京东金融App收集隐私?属开发错误,开源库不背锅

栏目: 软件资讯 · 发布时间: 5年前

内容简介:「大数据时代,人人都在“裸奔”」。本是一句玩笑话,无奈现实却一次又一次地扯掉了遮挡在用户隐私面前的遮羞布。近日,京东金融 App 成为众矢之的,原因是其被网友控诉,在用户不知情的情况下,App 会获取用户截图及照片,窃取隐私。而这究竟是怎么一回事?追溯事件本身,还得从一位技术爱好者、业余开发者、微博博主@瘦出的肋骨已经消失的大侠阿木 发布的一则微博提起。

「大数据时代,人人都在“裸奔”」。本是一句玩笑话,无奈现实却一次又一次地扯掉了遮挡在用户隐私面前的遮羞布。

近日,京东金融 App 成为众矢之的,原因是其被网友控诉,在用户不知情的情况下,App 会获取用户截图及照片,窃取隐私。而这究竟是怎么一回事?

技术宅的发现

追溯事件本身,还得从一位技术爱好者、业余开发者、微博博主@瘦出的肋骨已经消失的大侠阿木 发布的一则微博提起。

昨天凌晨,该博主在微博上发视频控诉,“京东金融 App 会获取用户的敏感图并上传。”

京东金融App收集隐私?属开发错误,开源库不背锅

根据该博主发布的视频显示,测试流程如下(仅在  Android 端):

  • 打开京东金融 App 后,退回到桌面,让该 App 在后台继续运行;

  • 打开另一款招商银行 App,对该 App 任意页面进行截图;

  • 随后打开手机中文件管理器,找到京东金融的文件目录,打开缓存文件后,竟然发现了此前对招商银行 App 页面的截图(android/data/com.jd.jrapp/cache/uil-images)。

紧接着在 20 分钟后,@瘦出的肋骨已经消失的大侠阿木 再次发微博视频表示,“京东金融 App 不止偷截图,还会偷照片”。在此次视频演示中,他同样先打开了京东金融 App,随后打开美颜相机,并使用美颜相机拍摄一张照片保存,如其预料的一样,在上述京东金融 App 的缓存目录下也找到了刚刚摄下照片。

此消息一经爆出,立即引发部分京东金融 App 用户恐慌,甚至也有不少用户称:“复现成功。”对此,在评论区,网友们也展开激烈讨论:

  • 应该是给给了访问相册的权限吧,禁掉权限应该就拿不到图了;

  • 不止京东,国内很多 App 都会把用户隐私按在地上摩擦;

  • 先要确认是不是官方 App 的行为,这个要等官方解答,但作为一个安全从业者,Android 生态上的 App 分发平台及 App 自身的权限管控安全问题确实亟需关注,截屏、麦克风、摄像头权限都是重灾区。

事实上,针对该事件,存在一个最为争议的问题就是,该博主表示的“获取用户的敏感图片并 上传 ”问题。倘若在未经明确告知用户的前提下,将获得的图片上传至京东的服务器端,那么该 App 窃取用户隐私几近实锤了。所以京东金融 App 所获取的用户截图及照片,究竟是保存在了用户个人手机的本地端?还是上传到了服务器端?

技术宅的深挖

基于这一问题,一位软件开发者、知乎作者 @琴梨梨(https://zhuanlan.zhihu.com/p/56875556,已获作者授权 通过反编译代码,对此事件进行了一波简要分析:

以下为解析正文(在不改变原意的基础上,对文字稍做修改):

根据微博网友@瘦出的肋骨已经消失的大侠阿木 爆料的视频中,我们可以看到一个名为 uil-images 的文件夹,接下来,直接进 dex 挖字符串:

京东金融App收集隐私?属开发错误,开源库不背锅

从中,我们发现其全部来自一位昵称为 nostra13 的开发者的开源库。顺藤摸瓜,再去 GitHub 上搜索详情:

京东金融App收集隐私?属开发错误,开源库不背锅

该开源项目获得的 Star 还挺多多嘛,按照道理不应该是开源库的锅啊。

接着爬调用开源库的类并过滤关键词 screenshot 找到了京东金融 App 捕获截图功能代码的这个位置:Lcom/jd/jrapp/bm/common/screenshot/

