V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Epsilon
V2EX  ›  Android

如何看待 supersu v2.80 正式版加入大量敏感权限?

  •  
  •   Epsilon · 2017-05-25 10:12:48 +08:00 · 15728 次点击
    这是一个创建于 2721 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在 5 月 24 日更新的 supersu v2.80 正式版中,新加入了读取位置信息和手机状态和身份等多项敏感权限,不知各位看法如何?
    69 条回复    2017-06-12 00:50:53 +08:00
    datou
        1
    datou  
       2017-05-25 10:28:54 +08:00
    chainfire 早就把 supersu 卖给中国人了
    Tony2ee
        2
    Tony2ee  
       2017-05-25 10:31:11 +08:00 via Android
    本来也是想更新的,但是看到重新要了这么多权限,想想还是把 supersu 的自动更新关了吧。
    lechain
        3
    lechain  
       2017-05-25 10:32:08 +08:00 via Android
    auto-update 已关…
    LuvF
        4
    LuvF  
       2017-05-25 10:37:48 +08:00 via Android
    现在很多第三方 ROM 都自带 root 管理器了
    kamen
        5
    kamen  
       2017-05-25 10:39:02 +08:00
    附权限图一张
    Epsilon
        6
    Epsilon  
    OP
       2017-05-25 10:41:37 +08:00
    @LuvF 但第三方的 rom 的 root 大多都不完整,例如钛备份之类的就不能用
    binjoo
        7
    binjoo  
       2017-05-25 10:43:22 +08:00
    不用 7.0,2.76 应该够了。
    Epsilon
        8
    Epsilon  
    OP
       2017-05-25 10:43:33 +08:00
    @datou chainfire 在 XDA 上说今天会更新一个 2.80 的 SR1 版,貌似现在 supersu 稳定版由中国公司做,BETA 版还是 chainfire 自己来做的
    honeycomb
        9
    honeycomb  
       2017-05-25 10:51:15 +08:00 via Android
    ccmt 开始做坏事了
    LuvF
        10
    LuvF  
       2017-05-25 10:51:50 +08:00
    @Epsilon 我用过 lineageos,rr 和 hexa-project,钛备份都没问题啊
    Epsilon
        11
    Epsilon  
    OP
       2017-05-25 10:51:59 +08:00
    XDA 上有人说可能是为了广告而收集信息,那么这事有点严重啊,因为用户在 supersu 面前可以说毫无防备,隐私会被轻易盗取
    lfk0000
        12
    lfk0000  
       2017-05-25 10:56:08 +08:00 via Android
    用 AppOps 返回空值会不会闪退_(:з」∠)_
    firemeteorguo
        13
    firemeteorguo  
       2017-05-25 11:08:36 +08:00
    我在想,supersu 这种软件如果真想干坏事是不是完全可以不让你知道?
    kamen
        14
    kamen  
       2017-05-25 11:12:02 +08:00
    @firemeteorguo #13 这是一个信任问题,我信任原来的开发者,但不信任现在的公司。
    QAPTEAWH
        15
    QAPTEAWH  
       2017-05-25 11:13:19 +08:00
    这玩意儿是不是完全开源的?不是的话有没有完全开源的替代品?
    AsherG
        16
    AsherG  
       2017-05-25 11:13:43 +08:00   ❤️ 1
    已经改用 magisk 自带 root 了,还能通过 safenet 检查,多棒
    kamen
        17
    kamen  
       2017-05-25 11:15:35 +08:00
    Epsilon
        18
    Epsilon  
    OP
       2017-05-25 11:16:37 +08:00
    @QAPTEAWH 没有开源,Superuser 是开源的,不过作者好像弃坑很久了
    firemeteorguo
        19
    firemeteorguo  
       2017-05-25 11:18:16 +08:00
    @kamen 我的意思是说,现在这个不可信的开发者理论上是不是可以做出更隐蔽,更出格的事情?
    澄清一下,没有为现开发者撇清的意思,理论探讨而已。我早已切换至 magisk 了。
    Epsilon
        20
    Epsilon  
    OP
       2017-05-25 11:18:28 +08:00
    @AsherG 不知 Magisk 现在的稳定性如何,之前看很多人说有应用获取不了 root 权限
    AsherG
        21
    AsherG  
       2017-05-25 11:21:33 +08:00
    @Epsilon #20 我目前手机上的 x-plore 文件管理器、钛备份、app ops、sd 女佣、酷市场等需要 root 权限的 app 都可以正常获取权限,暂未发现不兼容的情况
    poorcai
        22
    poorcai  
       2017-05-25 11:24:42 +08:00 via Android
    不要更新了,够用就好,否则事情多
    wuzhizhemu569
        23
    wuzhizhemu569  
       2017-05-25 11:26:00 +08:00
    用 magisk 或者 supersuer,不需要非得用 supersu
    HackerOO7
        24
    HackerOO7  
       2017-05-25 12:56:10 +08:00 via Android
    相信我,CCMT 是没有底线的,BOSS 甚至道德底线都没,之所以还没做那么多,是因为他们还没那能力,不更新或使用替代品吧
    fuwuqi66
        25
    fuwuqi66  
       2017-05-25 12:58:13 +08:00
    路过
    iVeego
        26
    iVeego  
       2017-05-25 13:04:03 +08:00
    一觉醒来,PlayStore 自动更新了,试试 magisk.
    lada05
        27
    lada05  
       2017-05-25 14:25:34 +08:00
    已经卡刷 SuperSU 的,怎么卸载,然后替换成 magisk 呢?搜不到教程啊?不想重新刷机
    lucifer9
        28
    lucifer9  
       2017-05-25 14:26:01 +08:00
    magisk 的安装脚本是不是还没有对 Pixel 这种有俩 slot 的机型做适配
    honeycomb
        29
    honeycomb  
       2017-05-25 14:50:36 +08:00 via Android
    @lucifer9 是的,截至 v12.0,A/B 分区单位支持依然处于 wip
    Epsilon
        30
    Epsilon  
    OP
       2017-05-25 16:00:20 +08:00   ❤️ 1
    chainfire 在 XDA 上回应了,说他依旧为 Supersu 的代码工作,新的权限是为了 bug 的提交日志,让大家不要恐慌。
    原文如下:
    We're investigating why v2.80 is losing root for some users. Stay tuned.

