V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
xiaome
V2EX  ›  全球工单系统

吐槽一些,这样的数据可以随便暴露出来,安卓真的太容易拿到权限了

  •  
  •   xiaome · 2017-11-22 09:25:59 +08:00 · 22610 次点击
    这是一个创建于 2558 天前的主题,其中的信息可能已经有所发展或是发生改变。

    开篇说一下起因,
    本来是这样的,手机是 flyme,root 了想精简一下不必要的程序,看到一个不认识的包名com.meizu.sceneinfo
    百度了一下,不知云云,然后谷歌了一下,好像发现了一个不得了的网址 TIM 截图 20171122090106.png

    然后进去看看,里面是这样的 TIM 截图 20171122090159.png

    emmmm,我好像发现了什么不得了的东西
    两个网址索引都是有这个包名的,我试着高级搜索,找几个大家都会用的程序,然后 emmmm

    TIM 截图 20171122092240.png TIM 截图 20171122092158.png TIM 截图 20171122092309.png

    安卓形式真的这么严峻吗,现在有种脱光衣服站在大街上的感觉。

    最后再吐槽一下这个所谓的跑店通,这样的东西完全没设置权限,嫌麻烦吗?
    发到这个节点也不是想奢求你们删数据,毕竟这么做的我相信不止你们一家;但是至少让普通人看不到吧。。。

    第 1 条附言  ·  2017-11-22 12:12:58 +08:00
    感觉评论走向已经变成了哲学问题,我也自信的分析一波?

    首先应用要权限这个事情本身是没错的;有相应的权限可以让软件为你做更方便的事情,比如说短信验证码自动填充;
    有的软件你不给权限是没有办法做到某些事情的,不是程序员也能理解吧,巧妇难为无米之炊这样的意思。
    那就分两种情况,
    1、必须要权限的,没有就不能正常使用的
    2、就是要权限,但其实并不是功能硬性需求的
    第一种那就只能给了啊,你拿到权限才能做出这样的事情,这样的功能对吧。
    第二种用户也没办法判断,所以作为用户只能期盼软件开发者的素质不会拿去干什么别的事情。
    所以也得出结论,大多数情况下用户是没办法去阻止软件去拿权限的,更有软件不给权限就不让你使用的,评论下面也有贴图,不相信的可以去看看。
    ---
    然后分析一下,万一你的权限被软件拿去干别的事情,如同本贴一样,被拿到软件列表,IMEI,iccid 等等。
    那本贴的数据来分析一波开发者拿到数据的可行用途,当然主观上我还是认定开发者素质还是 ok 的。
    1、分析用户行为、喜好、获取用户画像,大数据调研之类。
    2、分析产品数据、适配兼容、适配更多机型等。
    3、查寻到软件提供商是管理类软件,也有可能是向具有管理权限者开发的数据,也就是正常的产品需求。
    4、向第三方兜售数据
    第一、二、三种我个人还能接受,属于产品的需求。
    第四种如果确认属实而且有证据,我会去告产品公司。
    ps.以上言论都建立在产品使用时被告知数据用途且可以被我看到。
    ---
    安卓上面确实也容易被拿到权限,谷歌也在这方面一直努力;
    个人还是比较愿意相信世界更美好的,不过今天看到这种数据完全暴露在外面,没有任何权限限制,搜索引擎都能检索,我个人是非常气愤的,不管你的看法是怎么样,反正我非常不认同这样的做法。
    128 条回复    2017-11-23 12:14:00 +08:00
    1  2  
    buguniaogu
        101
    buguniaogu  
       2017-11-22 16:53:48 +08:00 via Android
    这个跑电通应该与魅族读取应用列表权限有关。但真可以在网上查看?需要登录个人账号?
    killerv
        102
    killerv  
       2017-11-22 16:55:53 +08:00
    @psklf 图床被墙了
    buguniaogu
        103
    buguniaogu  
       2017-11-22 17:05:23 +08:00 via Android
    另一个猜测,只是魅族用这个开发了读取应用列表的权限(可以自己设置第三方应用权限)。那有些尴尬。。但不知怎么查询到自己信息,需要登录么?
    logOo
        104
    logOo  
       2017-11-22 17:05:45 +08:00
    三流公司写的吧,接口都不做验证直接可以访问。
    honeycomb
        105
    honeycomb  
       2017-11-22 17:07:16 +08:00
    @wuliao49
    你提供的信息是过时的,目前 iOS 上唯一允许的永久识别码只有一个,它有两比特容量,在系统重置后不重置,不跨应用,开发者可以自行设置它的值,因此可用于检测滥用(免费期等),但其容量太小,不具备唯一性。
    建议看一下最近几年 WWDC 上关于 privacy 方面的录像。

    “ IOS 拿不到 IMEI,是允许用 UUID 代替的”
    这个说法错误,iOS 早就没有公开的获取 UUID 的 API 了,而试图通过私有 API 获取 UUID 的应用也早被清理干净了。
    今年还是去年年底 app store 还清理过一次热更新的应用(这是 Android 的另一个槽点了)。

    即便是没有做出严格限制的 Android,在文档中也提到绝大多数情况下,不应使用 getSerial()
    honeycomb
        106
    honeycomb  
       2017-11-22 17:08:08 +08:00
    @buguniaogu
    据我所知,摩托在国内的 rom 版本也有可选的限制读取已安装应用列表的特性
    nicevar
        107
    nicevar  
       2017-11-22 17:18:19 +08:00
    这真没什么大惊小怪的,早在 WM 和 Symbian 时期,一大堆软件就干这种事了,比如瓦力资费通、同花顺这些,android 1.6 时代通讯录短信打包带走的就有一堆了,因为一直都是那群人在干这些事
    CastleBUPT
        108
    CastleBUPT  
       2017-11-22 17:25:06 +08:00
    @honeycomb
    这个地方你记错了,苹果禁用的是 UDID,UUID 是可以获取的。

    In any event, the best you can now do for identification purposes is to use a UUID (Universally Unique IDentifier). This has to be on a per-app basis. That is, there is no way to identify the device any longer, but you can identify an app on a device.
    wuliao49
        109
    wuliao49  
       2017-11-22 17:41:40 +08:00
    @honeycomb 感谢你的解释,技术上你基本是对的(除了 UUID 不能获取外)。但是我说的“ 允许用 UUID 代替的”是指监管层面,可能你们没有理解。如果你们公司的 APP 被行业纳入监管,那么怎么收集、收集哪些信息,IOS 上报送什么、安卓上报送什么,H5 报送什么会有详细的规定,并不是开发者可以自行决定和拒绝的。
    xiaozuo
        110
    xiaozuo  
       2017-11-22 17:48:54 +08:00
    @CastleBUPT 不知道你这段话的来源是哪里,但是我记忆和实践中,都不能获取设备 UDID
    honeycomb
        111
    honeycomb  
       2017-11-22 17:52:20 +08:00
    @wuliao49
    据我所知,在 app Store 上架的应用里,没有一个能拉 UDID(确认一下,这里讨论的是 64 位的 UDID,不是那个用随机数算法可以随意生成的 32 位 UUID,前面写的 UUID 当作是 UDID 的笔误),尽管有获取 UDID 的私有 API。

    所以如果有一个 iOS 应用在监管上要求提交 UDID 的话,这样的应用不可能出现在 app store,相当于无法公开发布该应用。
    CastleBUPT
        112
    CastleBUPT  
       2017-11-22 18:09:48 +08:00
    @xiaozuo
    那段话的意思是应该用 UUID 而不是 UDID。。。。
    wang12xishan
        113
    wang12xishan  
       2017-11-22 18:25:15 +08:00
    @xiaome 软件没有闪退,不是软件版本的问题,手机系统更改为中文,软件运行是会卡在联网界面,如果系统语言改成英文软件会正常运行,使用 nexus 4 不会出现这种问题
    xiaozuo
        114
    xiaozuo  
       2017-11-22 18:28:18 +08:00
    @CastleBUPT 抱歉抱歉,看错了
    gitgit
        115
    gitgit  
       2017-11-22 18:29:13 +08:00 via Android
    emmmm 是什么意思
    gitgit
        116
    gitgit  
       2017-11-22 18:29:34 +08:00 via Android
    😂
    yuriko
        117
    yuriko  
       2017-11-22 18:35:36 +08:00
    @wang12xishan
    这个感觉有可能的,估计是用资源文件的字符串去参与计算了,然后又正好是一个新 API 才有差异的场景
    honeycomb
        118
    honeycomb  
       2017-11-22 18:51:27 +08:00 via Android
    @CastleBUPT

    看得出来前面写 uuid 是 udid 的笔误?
    uuid 毕竟就是一个随时可以生产的随机数,而且还存活不过应用卸载
    CastleBUPT
        119
    CastleBUPT  
       2017-11-22 19:30:35 +08:00
    @honeycomb
    看得出来,感觉你是这个意思
    yinzhili
        120
    yinzhili  
       2017-11-22 21:10:23 +08:00
    个个搞得像阿桑奇和斯诺登一样。其实,在伟大祖国,你用 iOS 也好,安卓也好,对 GCD 来说没区别,没有谁有隐私可言了
    so898
        121
    so898  
       2017-11-23 02:50:35 +08:00
    @wuliao49 第一次听说这样的事情,这位仁兄是 BAT 还是 GMA 的?大公司被监管的这么严重?上面有那么懂技术?
    v0768ex
        122
    v0768ex  
       2017-11-23 07:34:59 +08:00 via Android
    @CastleBUPT 那里妙论?我有说要自动公开和传播吗!
    skylancer
        123
    skylancer  
       2017-11-23 08:19:04 +08:00
    @xiaozuo 私有 API 能过的,怕是你不知道 360,被 Apple 下架前用了不知道多久的私有 API 来获取进程信息,你以为用私有 API 就一定能审核时被发现么

    @wuliao49 早在 iOS 7 那时 Apple 已经禁止拿 UDID 了,这都过了多少年了还在说 UDID?

    @faninx https://developer.android.com/reference/android/telephony/TelephonyManager.html 写的清清楚楚怎么就不是 PHONE_STATE?
    skylancer
        124
    skylancer  
       2017-11-23 08:19:43 +08:00
    @wuliao49 我去 瞎了没注意到是 UUID
    ytmsdy
        125
    ytmsdy  
       2017-11-23 09:53:18 +08:00
    卧槽!!还好老子不用安卓!要不然要活活气死!
    设备列表里面有设备的详细信息!
    而且还有这个设备装了那些软件!
    faninx
        126
    faninx  
       2017-11-23 10:14:11 +08:00
    @skylancer 我的意思是,不是『打电话』权限。
    ioth
        127
    ioth  
       2017-11-23 11:12:01 +08:00
    看看微软 wm,比苹果还严密,结果呢,死了。
    安卓不这样能活下来?
    wwwyiqiao
        128
    wwwyiqiao  
       2017-11-23 12:14:00 +08:00
    iOS 现在通过私有 API 也可以拿到 后果嘛 看运气了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2839 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:43 · PVG 21:43 · LAX 05:43 · JFK 08:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.