Programın eski sürücüsünün değerlendirilmesi: Jingdong Finance'ta kötü amaçlı kod yok
17 Şubat'ta JD Finance, önceki kullanıcının APP'sinin kullanıcıların özel resimlerini yüklediğinden şüphelenildiğine dair bir yanıt yayınladı.
16 Şubat'ta @ Ribs adlı bir Weibo kullanıcısı kaybolan kahraman Amu, Weibo'da bir video yayınladı. Videoda Amu, JD Finance uygulaması Android telefonun arka planında bulunduğunda, onu otomatik olarak kurtaracağını gösterdi. Çekilen resimler ve diğer uygulamaların ekran görüntüleri, bu yüzden Amu, JD Finance'in hassas kullanıcıların resimlerini alıp yükleyeceğini sorguladı.
Bu olay hızlı bir şekilde güçlü bir tepkiye neden oldu. Pek çok netizen, aslında Amunun işletim yöntemlerine göre test etti ve JD Financein IOS sürümünün yukarıdaki duruma sahip olmadığını ve JD Financein bazı Android sürümlerinde kullanıcı resimlerinin otomatik olarak kaydedildiğini gördü. Durum, ancak bu verilerin JD Finance'e geri aktarıldığına dair bir kanıt yok. İçeriden öğrenenler, IOS ve Android'in farklı açık kaynak yöntemleri kullanırken, IOS'un nispeten katı ve kapalı olduğunu açıkladı.
Peki, JD Finance'in Android sürümü kullanıcının özel verilerini veritabanına geri yüklüyor mu? Bir programcı Shenpa, JD Finance'in Android sürümünün nostra13 tarafından yazılmış bir açık kaynak kitaplığı kullandığını keşfetti.
Muhabir, Github'da açık kaynağın JAVA ve Kotlin gibi açık kaynaklarda uzmanlaşmış Beyaz Rusya'dan Sergey Tarasevich olduğunu buldu.
Bilen kullanıcılar da var @ (yazar tarafından yetkilendirildi) Kaynak kodu incelendi ve analiz edildi.
Tartışmanın sonucu: Açık kaynak kitaplığı, önbellek dizini olarak özel bir dizin kullanır ve görüntülenen resimleri önbellek dizinine kaydeder.JD Finance ekran görüntüsünü görüntülediğinde, açık kaynak kitaplığı çağrılır ve ekran görüntüsü özel dizinde görünür. Ancak JD Finance kötü amaçlı kod kullanmadı.
Tıpkı @ Belirtildiği gibi, JD Finance kendisi kullanıcı gizliliğini çalmaz, ancak açık kaynak kitaplığının kod tasarımı ekran görüntülerinin özel dizinde görünmesine neden olduğu için ekran görüntülerinin açıklanamayan bir işlevi vardır.
Olaya geri dönersek, muhabir deneyler sonucunda hem IOS hem de Android telefonlar için benzer ekran görüntüsü geri bildirim işlevleri sağlayan çok sayıda uygulama olduğunu keşfetti. Kullanıcı bir ekran görüntüsü aldıktan sonra, resim önbelleğe alınacak. Ardından, bu Mahremiyetimiz için bir tehdit mi?
Uzmanlar, APP'nin bu okunmuş resimleri İnternet'e geri göndermemesi, ancak bunları telefonda tutması durumunda kullanıcının bilgilerinin sızdırılmayacağını, çünkü yalnızca telefonun sahibi veya telefonu kullanan diğer kişilerin görebileceğini söyledi. Temel teknik servis sözleşmesini ihlal etmeyin.
Ancak, yükleme yapılıp yapılmayacağına ilişkin nihai karar yetkili bir kuruluş tarafından onaylanmalıdır. JD Finance ayrıca bugün verdiği yanıtta oldukça samimidir: JD Finance derhal aşağıdaki önlemleri alacaktır:
1. Yetkili resmi kurumlar, JD Finance Uygulamasında kapsamlı güvenlik testleri yapmaya davet edildi;
2. Kullanıcıları, harici uzmanları ve @ Kaburgaları da dahil olmak üzere medyayı, hizmetlerimizi denetlemek üzere bir bilgi güvenliği danışma grubu oluşturmaya davet edin;
3. Daha titiz bir güvenlik inceleme mekanizması oluşturun ve her teknik uygulama ve iş işlevi için daha sıkı ve kapsamlı güvenlik testleri gerçekleştirin.