京东金融App收集隐私?属开发错误,开源库不背锅

从中可以看到一个接收器。接下来,拿着这个接收器倒爬,发现在 activity 基础类里注册了接收器。

京东金融App收集隐私?属开发错误,开源库不背锅

其中包括一个 startlisten 方法,再次返回去找这个方法:

京东金融App收集隐私?属开发错误,开源库不背锅

这个方法很简短,但里面这个 businessshot 为什么要带个 business 字样呢?有点耐人寻味。

接着去找这个方法:

京东金融App收集隐私?属开发错误,开源库不背锅

就一个 iput。因为 iput 要求附加 context,所以肯定存在 iget 且仅存在于这个类里(包括附属类)。

在这个类里搜索变量,发现只有 onShot 方法里有:

京东金融App收集隐私?属开发错误,开源库不背锅

但是按照道理这个方法应该是截屏后去调用的,前面这个注册接收器怎么注册的还是有点迷。

返回基础 activity 类翻,发现这个:

invoke-virtual {v0, v1}, Lcom/jd/jrapp/bm/common/screenshot/ScreenShotListenManager;->setListener(Lcom/jd/jrapp/bm/common/screenshot/ScreenShotListenManager$OnScreenShotListener;)V

看样子这个 manager 类里有问题。

后来发现一个新变量,接着去爬这个变量:

京东金融App收集隐私?属开发错误,开源库不背锅

然后发现这个 manager 里还真有点东西:

京东金融App收集隐私?属开发错误,开源库不背锅

出现在方法 handleMediaRowData 里。再深度探究这个方法,发现又在 handleMediaContentChange 这个方法里。继续往下,发现这个 access 方法:

京东金融App收集隐私?属开发错误,开源库不背锅

其中这个方法的 p1 是个 uri。到这里,感觉已经快接近真相了。

果真,在一个附属类里找到了这个 access 的引用:

京东金融App收集隐私?属开发错误,开源库不背锅

类名 ScreenShotListenManager$MediaContentObserver,似乎是监控媒体变化。

编译这个监听器,找 init:

京东金融App收集隐私?属开发错误,开源库不背锅

找到了 init,在 startListen 方法里。

至此为止,listener 部分分析结束。

接下来要做的是分析这个接收器到底调用开源库做了什么。关键代码在:

sget-object v2, Lcom/jd/jrapp/library/imageloader/ImageOptions;->commonOption:Lcom/nostra13/universalimageloader/core/DisplayImageOptions;

invoke-virtual {v1, p1, v0, v2}, Lcom/jd/jrapp/library/imageloader/JDImageLoader;->displayFile(Ljava/lang/String;Landroid/widget/ImageView;Lcom/nostra13/universalimageloader/core/DisplayImageOptions;)V

这个 displayFile 方法有点蹊跷。

追根溯源,我们发现在 JDImageLoader 里面调用的这个方法如下

.method public displayFile(Ljava/lang/String;Landroid/widget/ImageView;Lcom/nostra13/universalimageloader/core/DisplayImageOptions;)V
.registers 6.prologuenew-instance v0, Ljava/lang/StringBuilder;invoke-direct {v0}, Ljava/lang/StringBuilder;->()Vconst-string/jumbo v1, "file://"invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;move-result-object v0invoke-virtual {v0, p1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;move-result-object v0invoke-virtual {v0}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;move-result-object v0//截止到现在都是在获取uriinvoke-virtual {p0, v0, p2, p3}, Lcom/jd/jrapp/library/imageloader/JDImageLoader;->displayLocalImage(Ljava/lang/String;Landroid/widget/ImageView;Lcom/nostra13/universalimageloader/core/DisplayImageOptions;)V//用开源库展示return-void

.end method

似乎截止到现在,我们也并没有发现 App 的操作出现攻击性代码,看方法名判断是仅仅获取截图并显示。

但是显示之后为什么文件就跑京东金融 App 私有目录里去了?

