhihu.com/p/56875556

截圖分析(二)- 知乎：

https://zhuanlan.zhihu.com/p/56877625

【本文為51CTO專欄作者“張旸”的原創(chuàng)稿件，轉(zhuǎn)載請通過微信公眾號聯(lián)系作者獲取授權(quán)】

戳這里，看該作者更多好文