SNISA
关注SNISA,共享信安事。
前段时间京东金融APP陷入搜集客户隐私的风波,用户对于手机APP权限问题还处于敏感期,今天同样被曝出支付宝APP 疑似存在悄悄复制用户手机图片的问题……
大家对于个人隐私保护方面都重视了起来,国内呼吁重视个人隐私的呼声也水涨高起。并且国家方面也出台了相应政策,为落实公民的隐私做出了很好的举措。比如昨天那篇:
近日在V2EX社区上,有用户发帖《支付 Alipay 宝你干了什么?!》很火,揭露自己的意外发现,在安装SD Maid扫描手机中重复文件时发现,支付宝APP所在文件路径中竟然存在大量图片类文件与腾讯应用所在路径中的文件一致。
根据该用户给出的扫描结果,在Tencnt文件夹路径中有大量的图片文件重复出现在了alipay的文件夹路径中,根据文件生成时间,后者时间都要晚于前者,由此说支付宝有复制用户手机其他路径图片的嫌疑并不是不可能,而且基本都是原图复制。
为了进一步确认,该用户把重复文件扫描范围限定在特定的几个目录,发现支付宝主要扫描了qq的所在目录之外,Pictures、Wikipedia 等路径都有涉及。
如果只是单纯的复制,图片仍保存在用户手机本地可能并没有那么严重,但用户并不清楚支付宝是否有将这些文件上传,也因此导致很多用户对此有了不同的揣测。
在上午看到这个帖子之后,抱着求证的态度笔者在自己手机上下载了 SD Maid这款应用,扫描重复文件之后,跟不少留言的用户一样,并没有呈现出帖子所说的现象。
随着帖子在技术圈中不断传播、发酵,终于也吸引来了支付宝官方人员的回复。一位ID为 VYSE 的用户回应称“那个目录是存图片 cache 的,选图片时预览相册会大量生成”。
而通过问题反馈之后,支付宝安全团队人员在评论区做了统一回复,如上图。之所以会产生这种“复制”行为,是因为“当用户使用 [扫一扫] → [相册] 等方式进入”图片选择器”都会对浏览到的图片生成缩略图, 的确缩略图会存到楼主截图所示的目录里.”
至于为何缩略图存了原图,该方也承认确实是处理方式问题,后期会优化。此外,该回应明确表示了支付宝访问相册生成的缓存仅仅存在本地,不会进一步处理,更不会上传服务器,而且支付宝APP会定期清理相关目录下的缓存文件。
对于国产APP滥用权限的问题几乎从来都没有消停过,这并非个别企业存在的问题,而是国内企业、开发者对于用户隐私问题重视程度不一致所导致的,一方面安卓系统本身对于权限的管制依然不够严格,二是国内对于这些手机APP所涉及的隐私问题依然没有一个明确有效的法律法规,这些都是需要解决的问题。
如支付宝安全团队人员这次回应中提到的:用户隐私是一条不可触碰的高压线,这应该是每一位应用开发者应当遵守的行为准则。
协会NIS文库陆续上架了行业报告、培训视频等,点击左下角阅读原文直接进入!
文章来源:FreeBuf
→ 关注 NIS研究院,共享每日情报
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...