V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2641 days ago, the information mentioned may be changed or developed.
微博视频链接: https://weibo.com/tv/v/HgQkjgwbe?fid=1034:4340143864405128 今日头条预定...京东最近不太平啊
 |
1
TKKONE PRO 我去,b 脸都不要了
|
 |
2
lhx2008 Feb 16, 2019
看不出来上传,除非有抓包实锤,别动不动就搞个大新闻。不过一个金融 APP 确实不干净。
|
|
4
TKKONE PRO  3
实测截图会进入京东金融的数据里面!不管上不上传,但是拿我的截图干嘛??
|
 |
5
zjsxwc Feb 16, 2019
看了视频,拦截了截屏事件,倒不是上传用户自己相册图片,我手机能重现,安卓代码写的问题,不能单独监听京东自己 app 的截图
|
 |
6
gabon Feb 16, 2019 via Android 1
还好我不用 jd 金融,这些大厂搞得小手段真恶心,工信部狠狠的罚它一笔就老实了
|
 |
7
zst Feb 16, 2019 via Android
我去,他不挂在后台还能获取到吗
|
 |
8
HanJoker OP @lhx2008 我看了下 截完图以后确实有一个请求发到京东那边 然后返回来的信息是这样的
{ "resultCode": 0, "resultMsg": "操作成功", "resultData": { "title": "选择反馈的类型", "list": [{ "image": "https://img12.360buyimg.com/jrpmobile/jfs/t1/3594/31/3680/752/5b9a06d4Ed6c80ce4/bdb18516b9d5a1de.png?width=108&height=108", "title": "在线客服", "subTitle": "小京灵客服 3 分钟帮你解决问题", "fromVersionI": 20800, "toVersionI": 90000, "fromVersionA": 50006, "toVersionA": 90000, "forward": { "jumpType": "2", "jumpUrl": "https://m-jtalk.jd.com/hindex.htm?entrance=20193&source=h5&companyId=1" }, "exposureData": { "pJson": " ", "bid": "jietu1002" } }, { "image": "https://img12.360buyimg.com/jrpmobile/jfs/t19420/153/2491491169/795/8132c4cd/5af540b5Neef1d764.png?width=108&height=108", "title": "意见反馈", "subTitle": "向我们反馈遇到的功能异常或建议", "fromVersionI": 20800, "toVersionI": 90000, "fromVersionA": 20800, "toVersionA": 90000, "forward": { "jumpType": "6", "jumpUrl": "5" }, "exposureData": { "pJson": " ", "bid": "jietu1003" } }, { "image": "https://img12.360buyimg.com/jrpmobile/jfs/t22324/163/12944531/1212/a5141faf/5af53ff0Nfaa881e0.png?width=108&height=108", "title": "分享微信", "subTitle": "发送图片给微信朋友", "fromVersionI": 20800, "toVersionI": 90000, "fromVersionA": 20800, "toVersionA": 90000, "exposureData": { "pJson": " ", "bid": "jietu1004" } }] } } 至于有没有真的上传还不清楚 不知道他用什么方式上传的 Charles 只能抓 https 我再去研究研究... |
 |
10
passerbytiny Feb 16, 2019
京东金融前不久开始垃圾推送了,我已经干掉了它的小红点和声音提醒。
