官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
11 月 12 日,某短视频平台突然曝光了一段视频,视频中一网友声称双十一期间在得物 App 收到购买商品后发现货物存在问题,随即拍下视频反馈给得物官方,并上传了一些与货物相关的视频证据到得物平台。
之后发生的事情就非常诡异了,该网友发现手机突然弹出两条信息,疑似是得物涉嫌通过调用其手机权限,删除了手机里与得物货物相关的视频。据悉,用户两条视频遭删除,其中一条是开箱确定商品是有否问题,另外一条是去专柜做对比的视频。
(图源互联网)
舆论发酵后,这一视频迅速传播,有关得物 APP 侵害用户个人信息的言论开始广为流传,13 日一早,得物 APP 立刻冲上热搜,得物方面不得不站出来回应。
得物 APP 表示绝不会侵害用户权益
对于网友曝光的得物 APP 调用客户手机权限,删除其录下关于收到货物有问题的视频证据一事,得物 App官方发文表示,经内部团队核实,平台从未删除用户手机相册中的“原视频”,删除的是临时“缓存文件”,用户使用的华为手机系统可能检测到了得物 APP 临时缓存文件的处理,触发了系统拦截通知。此外,在收到用户反馈意见后,已第一时间研究优化该体验,以期避免误会。
值得一提的是,得物方面早已发文强调,公司完全没有立场和动力进行删除用户相册等不合规行为,此外,对于用户海量视频数据,得物方面也没有相应技术能力进行批量识别,甚至定向删除。
另外,得物方面认为当 App 对产生的缓存文件进行管理操作时,手机系统可能会将其判定为异常行为,并出现类似的误报。因此,对该用户反馈的被手机系统判定为异常行为的情况,正在与用户及厂商沟通确认。
从相关人士的说法来看,删除用户手机相册里的视频或图片,只能人工手动进行操作。同时,就算是用户对某一个 App 打开了手机相册权限后,该 App 也只能读取相册信息,并不能定向删除手机内的视频,类似某视频平台网友出现的这种情况,发生的概率比较小,从业多年还没见过。
APP 侵权事件时有发生
“得物 APP 删除用户照片”并非偶然,国内多家互联网厂商都曾发生类似事件,QQ、微博、小红书、豆瓣、拼多多等知名App均曾被手机系统检测到删除照片或视频。
去年10月,豆瓣对“个别用户反馈华为手机提示豆瓣删除图片”发表说明称,是在一定条件下误将用户上传图片当成缓存删除,bug的发生概率较低。2020年5月,多位阅文作家称从QQ群聊保存到手机里的照片,“会立马被QQ软件自动偷偷删除”。QQ发布说明称,拦截并保护的只是临时缓存图片,将与华为厂商协商优化。
2021年1月12日,网友小白(化名)化名联系拼多多客服时,上传了相关截图。结果和客服结束对话后不久,他的手机突然弹窗显示“vivo服务”的提醒:“检测到‘拼多多’已删除照片或视频”。他前往手机相册查看,发现“最近删除”里多出了他的拼多多截图,且相关截图正是之前跟客服沟通时发送过的截图。
当晚,拼多多在微博回应称,在App的客服聊天页面点击“拍摄”并完成拍照后,如果立刻点击发送,这一图片会被保存至系统相册;如果在发送之前做了剪辑、美化等编辑,App会保存一张拍完的图片到系统相册,类似于缓存;待用户完成编辑和发送后,App会删除原图,保留编辑后的图片。“这导致了vivo系统认为有删除图片的操作。”拼多多还承诺,将对产品做改进。
APP 权限问题需要进一步管理
现阶段,App 运营商和用户之间的权利实际上很不平衡,当用户使用应用程序时大都需要用户授权拍照、相册、定位、通讯录等功能,这样可能导致 App 获得超出运营需求外的特殊权限。
一旦应用程序获得如此大的权限后,难免会有一些运营商动歪心思,例如有意无意投放广告、检测用户喜好,定点推送内容,甚至会“入侵”相册,因此,App 权限获取机制应该进一步完善,实现最大程度保护用户隐私,对于过度收集、使用用户手机权限的 APP 应当受到法律的惩处。