尊敬的京东金融用户、行业管理机构、合作伙伴、媒体朋友们: 针对昨天用户通过微博发布的京东金融APP安全问题,我司***及时联系用户跟进调查,迅速组织安全技术团队24小时全面排查。现将当前调查结果同步给大家: 1。安全技术团队排查京东金融App各版本后,发现Android系统App5.0.5以上版本均存在该问题,目前已定位并下线修复: 1)2018年12月,京东金融App5.0.5版本上线客服截图反馈功能。该功能的目的是,当用户对京东金融App进行截图后,可以将京东金融App的截图发送给在线客服,以提高与在线客服的沟通效率。 2)该功能是通过调用Android系统的两个官方通用类ContentObserver和MediaStore来接收用户手机截屏动作的通知,并使用通用第三方库UniversalImageLoader来实现的实现截屏快速显示的本地缓存和预览缩略图,但以上技术均不具备自动上传图片的能力,图片仅缓存在用户手机本地。 3)京东金融App在开发该功能时存在技术问题。具体的,用户将京东金融App切换到后台后,功能继续运行,并继续接收新的图片通知(包括截图和照片等)手机本地缓存,以及原功能设计需求是切换后自动停止功能,这是对需求的错误开发。同时,经过安全技术团队的深入评估,该功能不应使用手机缓存技术实现,而应直接使用手机的实时内存(RAM)和增强提醒实现,无需使用手机的本地缓存。当京东金融App切换或退出时,会自动清除。 2。该技术问题涉及的新缓存图片仅存在于用户手机本地。京东金融App坚决不私自上传用户照片和截图。也对该功能进行了全面排查,没有发现任何未经授权的图片采集。 对于以上描述,您可能仍会质疑事实的真实性,我们将立即采取以下措施: 1)我们将邀请官方权威机构对京东金融APP进行全面安全测试周一,并承诺以后每季度每天进行一次权威官方检测,并及时公布检测结果。 2)下周,我们将邀请用户、外部专家、媒体,包括问题发现者“@监出的骨已经进入了大侠阿木”,组成信息安全顾问团,共同审核由问题发现者提供的产品和服务京东金融APP进行独立的、长期的检查和监测,我们会定期公布顾问组的检查结果。 3)我们将赋予内部安全技术团队对产品功能的直接否决权,投入更多资源,建立更严格的安全审查机制,对每个技术应用和业务功能进行更严格、更全面的安全测试。 因为我们的低级失误,引起了用户和行业的广泛关注,伤害了用户对京东金融长期积累的信任。我们觉得比谁都不值得。我们非常难过,非常难过,也非常自责。用户信任是京东金融发展的底线。京东金融也恪守正道成功的经营理念。我们绝不会做任何侵犯用户权益的事情。 这次的错误是我们产品开发过程中的技术问题。我们从来没有想过在没有用户授权的情况下获取用户图片。这次跌幅很大,但请相信我们,京东金融以前没有也不会私下上传用户图片,愿意接受权威官方机构的检测。感谢用户和媒体的监督,指出我们工作中存在的漏洞,我们有信心解决,还请继续监督。 再次致歉。 京东金融 2019/2/17
