保持警惕：多个国产 APP 滥用相册权限(转)

MonkeyD1

2021-10-08 15:41:40 +08:00

淦

Lin0936

2021-10-08 15:43:54 +08:00

张小龙，你*什么时候*啊？

kirillzhang

2021-10-08 15:51:37 +08:00

两个方法。1. 关闭后台刷新； 2. 降低微信权限，开放部分照片的权限。

felixcode

2021-10-08 15:59:23 +08:00

为什么收了 30%的审核费后还这样。

xingyuc

2021-10-08 16:01:56 +08:00

手机系统厂商：新的用户便捷功能！
App 厂商：如何用来获取更多用户数据？

cwbsw

2021-10-08 16:08:09 +08:00

“一旦用户授予它们完整的相册权限”

说得好像 iOS 相册权限被绕过了一样。

LudwigWS

2021-10-08 16:09:07 +08:00

1. 缺乏具体日志的证据
2. 个人感觉大厂完全可以高枕无忧躺着赚钱，没必要冒这个风险分析用户的照片

Xusually

2021-10-08 16:16:06 +08:00

来源请求

dier

2021-10-08 16:25:01 +08:00

@cwbsw iOS 淘宝在不同的位置，能看到相册照片的范围就是不同，首页“搜索框”位置，扫码功能的相册读取范围是指定的照片可访问，你再到“消息”中找“我的小蜜”聊天，添加照片时点相册，能访问的照片就是所有

Roykira

2021-10-08 16:29:24 +08:00

@dier 还真是，它是怎么做到的，有点厉害，就是在规则上面继续钻漏洞咯。

skies457

2021-10-08 16:31:42 +08:00

听君一席话如听一席话

xx219

2021-10-08 16:32:17 +08:00

@dier 试了一下是这样的，怎么做到的。。。。。

skies457

2021-10-08 16:32:39 +08:00

@Roykira 猜测聊天中用的是系统自带的 image picker 吧

chipmuck

2021-10-08 16:35:17 +08:00

@LudwigWS 嗯？

xx219

2021-10-08 16:36:59 +08:00

淘宝那个应该是用了系统选择照片的 api，选中就直接发送了，实际上应该是看不到所有的照片的。和 wx 的实现方式都点区别，wx 是选中之后显示了一个 wx 自己的过渡页面。。。。

Wao

2021-10-08 16:37:59 +08:00

@Xusually #8 https://m.weibo.cn/status/4690017463305092

Leonard

2021-10-08 16:39:11 +08:00

@dier #9 如果用系统自带的 imagepicker 的话不用任何权限就可以选取所有图片，app 也只能获取你选取的图片。如果自定义 picker 的话 app 需要获取相册权限，并可以获取到你允许的所有的图片。

DeaThNoTE

2021-10-08 16:39:27 +08:00

@chipmuck 真是恶心又恐怖。。

iSteven

2021-10-08 16:43:46 +08:00

@dier #9
@xx219 #12

“我的小蜜”其实是一个网页，并不是原生的，苹果给网页提供了一个读取相册资源的接口，这个接口是不用申请相册权限的（因为操作相册的并不是 app 进程而是系统的另外一个进程），其实这是网页委托系统去读取图片数据，流程是「网页->系统->相册->用户选中的图片->系统->网页」，从始至终网页都是读不到相册资源的，只能最后拿系统返回的图片。Android 也是有类似的接口。

Oopsm

2021-10-08 16:50:41 +08:00

@chipmuck 这个在哪里看