领券签到改成分享、京东金融垃圾推送、走 PDD 的老路……感觉刘强东有点控制不住了,签于目前没有替代品,我已经开始多往沃尔玛跑了。 |
 |
11
learnshare Feb 16, 2019 2
很多国产 App 监听截图事件,并弹出“反馈”功能
|
 |
12
U7Q5tLAex2FI0o0g Feb 16, 2019 1
@learnshare #11 监听截图,提供反馈,我能理解。但不是应该让用户来决定发不发送吗?不是应该弹出来让用户选择吗?偷偷的直接发送就是辣鸡,流氓
|
|
14
learnshare Feb 16, 2019
@littleylv 监听截图这个已经很过分了,又不是做 DRM
|
 |
15
orangeade Feb 16, 2019 via Android
appops 禁存储权限,它拿个屁
|
 |
17
jydeng Feb 16, 2019
我猜测是“反馈”功能
|
 |
18
zbinlin Feb 16, 2019
@HanJoker 我不清楚你这条请求的 request url 是什么,是否有 body,不过从 response 看,应该是更新反馈页面的,这从服务端更新亦无不可。
我猜的一种情况:首先 APP 监听截图事件,当用户在截图时,APP “智能”地认为用户是有问题需要反馈的,所以它提前地做“准备”,然后发起请求了。 |
 |
20
martint028 Feb 16, 2019
相册图片应该没次获取都申请一下权限就好
|
 |
21
JamesR Feb 16, 2019
|
 |
22
jandou Feb 16, 2019 2
很明显是截图反馈的 bug
你觉得这种低级敏感问题,会让你轻易而举抓住证据?这样很容易被竞争对手搞的好吧。 |
 |
25
ooooo Feb 16, 2019
真的偷偷上传用户相册照片等个人隐私数据的话
这性质就很恶劣了 先看看 |
 |
26
cp333 Feb 16, 2019 via iPhone
京东是真的垃圾
|
 |
27
affyun Feb 16, 2019 via Android
装了之后就用 appops 禁了权限读写
|
 |
28
lorryo Feb 16, 2019 via Android
视频中的操作证明不了标题吧?连包都不抓一下的么。
|
 |
29
namesc Feb 16, 2019 1
金融 APP 都爱干这种“大数据分析”,之前 alipay 不也被抓过在后台偷偷上传用户数据,一天连着 WiFi 能跑上百兆。
对安卓机绝望了,不懂技术又希望保护隐私的用苹果机会好一点,如果像我这样已经不在乎的那就无所谓了。 |
 |
30
iAndychan Feb 16, 2019
又是 Android,那 iOS 一样也可以吧,只要授权了读取照片的权限。
|
 |
31
zhangdawei Feb 16, 2019 via iPhone
这也就是安卓开发不用安卓的原因
|
 |
33
mohoumk2 Feb 16, 2019 via Android
我就知道又会有果蛆趁机黑安卓。
|
 |
34
frylkrttj Feb 16, 2019
这是安卓的锅吧,随让它允许随便获取信息
|
 |
35
ifxo Feb 16, 2019
看了下完全就是胡说八道,其实只要有相册权限谁都可以上传,不知道拿京金说事是何居心
|
 |
36
acmetal Feb 16, 2019
京东金融不是被 Google Play 标为危险应用吗,装上后时不时会被 Play 卸载掉。(与本事件无关)
|
 |
38
594duck Feb 16, 2019 via iPhone
androis 哈哈哈,国内隐私啊哈哈哈哈。早晚的时期 n g
|
|
39
passerbytiny Feb 16, 2019
@just1 #27 你有仔细看本主题吗?楼主第二次发的截完图以后的返回消息,要是没提前上传图片的话,image 的 url 是怎么来的。带图片提交内容时,图片预上传是相当常见的操作。
|
|
40
acmetal Feb 16, 2019
@passerbytiny 哥们你好歹打开#8 里 image 链接看看图片是什么再怼啊
|
 |
41
windowsuuy Feb 16, 2019
@lhx2008 +1
|
 |
42
elfive Feb 16, 2019 via iPhone
iOS 没给相册权限,还能获取吗?我看了下我还没给他权限的。
其实微信什么也一直监视相册,iOS 上微信拍摄都只能用它程序内部的相机功能组件,以前记得还是调用系统相机的。微信自带的相机辣鸡得一逼。 |
|
43
windowsuuy Feb 16, 2019
大概应该是京东金融默认截图是消息反馈了?
