京东金融 APP 被曝光会获取用户的相册图片并上传

2019-02-16 08:54:16 +08:00
 HanJoker

微博视频链接: https://weibo.com/tv/v/HgQkjgwbe?fid=1034:4340143864405128 今日头条预定...京东最近不太平啊

12044 次点击
所在节点    京东
79 条回复
tumbzzc
2019-02-16 08:57:44 +08:00
我去,b 脸都不要了
lhx2008
2019-02-16 08:58:21 +08:00
看不出来上传,除非有抓包实锤,别动不动就搞个大新闻。不过一个金融 APP 确实不干净。
HanJoker
2019-02-16 09:02:07 +08:00
@lhx2008 哈哈 有道理 等我去测试一波
tumbzzc
2019-02-16 09:06:24 +08:00
实测截图会进入京东金融的数据里面!不管上不上传,但是拿我的截图干嘛??
zjsxwc
2019-02-16 09:09:32 +08:00
看了视频,拦截了截屏事件,倒不是上传用户自己相册图片,我手机能重现,安卓代码写的问题,不能单独监听京东自己 app 的截图
gabon
2019-02-16 09:15:36 +08:00
还好我不用 jd 金融,这些大厂搞得小手段真恶心,工信部狠狠的罚它一笔就老实了
zst
2019-02-16 09:18:02 +08:00
我去,他不挂在后台还能获取到吗
HanJoker
2019-02-16 09:19:11 +08:00
@lhx2008 我看了下 截完图以后确实有一个请求发到京东那边 然后返回来的信息是这样的
{
"resultCode": 0,
"resultMsg": "操作成功",
"resultData": {
"title": "选择反馈的类型",
"list": [{
"image": "https://img12.360buyimg.com/jrpmobile/jfs/t1/3594/31/3680/752/5b9a06d4Ed6c80ce4/bdb18516b9d5a1de.png?width=108&height=108",
"title": "在线客服",
"subTitle": "小京灵客服 3 分钟帮你解决问题",
"fromVersionI": 20800,
"toVersionI": 90000,
"fromVersionA": 50006,
"toVersionA": 90000,
"forward": {
"jumpType": "2",
"jumpUrl": "https://m-jtalk.jd.com/hindex.htm?entrance=20193&source=h5&companyId=1"
},
"exposureData": {
"pJson": " ",
"bid": "jietu1002"
}
}, {
"image": "https://img12.360buyimg.com/jrpmobile/jfs/t19420/153/2491491169/795/8132c4cd/5af540b5Neef1d764.png?width=108&height=108",
"title": "意见反馈",
"subTitle": "向我们反馈遇到的功能异常或建议",
"fromVersionI": 20800,
"toVersionI": 90000,
"fromVersionA": 20800,
"toVersionA": 90000,
"forward": {
"jumpType": "6",
"jumpUrl": "5"
},
"exposureData": {
"pJson": " ",
"bid": "jietu1003"
}
}, {
"image": "https://img12.360buyimg.com/jrpmobile/jfs/t22324/163/12944531/1212/a5141faf/5af53ff0Nfaa881e0.png?width=108&height=108",
"title": "分享微信",
"subTitle": "发送图片给微信朋友",
"fromVersionI": 20800,
"toVersionI": 90000,
"fromVersionA": 20800,
"toVersionA": 90000,
"exposureData": {
"pJson": " ",
"bid": "jietu1004"
}
}]
}
}
至于有没有真的上传还不清楚 不知道他用什么方式上传的 Charles 只能抓 https 我再去研究研究...
HanJoker
2019-02-16 09:20:58 +08:00
@zst 不能吧 我这杀了京东金融后台以后再截图就看不到他的请求了
passerbytiny
2019-02-16 09:23:12 +08:00
京东金融前不久开始垃圾推送了,我已经干掉了它的小红点和声音提醒。
领券签到改成分享、京东金融垃圾推送、走 PDD 的老路……感觉刘强东有点控制不住了,签于目前没有替代品,我已经开始多往沃尔玛跑了。
learnshare
2019-02-16 09:27:35 +08:00
很多国产 App 监听截图事件,并弹出“反馈”功能
littleylv
2019-02-16 09:39:59 +08:00
@learnshare #11 监听截图,提供反馈,我能理解。但不是应该让用户来决定发不发送吗?不是应该弹出来让用户选择吗?偷偷的直接发送就是辣鸡,流氓
zbinlin
2019-02-16 09:45:39 +08:00
@HanJoker 从请求返回的信息来看,我觉得这是一个程序员的锅,估计是把它写得太“智能”了。
learnshare
2019-02-16 09:47:42 +08:00
@littleylv 监听截图这个已经很过分了,又不是做 DRM
orangeade
2019-02-16 09:49:34 +08:00
appops 禁存储权限,它拿个屁
HanJoker
2019-02-16 09:49:38 +08:00
@zbinlin 按照我的思维那个弹出反馈的东西 图标 文案一类的应该写在客户端代码里 不是从服务端拿...
jydeng
2019-02-16 09:59:59 +08:00
我猜测是“反馈”功能
zbinlin
2019-02-16 10:02:45 +08:00
@HanJoker 我不清楚你这条请求的 request url 是什么,是否有 body,不过从 response 看,应该是更新反馈页面的,这从服务端更新亦无不可。
我猜的一种情况:首先 APP 监听截图事件,当用户在截图时,APP “智能”地认为用户是有问题需要反馈的,所以它提前地做“准备”,然后发起请求了。
HanJoker
2019-02-16 10:06:07 +08:00
@zbinlin 有 body 很长一大坨 里面还带了我的设备信息之类的 这里不能丢截图...
martint028
2019-02-16 10:27:20 +08:00
相册图片应该没次获取都申请一下权限就好

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/535526

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX