V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vhvlqn
V2EX  ›  iOS

保持警惕:多个国产 APP 滥用相册权限(转)

  vhvlqn · 55 天前 via iPhone · 12310 次点击
这是一个创建于 55 天前的主题,其中的信息可能已经有所发展或是发生改变。
在 iOS 15 推出后,人们利用记录 APP 活动功能发现了许多令人不安的现象。

微信、QQ 、淘宝,这些主流的国产 APP 正在滥用相册权限,日志显示这些它们在用户未使用的情况下在后台以很高的频率长时间读取相册。

Apple 对应用程序的审查以严格著称,但对于一些 APP 来说,这种审查依然是可以绕过的。一旦用户授予它们完整的相册权限,它们会加以利用。保存重要隐私信息的相册敞开大门后,它们就在其中不知廉耻地乱翻,搜寻任何感兴趣的信息。

这意味着,今天之前所有给予过上述 APP 相册完整权限的用户,他们的隐私都受到了侵犯。

这告诉我们,不能过于高估任何应用商店或者操作系统对隐私的保护能力,也不要低估那些 APP 厂商窥视用户隐私的执念。
115 条回复    2021-10-11 12:47:44 +08:00
1  2  
MonkeyD1
    1
MonkeyD1  
   55 天前
Lin0936
    2
Lin0936  
   55 天前   ❤️ 56
张小龙,你*什么时候*啊?
kirillzhang
    3
kirillzhang  
   55 天前   ❤️ 1
两个方法。1. 关闭后台刷新; 2. 降低微信权限,开放部分照片的权限。
felixcode
    4
felixcode  
   55 天前   ❤️ 11
为什么收了 30%的审核费后还这样。
xingyuc
    5
xingyuc  
   55 天前   ❤️ 1
手机系统厂商:新的用户便捷功能!
App 厂商:如何用来获取更多用户数据?
cwbsw
    6
cwbsw  
   55 天前   ❤️ 1
“一旦用户授予它们完整的相册权限”

说得好像 iOS 相册权限被绕过了一样。
LudwigWS
    7
LudwigWS  
   55 天前 via iPhone
1. 缺乏具体日志的证据
2. 个人感觉大厂完全可以高枕无忧躺着赚钱,没必要冒这个风险分析用户的照片
Xusually
    8
Xusually  
   55 天前   ❤️ 3
来源请求
dier
    9
dier  
   55 天前   ❤️ 1
@cwbsw iOS 淘宝在不同的位置,能看到相册照片的范围就是不同,首页“搜索框”位置,扫码功能的相册读取范围是指定的照片可访问,你再到“消息”中找“我的小蜜”聊天,添加照片时点相册,能访问的照片就是所有
Roykira
    10
Roykira  
   55 天前
@dier 还真是,它是怎么做到的,有点厉害,就是在规则上面继续钻漏洞咯。
skies457
    11
skies457  
   55 天前
听君一席话 如听一席话
xx219
    12
xx219  
   55 天前
@dier 试了一下是这样的,怎么做到的。。。。。
skies457
    13
skies457  
   55 天前
@Roykira 猜测聊天中用的是系统自带的 image picker 吧
chipmuck
    14
chipmuck  
   55 天前   ❤️ 2
@LudwigWS 嗯?
xx219
    15
xx219  
   55 天前
淘宝那个应该是用了系统选择照片的 api,选中就直接发送了,实际上应该是看不到所有的照片的。和 wx 的实现方式都点区别,wx 是选中之后显示了一个 wx 自己的过渡页面。。。。
Leonard
    17
Leonard  
   55 天前   ❤️ 4
@dier #9 如果用系统自带的 imagepicker 的话不用任何权限就可以选取所有图片,app 也只能获取你选取的图片。如果自定义 picker 的话 app 需要获取相册权限,并可以获取到你允许的所有的图片。
DeaThNoTE
    18
DeaThNoTE  
   55 天前
@chipmuck 真是恶心又恐怖。。
iSteven
    19
iSteven  
   55 天前   ❤️ 5
@dier #9
@xx219 #12

“我的小蜜”其实是一个网页,并不是原生的,苹果给网页提供了一个读取相册资源的接口,这个接口是不用申请相册权限的(因为操作相册的并不是 app 进程而是系统的另外一个进程),其实这是网页委托系统去读取图片数据,流程是「网页->系统->相册->用户选中的图片->系统->网页」,从始至终网页都是读不到相册资源的,只能最后拿系统返回的图片。Android 也是有类似的接口。
Oopsm
    20
Oopsm  
   55 天前 via iPhone
@chipmuck 这个在哪里看
julypanda
    21
julypanda  
   55 天前
ios 上面都是一张一张的开权限
LaGeNanRen
    22
LaGeNanRen  
   55 天前
说实话关掉 ios 的后台刷新功能,电量和隐私都放心了许多
dier
    23
dier  
   55 天前
@Leonard
@iSteven 我并不是开发者,所以不太清楚其中的原理。如果按照你们说的不需要任何权限就能选取所有图片的话,我尝试了直接关闭淘宝的相册权限,结果就提示需要开启相册访问权限,然后所有的照片都看不了
dadachen1997
    24
dadachen1997  
   55 天前
有点好奇,iOS app 可以在不开启 app 的情况下,走后台刷新任务扫描照片吗
Leonard
    25
Leonard  
   55 天前
@dier #23 是不需要权限,但是淘宝通过 API 简单判断了你是否允许相册权限,不允许的话会直接不调取相册,不让你进行下一步而已,这是业务层面的东西。如果你允许访问选中的照片,即使你一张照片都没选中,也可以继续在所有照片里选。
songjiaxin2008
    26
songjiaxin2008  
   55 天前
后台刷新到底有什么用啊 关了会影响正常使用吗
Leonard
    27
Leonard  
   55 天前
@dier #23 所以就算你不允许,淘宝想调取系统相册让你继续选取照片在技术层面是完全可以做的,只是他因为各种原因选择了没做而已
gdgoldlion
    28
gdgoldlion  
   55 天前   ❤️ 7
很多国产 App,会诱导用户给予相册完整访问权限,比如:
- 故意把添加照片按钮弄得不好找,然后弹窗要完全访问权限
- 直接取消添加照片按钮,逼用户给予完全访问权限
- 限制添加照片功能的次数,打开一次 App 只能添加一次照片,无法多次添加
chipmuck
    29
chipmuck  
   55 天前
@Oopsm App Privacy Insights 这个 app 可以解析 iOS 保存的活动记录
dier
    30
dier  
   55 天前
@Leonard #25 如果是这样最好了
iSteven
    31
iSteven  
   55 天前   ❤️ 1
@dier #23

好像是这么回事,可能苹果对设置了禁止访问的 app 加强了管理。
我测试了一下,用 Firefox Focus 打开 sm.ms ,选择图片时并没有弹出申请访问权限的弹窗,而是直接打开了一个图片选择的页面,所以我猜测是苹果把禁止访问的优先级设置得比网页访问更高了。
oIMOo
    32
oIMOo  
   55 天前
@iSteven #19
@xx219 #15
@Leonard #17
我其实没明白,明明 imagpicker 完全不用给第三方权限,为什么还要保留并继续开发这个相册权限 API ?
前者不能区分相册还是文件,不应该啊……
MengiNo
    33
MengiNo  
   55 天前 via Android
微信甚至不给完全相册权限都无法保存图片到相册
Leonard
    34
Leonard  
   55 天前
@oIMOo #32 具体原因我不清楚,但是 imagepicker 明显不能满足所有场景,比如 Google Photo 备份,如果没有相册权限,而是用 imagepicker 让用户手动选,那也太难用了吧……
MengiNo
    35
MengiNo  
   55 天前 via Android
@oIMOo 用了这么久哪敢随便停,停了可能非常多 app 流程都受影响,比如很多修图 app 的编辑功能。
Jaosn
    36
Jaosn  
   55 天前
iOS 的 imagepicker 还是太麻烦了一点,有些垃圾 app 更新了可读取内容居然还会重启 app 。

让我一直很无法接受的就是我隐藏的照片,app 居然也有权限访问,让我的果照怎么办????!!!!😡
oIMOo
    37
oIMOo  
   55 天前
@MengiNo #35 修图的编辑功能我其实没懂怎么会被影响 —— 图片被加载到内存也好、对应 app 的沙箱也好,然后编辑完再群进去相册,保存是写的权限了。
不过 @Leonard #34 提到的场景真的是醍醐灌顶,确实没想到这个场景。
icyalala
    38
icyalala  
   55 天前   ❤️ 1
看了一下我自己的,感觉微信这个很有问题。。
yousabuk
    39
yousabuk  
   55 天前 via iPhone
@chipmuck 在哪里可以看这个?
WuSiYu
    40
WuSiYu  
   55 天前
今天发现 iOS 设置->隐私->文件与文件夹 里也有微信,先给取消了,关键是从 设置->微信 这里还看不见有这个权限
0o0o0o0
    41
0o0o0o0  
   55 天前
flyme 有一个”图库有限访问“的功能,可以指定各个 app 能够访问的图片
explorerproxy
    42
explorerproxy  
   55 天前
这条消息在 qq 群里好像发不出去
我发微博里的 4 张图片总是发送失败
touzi
    43
touzi  
   55 天前
Google photo 给了后台也没有微信这个活跃度, 毕竟 photo 是要专门更新照片的.
littlewing
    44
littlewing  
   55 天前
@cwbsw 微信一直诱导用户给全部相册的权限
zfree
    45
zfree  
   55 天前 via iPhone
如何记录 APP 活动呢?
Dashit
    46
Dashit  
   55 天前   ❤️ 1
@zfree 升级到 iOS15, 设置->通用->隐私->记录 App 活动->存储 App 活动后导出给第三方 App 解析。
Suigintou
    47
Suigintou  
   55 天前 via iPhone
@LudwigWS 不是,你居然会相信国内厂商?去年还是前年就有拼多多和 QQ 偷偷删用户照片。
ggmood
    48
ggmood  
   55 天前 via iPhone
@dier 是的,我也发现这个问题了,这属于“绕过”吧?
DarryO
    49
DarryO  
   55 天前 via iPhone
刚刚截图或者拍照后,立刻打开微信聊天窗口的话,w 微信会把刚才新保存的图片悬浮在右侧显示,点一下就能直接发送。频繁读取相册,有这个原因吧。之前没往隐私角度考虑的时候,确实也觉得挺方便的…
hst001
    50
hst001  
   55 天前 via Android
@felixcode 苹果:对喔,可以用这个作借口再收 20%
AlexRoot
    51
AlexRoot  
   55 天前
国内的软件生态急需要规范。国家还是在这个方面没有重视起来。
morize
    52
morize  
   55 天前
楼上各位怕不是没用过 pdd,拿用户照片和视频自动生成小视频,然后可以一键分享出去,默认开启,简直绝了。说是本地处理的,但是我不怎么信。
TypeError
    53
TypeError  
   55 天前
尽量不给国产软件任何权限
Rrobinvip
    54
Rrobinvip  
   55 天前   ❤️ 2
希望苹果能早日加一个限制 app 读取剪贴板的开关。这些国产 app 每次启动都要读取一次剪贴板,真的太那个了
icylogic
    55
icylogic  
   55 天前
现在这个手机 (iPhone 12 / iOS 14) 买了以后,就没给过微信 /qq 什么的访问权限……
看了下,完全访问权限只给了网盘类 (yandex) 和 内网 app (群晖之类的) ,用来备份和传输……
kyor0
    56
kyor0  
   55 天前
@AlexRoot 说不定就是上边要求这么整的
fan123199
    57
fan123199  
   55 天前   ❤️ 1
权限容易被滥用,很多 App 是这么干过。但是我相信微信不会去做这些违法事情。要做,它单单去分析已发送的图片就够了。PS:作为 Android 开发者,想从开发者角度谈谈,我觉得这个锅只能是手机系统背,App 开发者现在是如履薄冰。既然权限级别只能区分 app 级别(同意一次即永久同意)。同意后,App 当然有会想着去利用这个功能(当然不包括上传到后台),比如 App 检测到有最新照片,默认压缩一下,生成一张缩略图,用于下次快速分享,就算 App 不后台读取,只需要一次你有过一次发送照片的动作,也能乘机获取到所有照片信息,这个是防不住的。 当然很多人会觉得这种在后台默默做的动作就是有鬼,我觉得不要带着这 App 就是要干坏事的偏见来考虑这个问题,会更有好的解决方案。
jianqun
    58
jianqun  
   55 天前 via iPhone
微信 8.0 设置仅允许访问“选中的照片”,在 App 中选择照片时有一个“添加更多可访问照片”的接口,其实完全不影响使用。
CastleBUPT
    59
CastleBUPT  
   55 天前 via iPhone   ❤️ 1
甚至还有后台调用摄像头权限的 log,都想做个 demo 验证一下能不能后台拍照片了
KoreaFish
    60
KoreaFish  
   55 天前
真的需要鐵拳一下他們..
Lemeng
    61
Lemeng  
   55 天前
隐私图,一般不放手机
bao3
    62
bao3  
   55 天前 via iPhone