初步判断和开源库脱不开关系。

于是,继续往下研究,当看到 displayLocalImage 这个方法,我们去找找:

京东金融App收集隐私?属开发错误,开源库不背锅

从中,我们发现调用了另外一个 displayLocalImage 方法。

对此,笔者不禁强烈谴责这种俄罗斯套娃式写法,点名批评!!!

接着我们打开这个套娃看看:

京东金融App收集隐私?属开发错误,开源库不背锅

其中,调用了开源库 displayImage 方法。

精确定位,发现又是个套娃:

京东金融App收集隐私?属开发错误,开源库不背锅

看来,这套娃还不止一层:

京东金融App收集隐私?属开发错误,开源库不背锅

有点意思,接着挖掘。

这会是一个极长的方法,应该对了:

京东金融App收集隐私?属开发错误,开源库不背锅

方法有点长,复制到一个新 smali 里看看。

为了加快分析我们把出现关键文件夹名称的两个类 StorageUtils 和 DefaultConfigurationFactory 放进去搜索,可以得到这个:

京东金融App收集隐私?属开发错误,开源库不背锅

初步推断是用私有目录做缓存。

我们来看看这个方法 createDiskCache:

.method public static createDiskCache(Landroid/content/Context;Lcom/nostra13/universalimageloader/cache/disc/naming/FileNameGenerator;JI)Lcom/nostra13/universalimageloader/cache/disc/DiskCache;
.registers 13invoke-static {p0}, Lcom/nostra13/universalimageloader/core/DefaultConfigurationFactory;->createReserveDiskCacheDir(Landroid/content/Context;)Ljava/io/File;move-result-object v2//建立缓存路径,正是uil-images路径出现的原因const-wide/16 v0, 0x0cmp-long v0, p2, v0if-gtz v0, :cond_cif-lez p4, :cond_1d.line 83:cond_cinvoke-static {p0}, Lcom/nostra13/universalimageloader/utils/StorageUtils;->getIndividualCacheDirectory(Landroid/content/Context;)Ljava/io/File;move-result-object v1//获取路径准备写入:try_start_10new-instance v0, Lcom/nostra13/universalimageloader/cache/disc/impl/ext/LruDiscCache;move-object v3, p1move-wide v4, p2move v6, p4invoke-direct/range {v0 .. v6}, Lcom/nostra13/universalimageloader/cache/disc/impl/ext/LruDiscCache;->(Ljava/io/File;Ljava/io/File;Lcom/nostra13/universalimageloader/cache/disc/naming/FileNameGenerator;JI)V:try_end_18.catch Ljava/io/IOException; {:try_start_10 .. :try_end_18} :catch_19//初始化缓存模块:goto_18return-object v0.line 87:catch_19move-exception v0.line 88invoke-static {v0}, Lcom/nostra13/universalimageloader/utils/L;->e(Ljava/lang/Throwable;)V//异常处理:cond_1dinvoke-static {p0}, Lcom/nostra13/universalimageloader/utils/StorageUtils;->getCacheDirectory(Landroid/content/Context;)Ljava/io/File;move-result-object v1//获取缓存路径准备写入new-instance v0, Lcom/nostra13/universalimageloader/cache/disc/impl/UnlimitedDiscCache;invoke-direct {v0, v1, v2, p1}, Lcom/nostra13/universalimageloader/cache/disc/impl/UnlimitedDiscCache;->(Ljava/io/File;Ljava/io/File;Lcom/nostra13/universalimageloader/cache/disc/naming/FileNameGenerator;)V//初始化缓存限制模块goto :goto_18

.end method

至此为止,结论出来了。

这个开源库用私有目录作为缓存目录,把展示的图片保存在缓存目录下(虽然我不认为这样可以加速加载)。

然后京东金融 App 显示截图的时候调用了开源库,截图就出现在私有目录下了。

并没有恶意代码,挺正常的对吧?

但真的正常吗?京东金融 App 为何要显示用户的截图?

对于这个问题,开源库作者显然不能背锅。还请京东金融 App 程序员站出来,指使 程序员 做出这种 feature 的产品经理也难咎其责。

京东金融回应:绝对不会收集未经用户授权的任何信息,更不会窃取!

