恭喜你们发现了“京东金融”的“秘密”

​​​我这人说话就是特别直接，你们看着可能会不太舒服，特别是关于个人隐私的。

如果你现在还在认为“我没什么好隐瞒的不用注意这些”的话，请直接关掉这篇文章吧，看下去就是在浪费你的时间。

今天那条“京东金融截图”的微博的内容在我看来已经见怪不怪，甚至可以说是 APP 的“标准操作”，这条居然能火让我摸不着头脑。更何况这多半是一个 BUG，不是它故意要这么做的。

为什么我说它可能是个 BUG，是因为要你的截图根本不用这么麻烦复制到自己的目录，即使要复制到也不可能就这么直接搞过去，准备干坏事的必须会改个头打个包什么的不可能让你直接就这么打开。我寻思这个截图拦截是给“反馈”功能使用的，但不知道是由于技术问题还是其它原因变成了拦截所有图片。

而且这么多用户的图片不可能每张都上传，即使阿里这样的人脸收集狂肯定也要在本地稍微判断一下照片质量才会上传。要我做肯定是在本地事先分析图片是什么类型，再分类决定处理方法。也就是使用手机自己的算力帮助区分哪些图片是“有用”，哪些是“没用”的，不会把这些都放到服务器上既占用带宽又占用存储空间。

不然你们觉得这么多 APP 看起来没什么功能用起来却会“卡”是什么原因？就是各种 APP 在用你自己的手机“算计”你自己呀。

上面这张图不用解释就是很恶劣的行为了。在 iPhone 给应用后台保持的 15 分钟内静默访问用户相册。虽然微信给每个用户都是这样请求的，但这个弹框一般用户不会碰到，是因为微信首次启动的时候就会询问是不是允许访问相册，以后都不会问。图中这个情况只有在新恢复的系统里才会出现，微信认为自己已经询问过了，但在系统层面被重置导致微信不知道，在后台试图私自访问相册时被系统拦截弹框。

同样的还有：在后台试图访问通讯录。

所以京东金融这个操作让我根本不会有任何波澜。如果 iOS 开放“每次访问相册”都询问的权限设置，必然有大批应用要“原形毕露”。

顺带说一句我不喜欢 Face ID 的重要原因是 iOS 的前置摄像头还不能单独控制，不能把权限细化到仅后置摄像头。现在非 Face ID 的机器我都是把前置摄像头贴起来的，前段时间“弹出式摄像头”发现的秘密应该还能记得一点吧？

APP 在扫码的一瞬间先开一下前置摄像头截个脸，在用户使用应用的时候顺便拍几张照片这种事肯定有人做过，但谁做的没有证据不能乱讲。像 Mark Zuckerberg 这个流氓软件头子都要把自己的电脑和手机摄像头贴起来，就是给所有人的启示。

没错， Facebook 一直就是个隐私流氓，还有现在的 Instagram 和未来的 WhatsApp 都在把用户当产品使用。Facebook 最早启用 Top Story 的时候我就说过，这个功能的终极目标是为了潜移默化地影响你思考的东西。

不知你有没有过这样的体验：当你拍了几张照片以后，某个应用跳出来说：“嘿，你刚拍了几张不错的照片，和你的好友 XX 分享一下如何？”。看到这样的提示，我感到的不是“人性化”，而是觉得恐惧——除了监视我拍了哪些照片，它还干了什么？

说了这么多 APP 想尽办法要访问你的相册通讯录，我不知道它们想要干什么，但是我知道相册通讯录里有什么。

单说相册，里面就有：

1. 照片中的敏感信息，包括可能有：身份证、护照 等敏感信息。现在有上传身份证功能的应用都可以在本地识别身份证上的内容了，后台扫描一下你的照片库就可以把这些信息一次性全部提取出来。

2. 你所有的个人照片和合照：人像识别，用户 profile 建立、机器学习的最佳素材。还可以用通讯录、IM 好友交叉比对找出你的关系链。

3. 你的照片、截图上所带的地理位置信息：即使没有地理位置权限也可以通过抓取最新的照片知道你在哪，而且根本不用上传整张照片，在本地就可以提取分析出 GPS 坐标。你拍照的时候经常和谁在一起拍，软件比你知道得更清楚。

4. 照片文件的时间：每年你都会拍照片，随着年龄变化，每年的脸是不是都有不同呢？和第 2 点人像还有第 3 点地理位置结合起来可以做更多事情，两个不认识的人在同一个景点拍的照片作对比，再分析一下照片的时间……想想还有点小激动呢。

5. 还有我没有想到的其它用途，太多了。

除了相册以外，我最近还发现某些应用会在后台跟踪用户，我不知道是怎么实现的，但被我抓到了。就是 Hema4iPhone：盒马生鲜。在开关 iPhone WiFi 开关的时候，后台会自动向 amdc.m.taobao.com 发送用户的设备和当前的网络信息，我已经关闭了盒马生鲜的【后台应用刷新】并且【上滑结束了】它的进程。不知道这是怎么实现的，但这么做的肯定不止它一家。

最后说一下，今天我发了一条关于微信后台获取用户相册的微博，有很多用户觉得这是正常情况，理由是因为微信有照片分享功能。

其实这样的理解是不对的，它有照片分享功能不代表它可以随时随地随意扫描用户相册，应该是用户让它发哪张就发哪张，平时就呆在那什么都别干。用户应当对所有请求相册权限的应用都提高警惕，因为发送照片有系统 API 可以调用，就是你打开 Safari 在网站上选择文件弹出的那个框，不需要申请相册权限。Android 中也有一样的东西，应用完全不需要相册权限就可以获得用户选择的照片。但仅限于用户选择的照片，它不能访问用户没有选的照片，所以这些应用就需要用“分享”为借口去访问用户别的照片。

除了照片以外，通讯录，地理位置等权限都是一样的，正当的应用完成某个任务的时候，只在需要的时候获取最少的数据，目的仅仅为完成用户的指令。

现在有多少应用可以做到这些？它们都在贪婪地获取用户资料，有些信息甚至他们自己还没想好怎么用，先收集了再说。到时候被人拖库了只要不承认倒霉的还是用户，就是那些让应用无限制访问自己信息的那些人。

现在只要找一个看似正当的理由就可以为所欲为，微信为了“分享”照片在用户不知情的情况下后台访问用户相册。

阿里可以为了“安全”无限制地获取人脸，要求上传户口本，甚至早期利用支付宝控件在用户的电脑中植入 key logger，都是以“安全”的理由冠冕堂皇地侵犯用户的隐私。

上海地铁也是，以“安全”为理由搞一个漏洞百出、防君子不防小人还只会给人添麻烦的安检。

恭喜你们发现了“京东金融”的一个低级错误，却对更多真正的问题熟视无睹。​​​​