@fan123199 但也许微信更关心你未发送的图片是啥,这才叫隐私。已发送图片本来就要 OCR 的
Cielsky
    63
Cielsky  
   55 天前 via Android
@fan123199 所以 QQ 读取用户浏览器历史记录?
hanksun
    64
hanksun  
   55 天前 via iPhone
一直都不给国产应用任何权限
wwbfred
    65
wwbfred  
   55 天前   ❤️ 7
"相册发生内容更新时会通知 APP 做准备,APP 的该准备行为会被记录成读取系统相册。"
扯淡,iOS 系统半夜通知你照片更新了?典型的避重就轻,顾左右而言他。再也不相信任何国产软件了,所有权限全取消。
20160409
    66
20160409  
   55 天前 via Android
@wwbfred 连带甩锅
janssenkm
    67
janssenkm  
   55 天前 via iPhone
总有一天,汉语都被这些人玩成贬义词
janssenkm
    68
janssenkm  
   55 天前 via iPhone   ❤️ 1
@fan123199 就凭着缩略图的功能你在欧盟发一个吧,GDPR 可不是吃素的,只要你不告诉用户你要扫描相册做缩略图事后查出那保证罚得屁滚尿流
janssenkm
    69
janssenkm  
   55 天前 via iPhone
@morize PDD 一定不认识我,账号都没注册
James369
    70
James369  
   55 天前
@LudwigWS #7 你想多了,欲望是无止镜的,你有了 100 万就会想要 1000 万,更何况那些大厂
ArJun
    71
ArJun  
   55 天前
网络世界没有隐私可言·
Webpoplayer
    72
Webpoplayer  
   55 天前
我就纳闷,支付宝我从没给过通讯录权限,昨天充话费的时候,手误点,点到了通讯录那个图标,然后发现所有的通讯录都在里面,实时的,在通讯录新增一个,那也能立马读取到,确定从来没给过它通讯录权限。。
franklee628
    73
franklee628  
   55 天前
微信回应“后台读取相册”:便于快速发图,新版本中将取消
zxcslove
    74
zxcslove  
   55 天前
“我相信”值几个钱啊?哈?
cskeleton
    75
cskeleton  
   55 天前
@Webpoplayer #71 和前面讨论的那个 image picker 一样的,都是调用系统的 picker 。app 只能看到你选中返回给它的。
2i2Re2PLMaDnghL
    76
2i2Re2PLMaDnghL  
   55 天前
@janssenkm GDPR 要求披露,但没说披露的具体形式,芝加哥学院派的经济学人认为只要写了,就算是 7px,10%灰度的字也算写了。
janus77
    77
janus77  
   55 天前
微信已经发声明了 说是 feature 新版本会去掉 [狗头]
lshero
    78
lshero  
   55 天前
@LudwigWS 有没有想过是其他骚操作,比如限制了广告标识影响大厂赚钱,然后就通过这种骚操作去在多个 APP 中共享用户信息
justNoBody
    79
justNoBody  
   55 天前
@Dashit 回 46 楼,第三方 APP 有推荐的么?
fan123199
    80
fan123199  
   55 天前
@Cielsky 看了下报道,QQ 应该是实锤了。分析是比较详细的,包括了拿到数据后的处理。 现在微信这里只是抓取到了在读取相册操作。 当然我们可以以最大恶意去猜测他的动机。但是读取相册这个行为,并不能被定性为侵犯隐私。如果有人能分析出对数据的处理,才算是。我想表达的是 不要因为预设一个动机(就是要你的隐私)去解释某个行为。你无法接受微信官方对动机的解释,但是如果真相就是如此呢。 当然如果后续被分析出确实做了某些分析并上传,那是要上法庭的事了,不是说不给权限这么简单了。
dier
    81
dier  
   55 天前   ❤️ 1
@janus77 既然是 feature,为什么要去掉;去掉了还叫 feature 吗🤣
dier
    82
dier  
   55 天前
@ggmood # 48 如果像其他人说的那样用的是 iOS 的 imagpicker 的话,那就不算是绕过吧。但是不是只有淘宝开发者知道
JamesR
    83
JamesR  
   55 天前
国产 APP 直接不给无关权限。
gdgoldlion
    84
gdgoldlion  
   55 天前   ❤️ 1
下面快捷指令可以迅速打开:设置-隐私-照片
https://www.icloud.com/shortcuts/9ddefb01e6da4d0e95b53b716cff3321
在 iOS 15.0.1 上测试可用,对于某些不得不用的 App,如果找不到添加照片按钮,可以用这个来快速打开 iOS 的设置界面
CY4suncheng
    85
CY4suncheng  
   55 天前
@kirillzhang 关闭后台好像不行
CY4suncheng
    86
CY4suncheng  
   55 天前
@LudwigWS 微信都承认了,说下版本修复。。。
aliveyang
    87
aliveyang  
   55 天前
@AlexRoot 现在治国靠热度,热度不够不治
beimenjun
    88
beimenjun  
   55 天前
@dier 这个单纯就是网页添加图片的接口,没啥稀奇的,更谈不上“绕过”了。

