来源:51CTO
编者按: 在智能手机大行其道的今天,用户隐私保护一直是一根非常敏感的神经,不论是国家监管部门还是应用服务提供商、APP安全公司都在努力营造一个安全可信赖的应用环境。51CTO认为,APP保护好用户隐私是获取消费者信任的基础,也是平台合规发展的根本,绝不能以牺牲用户作为发展的代价。人们痛恶隐私信息被“滥用”,更应加强个人隐私保护安全意识。
前言: 2月16日,有网友称京东金融APP在安卓端存在窃取用户敏感信息的问题。随后,京东金融称排查后的确发现安卓版本存在缓存手机截屏图片问题,但绝无收集用户隐私的操作,目前APP已定位问题并修复。截屏缓存事件在短时间内迅速引发业内关注,业界也纷纷表达了自己的观点。
本期热点话题:
1用户隐私安全是必选项,APP研发如何避免“智商下线”?
2APP应用安全的标准打开方式是什么?
3别动用户的奶酪!还需要走几步?
10亿公民指纹泄漏,2019隐私保护告急
去一年,数据泄漏事件频发,从外卖app、快递到酒店,详细到姓名、手机号码、地址、开房记录的信息,强烈的刺激着公众的神经。而随着我们迈入大数据时代,指纹、面部特征、语音也被纳入信息收集及盗取利用的范畴。
京东金融有话说
京东金融
京东金融对用户质疑APP信息安全的回应
程序低级失误、已下线修复
京东金融App5.0.5版本的客服截屏反馈功能原设计需求是切换后自动停止该功能,但是实际上该项功能开发过程中存在技术问题,具体为用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知并在手机本地缓存,而属于需求错误开发。经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融App切换或退出时,将自动清空。我们本周将邀请权威官方机构对京东金融App进行全面的安全性检测,及时公告检测结果。
资深律师观点
赵占领律师
北京志霖律师事务所副主任
京东金融APP技术BUG说法可信度较高
我认为本次事件很大可能是京东金融APP的技术BUG。首先,京东这种知名企业应该不敢做这种直接、明显违法的事情;其次,用户在手机上截取其他应用软件界面的图片,多数情况下与京东金融之间没有关系,对其实际意义不大;再次,如果真的要通过这种方式收集用户个人信息,应该也不会把用户的截图放在京东金融APP的文件目录里,这容易留下明显的证据;最后,用户的截图被放置于京东金融APP的文件目录里,这个可能只是代表存储于用户手机本地,只有上传到服务器才会涉及到非法收集用户个人信息。
APP安全公司观点
刘舒骐
梆梆安全技术总监
用户隐私保护仍处于初级阶段 APP安全监管势在必行
总体而言,国内的App开发者更多的还是在以业务优先,对于用户隐私的保护仍处于比较初级的阶段。梆梆安全建议对于用户隐私方面的保护,需要“人+技术”综合进行,特别是在App开发者的业务设计阶段,就要保持最小权限原则,不必要的数据不取,通过技术检测机制,自动化分析App索取的各类权限,对于意外的权限提出预警,同时检测对于必要信息的获取、存储、传输是否遵循业界安全最佳实践,多维度的保护用户数据。内外结合,避免类似事件的再次发生。
电子商务专家观点
姚建芳
电子商务研究中心法律权益部分析师
用户隐私泄露原因多种,打铁还需自身硬
今年元旦起正式施行的《电子商务法》多处条款重点涉及了个人信息保护问题。事实上用户信息被窃取由多方原因造成:首先是用户的安全意识不够,其次是平台的安全系统不够严密,再次,平台内部人员监守自盗,这就需要平台加强内部管理,从源头上杜绝此类现象的发生,一旦发现违规人员,严惩不贷。互联网时代下APP侵犯用户隐私的事件频发,作为普通用户,我们应当格外注意对自身隐私信息的保护。因此,在安装APP时,应当留意其获取的授权包括哪些、开启仅在使用期间获取功能、及时关闭不需要的授权。
51CTO态度
为什么截屏缓存事件能引起这么大的风波?其实背后是因为有太多太多的APP平台屡屡泄露用户信息,每一天都有用户数据被灰色产业链不法分子频频通过“撞库”方式盗号,造成平台上账户被盗,带来巨大经济损失,成为了网络安全“重灾区”,所以人们对隐私保护信息绷紧了神经,京东金融这件事只不过引爆了大家对泄露事件的怨气而已。记者认为,个人隐私保护是一个有机工程,政府监管部门也好,APP服务商也好,甚至APP安全公司、用户也好,都必须形成合力才能真正有效保护隐私安全。
51CTO主编周雪