日前，有網(wǎng)友公布視頻證據(jù)，稱(chēng)京東金融APP（安卓端）存在竊取用戶(hù)敏感信息的問(wèn)題。具體表現(xiàn)在，打開(kāi)程序并置于后臺(tái)，接著登陸任意銀行APP并截圖，結(jié)果該圖片就會(huì)出現(xiàn)在京東APP的本地文件夾中。

隨后，京東金融方面回應(yīng)稱(chēng)，圖片緩存為方便客戶(hù)投訴或建議使用，不會(huì)上傳京東金融后臺(tái)，不會(huì)未經(jīng)允許收集用戶(hù)隱私。

今天下午（2月17日），京東金融客服再次發(fā)布聲明，稱(chēng)排查后，發(fā)現(xiàn)安卓系統(tǒng)上的App 5.0.5以后的版本存在該問(wèn)題，并已定位問(wèn)題且下線(xiàn)修復(fù)。

具體來(lái)說(shuō)，5.0.5新增客戶(hù)截屏反饋功能，但實(shí)際效果是APP切入后臺(tái)后會(huì)繼續(xù)接受新增圖片通知（包括截屏與照片）并在手機(jī)本地緩存，而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能，屬于需求錯(cuò)誤開(kāi)發(fā)。

同時(shí)，京東再次強(qiáng)調(diào)，這些緩存僅保留在用戶(hù)本地，絕沒(méi)有私自上傳，且尚未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

最后，京東金融表示將馬上采取以下措施：

1、邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面安全性檢測(cè)；

2、邀請(qǐng)包括@瘦出的肋骨已經(jīng)消失的大俠阿木 在內(nèi)的用戶(hù)和外部專(zhuān)家、媒體組成信息安全顧問(wèn)小組，對(duì)我們的服務(wù)進(jìn)行監(jiān)督；

3、建立更為嚴(yán)謹(jǐn)?shù)陌踩珜彶闄C(jī)制，對(duì)每一項(xiàng)技術(shù)應(yīng)用和業(yè)務(wù)功能進(jìn)行更加嚴(yán)格、全面的安全測(cè)試。

以下為京東金融客服聲明全文：

1、安全技術(shù)團(tuán)隊(duì)對(duì)所有版本的京東金融App進(jìn)行排查后，發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問(wèn)題，并已定位問(wèn)題且下線(xiàn)修復(fù)：

1）2018年12月，京東金融App5.0.5版本上線(xiàn)了客服截屏反饋功能，此功能的目的是，用戶(hù)對(duì)京東金融App進(jìn)行截屏?xí)r，本人可將京東金融App截屏發(fā)送給在線(xiàn)客服人員，以提高與在線(xiàn)客服的溝通效率。

2）此功能實(shí)現(xiàn)是通過(guò)安卓系統(tǒng)的兩個(gè)官方通用類(lèi)ContentObserver和MediaStore的組合調(diào)用來(lái)接收用戶(hù)手機(jī)截屏動(dòng)作的通知，使用了UniversalImageLoader這個(gè)通用第三方庫(kù)實(shí)現(xiàn)截屏的本地緩存以及預(yù)覽縮略圖快速展示，但上述技術(shù)均不具備圖片自動(dòng)上傳的能力，圖片僅緩存在用戶(hù)手機(jī)本地。

3）京東金融App在該項(xiàng)功能開(kāi)發(fā)上存在技術(shù)問(wèn)題，具體為用戶(hù)將京東金融App切換到后臺(tái)后，該功能繼續(xù)運(yùn)行，繼續(xù)接收新增圖片通知（包括截屏和照片等）并在手機(jī)本地緩存，而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能，屬于需求錯(cuò)誤開(kāi)發(fā)。同時(shí)，經(jīng)過(guò)安全技術(shù)團(tuán)隊(duì)深度評(píng)估，該功能也不應(yīng)該使用手機(jī)緩存技術(shù)來(lái)實(shí)現(xiàn)，應(yīng)該直接使用手機(jī)實(shí)時(shí)內(nèi)存（RAM）實(shí)現(xiàn)并增強(qiáng)提醒，無(wú)需使用手機(jī)本地緩存，當(dāng)京東金融App切換或退出時(shí)，將自動(dòng)清空。

2、此次技術(shù)問(wèn)題涉及的新增緩存圖片僅存在用戶(hù)手機(jī)本地，京東金融App堅(jiān)決沒(méi)有對(duì)用戶(hù)照片和截屏進(jìn)行私自上傳，也對(duì)該功能進(jìn)行了全面排查，并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

對(duì)于上述說(shuō)明，大家可能依然會(huì)質(zhì)疑事實(shí)的真相，我們將馬上采取以下措施：

1）我們周一將邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面的安全性檢測(cè)，并承諾未來(lái)每季度進(jìn)行權(quán)威官方檢測(cè)，及時(shí)公告檢測(cè)結(jié)果。

2）我們下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶(hù)和外部專(zhuān)家、媒體組成信息安全顧問(wèn)小組，對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長(zhǎng)期的檢查監(jiān)督，我們將定期公布顧問(wèn)小組的檢查結(jié)果。

3）我們將賦予內(nèi)部安全技術(shù)團(tuán)隊(duì)對(duì)產(chǎn)品功能的直接否決權(quán)，將投入更多資源，建立更為嚴(yán)謹(jǐn)?shù)陌踩珜彶闄C(jī)制，對(duì)每一項(xiàng)技術(shù)應(yīng)用和業(yè)務(wù)功能進(jìn)行更加嚴(yán)格、全面的安全測(cè)試。

因?yàn)槲覀冞@個(gè)低級(jí)失誤，給用戶(hù)和行業(yè)帶來(lái)廣泛擔(dān)憂(yōu)，傷害到京東金融長(zhǎng)期以來(lái)積累的用戶(hù)信賴(lài)，我們比誰(shuí)都覺(jué)得不值得，非常懊惱、非常痛心、非常自責(zé)。用戶(hù)信賴(lài)是京東金融發(fā)展的底線(xiàn)，京東金融也恪守正道成功的商業(yè)經(jīng)營(yíng)理念，我們絕不會(huì)做任何侵害用戶(hù)權(quán)益的事。

這次的失誤，是我們?cè)诋a(chǎn)品開(kāi)發(fā)過(guò)程中的技術(shù)問(wèn)題，我們從未想過(guò)未經(jīng)用戶(hù)授權(quán)獲取用戶(hù)圖片。這次的跟頭摔得很重，但是請(qǐng)大家相信我們，京東金融之前沒(méi)有、未來(lái)也不會(huì)私自上傳用戶(hù)圖片，并愿意接受權(quán)威官方機(jī)構(gòu)的檢測(cè)。我們感謝用戶(hù)和媒體對(duì)我們的監(jiān)督，并指出我們工作上的漏洞，我們有信心解決，也請(qǐng)大家對(duì)我們繼續(xù)監(jiān)督。

再次致歉。

京東金融

2019/2/17