日前，有网友公布视频证据，称京东金融APP（安卓端）存在窃取用户敏感信息的问题。具体表现在，打开程序并置于后台，接着登陆任意银行APP并截图，结果该图片就会出现在京东APP的本地文件夹中。

随后，京东金融方面回应称，图片缓存为方便客户投诉或建议使用，不会上传京东金融后台，不会未经允许收集用户隐私。

今天下午（2月17日），京东金融客服再次发布声明，称排查后，发现安卓系统上的App 5.0.5以后的版本存在该问题，并已定位问题且下线修复。

具体来说，5.0.5新增客户截屏反馈功能，但实际效果是APP切入后台后会继续接受新增图片通知（包括截屏与照片）并在手机本地缓存，而原功能设计需求是切换后自动停止该功能，属于需求错误开发。

同时，京东再次强调，这些缓存仅保留在用户本地，绝没有私自上传，且尚未发现任何一张未经授权的图片被收集。

最后，京东金融表示将马上采取以下措施：

1、邀请权威官方机构对京东金融App进行全面安全性检测；

2、邀请包括@瘦出的肋骨已经消失的大侠阿木 在内的用户和外部专家、媒体组成信息安全顾问小组，对我们的服务进行监督；

3、建立更为严谨的安全审查机制，对每一项技术应用和业务功能进行更加严格、全面的安全测试。

以下为京东金融客服声明全文：

1、安全技术团队对所有版本的京东金融App进行排查后，发现安卓系统上的App5.0.5以后的版本存在该问题，并已定位问题且下线修复：

1）2018年12月，京东金融App5.0.5版本上线了客服截屏反馈功能，此功能的目的是，用户对京东金融App进行截屏时，本人可将京东金融App截屏发送给在线客服人员，以提高与在线客服的沟通效率。

2）此功能实现是通过安卓系统的两个官方通用类ContentObserver和MediaStore的组合调用来接收用户手机截屏动作的通知，使用了UniversalImageLoader这个通用第三方库实现截屏的本地缓存以及预览缩略图快速展示，但上述技术均不具备图片自动上传的能力，图片仅缓存在用户手机本地。

3）京东金融App在该项功能开发上存在技术问题，具体为用户将京东金融App切换到后台后，该功能继续运行，继续接收新增图片通知（包括截屏和照片等）并在手机本地缓存，而原功能设计需求是切换后自动停止该功能，属于需求错误开发。同时，经过安全技术团队深度评估，该功能也不应该使用手机缓存技术来实现，应该直接使用手机实时内存（RAM）实现并增强提醒，无需使用手机本地缓存，当京东金融App切换或退出时，将自动清空。

2、此次技术问题涉及的新增缓存图片仅存在用户手机本地，京东金融App坚决没有对用户照片和截屏进行私自上传，也对该功能进行了全面排查，并未发现任何一张未经授权的图片被收集。

对于上述说明，大家可能依然会质疑事实的真相，我们将马上采取以下措施：

1）我们周一将邀请权威官方机构对京东金融App进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果。

2）我们下周将邀请包括本次问题发现者“@瘦出的肋骨已经消失的大侠阿木”在内的用户和外部专家、媒体组成信息安全顾问小组，对京东金融App提供的产品和服务进行独立、长期的检查监督，我们将定期公布顾问小组的检查结果。

3）我们将赋予内部安全技术团队对产品功能的直接否决权，将投入更多资源，建立更为严谨的安全审查机制，对每一项技术应用和业务功能进行更加严格、全面的安全测试。

因为我们这个低级失误，给用户和行业带来广泛担忧，伤害到京东金融长期以来积累的用户信赖，我们比谁都觉得不值得，非常懊恼、非常痛心、非常自责。用户信赖是京东金融发展的底线，京东金融也恪守正道成功的商业经营理念，我们绝不会做任何侵害用户权益的事。

这次的失误，是我们在产品开发过程中的技术问题，我们从未想过未经用户授权获取用户图片。这次的跟头摔得很重，但是请大家相信我们，京东金融之前没有、未来也不会私自上传用户图片，并愿意接受权威官方机构的检测。我们感谢用户和媒体对我们的监督，并指出我们工作上的漏洞，我们有信心解决，也请大家对我们继续监督。

再次致歉。

京东金融

2019/2/17