从上我们可以看出,在经过知乎作者@琴梨梨(https://zhuanlan.zhihu.com/p/56875556)一轮代码反编译之后,确实并有没发现京东金融 App 上传用户截图及照片至服务器端的代码,那为何其又要收集用户的截图及照片,并将其保存至 App 的私有目录下?

对此,京东金融客服于昨天下午发布声明表示,之所以会有图片缓存,是因为和此前京东金融 App 中上线的一个名为“图片助手”的便利小功能有关。

京东金融App收集隐私?属开发错误,开源库不背锅

此外,其还表示,缓存图片只存储在用户本地手机设备内, 不会上传到京东金融后台。 目前,京东金融 App 已暂时下线“图片助手”小功能,待进一步改进用户安全体验后再上线。

风口浪尖的京东金融

然而对着这样一则回应声明,不少网友们并不买账。主要原因有二。

其一:原爆料微博博主@瘦出的肋骨已经消失的大侠阿木 使用的是 Android 手机进行测试,而京东金融给出的回应声明中却是 iPhone 手机测试截图。虽然在完了两个小时之后,京东金融客服声称:“小编刚才一着急,拿自己的苹果手机就截了。这是同事安卓手机的截图。”

京东金融App收集隐私?属开发错误,开源库不背锅

但通过对比,有网友表示,原声明中苹果手机的截图是 12:07,2个小时之后,补的安卓手机测试截图是 12:04,难道是穿越了?

对于这个问题,如果是京东金融工程师同时用 Android 和 iPhone 对 App 进行了测试,最终运营人员用错了图片,这倒是也可以理解。

但是对于整个声明中,京东金融官方只字未提其 App 私有目录获取照片一事,不少用户也颇为不解。

京东金融App收集隐私?属开发错误,开源库不背锅

对此,就在刚刚,京东金融再次发微博表示,Android 系统上京东金融 App 5.0.5 之后的版本存在上述问题,当前已下线修复。此外会于下周一即明天邀请权威官方机构对京东金融 App 进行全面安全性检测,邀请包括@瘦出的肋骨已经消失的大侠阿木  在内的用户和外部专家、媒体组成信息安全顾问小组,对其服务进行监督。

京东金融App收集隐私?属开发错误,开源库不背锅

道不清的用户隐私,需要时刻警惕的是我们自己

本想为用户提供更为便捷的服务,万万没想到成为了疑似窃取隐私的元凶。事实上,对于任何一款产品,提出质疑未必不是一件好事,毕竟提出问题才会有反思与改进。

其实,这样的类似事件也并非第一次出现。去年,Facebook 深陷“数据泄露门”之中、QQ 浏览器涉嫌私自调动摄像头、百度手机输入法被指擅自调用录音权限、WiFi 万能钥匙被爆窃取 9 亿用户隐私,甚至于几天前,深圳一家 AI 公司被爆出,人脸数据遭到泄露,导致 256 万用户敏感数据惨遭“裸奔”。

如今随着《网络安全法》的日益完善,虽然现状已经有了良好的改善,但是如果用户自身不时刻保持警惕,或许随手点击的一个“同意”,泄露的可能就是自己全部的家底。

参考来源:

  • https://zhuanlan.zhihu.com/p/56875556;

  • https://zhuanlan.zhihu.com/p/56877625,作者:@琴梨梨,本文已获授权,如需转载,请联系原作者。

声明:本文来自CSDN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript设计模式

JavaScript设计模式

Ross Harmes、Dustin Diaz / 谢廷晟 / 人民邮电出版社 / 2008 / 45.00元

本书共有两部分。第一部分给出了实现具体设计模式所需要的面向对象特性的基础知识,主要包括接口、封装和信息隐藏、继承、单体模式等内容。第二部分则专注于各种具体的设计模式及其在JavaScript语言中的应用,主要介绍了工厂模式、桥接模式、组合模式、门面模式等几种常见的模式。为了让每一章中的示例都尽可能地贴近实际应用,书中同时列举了一些JavaScript 程序员最常见的任务,然后运用设计模式使其解决方......一起来看看 《JavaScript设计模式》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码