2月16日,微博用户“瘦出的肋骨已经消失的大侠阿木”曝光Android版本的京东金融APP会在后台窃取用户手机上其他金融APP的截图和用户拍照照片。此事迅速引起媒体和大量网友关注,有媒体报道京东金融APP偷偷窃取用户敏感数据并上传。
京东金融方面对此事件迅速做出反应,于2月17日发布相关声明,该声明称对微博发布的京东金融APP安全问题进行了调查,并组织技术人员进行了排查,声明重点内容包括:
1.安全团队确认Android版京东金融5.0.5版本后的APP存在微博曝光的情况,其目的是方便用户向在线客服反馈问题;
2.该功能通过第三方库实现截屏本地缓存和预览缩略图快速显示,本地缓存的图片并未上传;
3.承认京东金融APP存在问题,在切换到后台后,继续对截图、拍照等新增图片进行缓存,属于需求错误开发。
京东金融在声明中表示,将邀请权威机构对其APP进行全面的安全检测,及时公告检测结果,并邀请问题发现者、外部安全专家、媒体等人员组成信息安全顾问小组,对其APP产品、服务等进行长期检查监督。
目前该事件还没有明确的结论,京东金融方的声明也表达正视问题、解决问题的姿态。从当前公开的信息来看,京东金融APP即便最终证明其并未窃取和上传用户敏感信息,其对截图进行缓存的行为也可能导致用户敏感信息泄露。希望此事件能引起相关监管机构的重视,及时组织权威公正的第三方进行调查,给出公正的结论。
此事件也凸显了加强APP监管的紧迫性。手机涉及使用者的大量个人敏感信息,包括个人信息、账号口令、隐私以及用户偏好和行为数据等,这些信息的巨大价值必然会让黑色产业链觊觎。
中国软件评测中心网络空间安全测评工程技术中心建议从以下几方面加强APP监管,保护用户合法权益。
一是加强对APP的管理,对存在侵犯用户合法权益的恶意APP进行严厉打击。窃取用户个人信息等行为已经违反了国家相关法律规定,应对相关责任主体追究责任并严惩,对APP开发者形成威慑,使其不敢触碰红线。我国《刑法》、《网络安全法》等法律都具有个人信息保护相关条款,此外,早在2016年8月,国家网信办颁布了《移动互联网应用程序信息服务管理规定》,明确规定“未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序” 。2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。App运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息,不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。建议能形成长效机制,对APP持续监管,对恶意APP形成高压态势。
二是形成对移动应用程序恶意行为定义、检测等的国家级规范,指导APP开发者和第三方检测机构相关工作。目前相关国家标准有2018年5月实施的GB/T 35273-2017《信息安全技术个人信息安全规范》、工信部行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》,但这些标准还没有形成完整体系,无法全面发挥作用。
三是形成对移动应用程序APP的第三方检测机制。相关法律法规的完善和恶意APP治理都属于事后处置,还应该加强对APP的事前检测。一方面强化检测标准完善和工具开发,另一方面强化第三方检测能力建设,形成完善的检测体系。对使用人数巨大或涉及用户金融数据等重大敏感信息的APP,采取强制检测后上架和持续监测的机制,防患于未然。