因为网页点击这种按钮显示出来的视图对于 App 来说,既不能截图,也无法获得原始数据的。
beimenjun
    89
beimenjun  
   55 天前
@wwbfred 如果你开启了 iCloud 的话,从技术角度上其实是有可能半夜发生相册变化的。
dreamtrail
    90
dreamtrail  
   55 天前
现在警惕是不是有点晚了,我是从来都不给这些流氓权限的
Bunnyranch
    91
Bunnyranch  
   55 天前
我记得 github 有个 APP 可以把其他应用的相册调用替换成系统自带的,这样就不用给权限了,但是我忘记名字了 有人知道的能回我一下不
ericwoflskin
    92
ericwoflskin  
   55 天前   ❤️ 4
@fan123199 #57 你相信!?你相信有用吗?在这云洗地呢。
iOS 系统明明有“仅添加照片”的权限,微信故意不用,这不明摆着想要读你所有照片吗。
一个商业公司要看你的隐私,除了牟利,难到还能像你妈一样为你好?
所谓监督,尤其是大型巨头,就是要以可能干坏事的前提去就警惕它,这是公民社会基本常识,你就不用和稀泥了。
然后你所谓的解决方案呢,在这开空头支票忽悠谁呢。
chonger
    93
chonger  
   55 天前
早就苹果全家桶了,免除很多麻烦。但凡开放的系统,桌面 windows 移动安卓,都被国内这群流氓玩得体无完肤,实在没精力和这群流氓斗智斗勇。
dejavuwind
    94
dejavuwind  
   55 天前 via iPhone
换了 iOS 之后都是一张一张给权限
hazardous
    95
hazardous  
   55 天前   ❤️ 1
国内这个环境,用户对 app 还有信任吗?举着“为了提升用户体验”的幌子干着鸡鸣狗盗的事情还少吗?一颗老鼠屎都能坏了一锅汤,别说成千上万颗屎了。你说你是清白的,你跟之前那些屎去解释吧。
catfly
    96
catfly  
   55 天前
这个再那看到?
yogogo
    97
yogogo  
   55 天前
@fan123199
#57 小学生??
ericwoflskin
    98
ericwoflskin  
   55 天前   ❤️ 1
@yogogo #97 看言辞像揣着明白装糊涂的成年人
snw
    99
snw  
   54 天前 via Android
突然在想,微信这么占空间,是不是把手机相册所有图片的缩略图都存进自己数据库了?
wclebb
    100
wclebb  
   54 天前   ❤️ 1
哎,要不是搞所谓的国产保护(不让国外进来)。
还会有所谓的微信吗……

WhatsApp TG 哪个不是吊打微信。
1  2  
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4002 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 39ms · UTC 06:39 · PVG 14:39 · LAX 22:39 · JFK 01:39
♥ Do have faith in what you're doing.