|
 |
44
icyalala Feb 16, 2019 3
想到了前几天国外 iOS App 被爆录制用户屏幕操作,最终还得到苹果警告: https://www.zhihu.com/question/311519113
结果阿里的咸鱼还在昨天大力宣扬它自己的 Flutter 录屏技术: http://blog.itpub.net/69900359/viewspace-2636134/ 国内技术团队,大部分没有对隐私的敏感。。 |
 |
45
Maskeney Feb 16, 2019 3
不以最坏的心态揣测,估计是野鸡程序员写逻辑写错了,若要说上传还得提供数据包证据才能扣上“并上传”这个帽子
很多 app 都会读取首张图片的 微信 淘宝 京东 大部分是为了点+号 /点搜索框 /扫码的时候立刻弹出图片问你是不是要发送 /扫描 /搜索这张图 如果是我推断的这样,那这个 JD 金融的野鸡程序员这一阵骚操作,把最新图片拷到自己的程序目录行为,无异于自己往裤裆上弄泥巴 |
|
46
Maskeney Feb 16, 2019
或者还有一种可能就是监听截图事件,最经典的案例就是支付宝,不过支付宝只是监听应用内截图。
|
|
47
Maskeney Feb 16, 2019
其实上述两种本质上都是通过监听 ContentObserver 媒体数据库的变化实现的,原理上一个样
|
 |
49
Myprincess Feb 16, 2019 1
尽量不要安装国内的 APP,
必须使用时,能禁用的服务一律禁用,使用完就冻结此应用或删除。 注册时只使用干净的号码,没有存储任何手机号。 手机用完就断网处理。 |
 |
50
hpeng Feb 16, 2019 via iPhone
就京东金融的水平大几率是 bug。但是别忘了其他没发现的应用。有些不是全局抓包都发现不了的…
|
 |
51
just1 Feb 16, 2019
@passerbytiny #39 img 你点开了吗,那个是 app 图标
|
 |
53
juded Feb 16, 2019
京东金融 play 上貌似一直没上架。
不过我一直用他的微信小程序,那个什么理财一站通来着... |
 |
54
Skyfeng Feb 16, 2019
怕是不止这个 APP
|
 |
55
nicevar Feb 16, 2019
一大堆的 app 有这个功能非要抓出这个来目的也很明显,再说视频中没有任何地方显示上传了图片
|
 |
56
fxxkgw Feb 16, 2019 via iPhone
@Myprincess 如果你是在国内生活的话,好奇你手机里啥样子的。。
|
 |
57
nashxk Feb 16, 2019
重度用户,不过我用到的 iOS。。
|
 |
59
F2Sky Feb 16, 2019 via iPhone
@Myprincess 这样用手机不是太痛苦,用 iPhone 会不会好一些?
|
 |
60
xFrye Feb 16, 2019
我觉得是程序代码写的 bug 概率比较大,出来背锅吧
|
|
61
Myprincess Feb 16, 2019 1
|
 |
62
hilbertz Feb 16, 2019
腾讯浏览器还直接启动的你的摄像头呢,国产这都不稀奇
|
 |
63
Tounea Feb 16, 2019 via Android 2
国内很多主流 app 在 Google paly 很少见到,有些在 Google Paly 上也是露个脸,安装完应用结果在应用内更新,绕过 Google Paly 安全机制,而且还要跟本应用无关的手机权限,不给权限不给用!我是很想知道像国产 APP 这种尿性,在欧盟国家会不会被罚破产?
|
 |
64
barrelsoil Feb 16, 2019 via Android
Magisk + App Ops
|
 |
65
BOYPT Feb 16, 2019
微信也会啊,你截图后进入聊天框还会问你是不是要发这个图片呢,
啥大惊小怪的。 |
 |
66
dachuige Feb 16, 2019
我靠,我拍的片 是不是也传上去了
|
 |
67
liaoyaoheng Feb 17, 2019
其他 app 的拍照等都会拷贝到自己的文件目录,且改名字隐藏后续(有意隐盖?)。
Google 框架提示为危险应用。 ★是否上传仍需站内的技术大佬确定 |
 |
68
easylee Feb 17, 2019
骂京东 laji 的,真的是笑笑不说话了。
|
 |
69
mario85 Feb 17, 2019 via iPhone
支付宝 ios 版(ios 版,ios 版,ios 版)至今还会在支付成功界面静默截图
|
 |
72
icanfork Feb 17, 2019 via iPhone
证不证据不重要了,意识形态最重要
|
 |
74
glaucus Feb 17, 2019 via iPhone
我感觉是 BUG,就是一个类似支付宝的截图反馈功能,结果本应该只监听自己 APP 的截图事件变成监听全局了
|
 |
75
jerryrib Feb 17, 2019 via Android
截图反馈只对于当前 APP 界面监听吧
|
 |
76
forzen Feb 17, 2019
我记得这个软件,Google play 自带的安全扫描会提示,这个软件有问题…
|
|
77
jandou Feb 17, 2019 via iPhone
@Myprincess 尽量不要在地球生活。
|
 |
78
wdv2ly Feb 17, 2019 via Android 1
微博也就算了,没想到一个技术社区也能这么轻易的带节奏
|
 |
79
ioschen Mar 5, 2019
@learnshare 谷歌 亚马逊最先干的,国产学习而已
|
Select Language