    As for the additional permissions, they are related to a feedback screen which allow you to submit bugreports. Analytics will also come at some point (which you will be able to opt-out of), which requires more or less the same permissions. Note that permissions are meaningless for root apps anyway.

    I still work on the SuperSU code and review all changes that make it in. Please stop raising a panic. The bug may well be my fault.
    holmesabc
        31
    holmesabc  
       2017-05-25 16:08:22 +08:00
    别人都有 root 权限了。想干坏事不想你知道,怎么都行,无非麻烦点。

    只有用和不用
    morethansean
        32
    morethansean  
       2017-05-25 16:12:43 +08:00
    @Epsilon 什么 bug 日志需要这么详尽的权限……?
    seasstyle
        33
    seasstyle  
       2017-05-25 16:13:24 +08:00
    哎哟了!我的天,几年后安卓还是隐私安全辣鸡的一笔。我特么瞎了眼花了 4K 多买个安卓机。。。。。。。。。。。。。求送机机
    AsherG
        34
    AsherG  
       2017-05-25 16:14:51 +08:00
    @seasstyle #33 国内软件公司几乎都这样,有什么办法
    seasstyle
        35
    seasstyle  
       2017-05-25 16:31:15 +08:00
    @AsherG 其实怪不得国内软件,是谷歌源头没控制好,自然是上梁不正下梁歪
    7colcor
        36
    7colcor  
       2017-05-25 16:33:14 +08:00
    已经没在用了, 用的大神的 fulmics rom 替换成其他的了
    AsherG
        37
    AsherG  
       2017-05-25 16:35:54 +08:00
    @seasstyle #35 那为什么国外的 app 在权限这方面普遍要好一点?
    7654
        38
    7654  
       2017-05-25 16:40:13 +08:00   ❤️ 1
    @Epsilon #30 套用一句话 talk is cheap, show me the code
    个人名义背书有什么用
    seasstyle
        39
    seasstyle  
       2017-05-25 16:40:54 +08:00
    @AsherG 那只是国外这些大厂的开发者和大部分的个人开发者懂得羞耻之心,安卓品牌就是没有门锁的房间,你不在家时有羞耻的人不做贼,没有羞耻的就做贼,就这么简单啊!还不归咎于更深层次的射会学,LOL,(面目狰狞的笑)
    seasstyle
        40
    seasstyle  
       2017-05-25 16:42:40 +08:00
    @AsherG 如果 Google 是个房地产公司那他就该让他开发的房子都有门锁啊!说白了还是谷歌的错,lol
    AsherG
        41
    AsherG  
       2017-05-25 16:44:48 +08:00
    @seasstyle #40 那我问你,5 楼图中的那些诸如“位置权限”“网络权限”“图片权限”,IOS 就不能申请吗?
    seasstyle
        42
    seasstyle  
       2017-05-25 16:52:52 +08:00
    @AsherG 可以申请,但可以用户选择不给,你也知道安卓那,不给就不启动,你奈我何。LOL 多亏有了 appops 这个软还有其他打残软化。反正就是这样。
    AsherG
        43
    AsherG  
       2017-05-25 16:53:59 +08:00
    @seasstyle #42 那我再问你,不给权限就不启动这种恶心人的功能,iOS 上能不能实现?
    honeycomb
        44
    honeycomb  
       2017-05-25 16:56:07 +08:00
    @AsherG
    “不给权限就不启动这种恶心人的功能,iOS 上能不能实现”:
    1,就代码而言能实现
    2,苹果能实现让这些应用无法上架
    3,最终这些特性在 iOS 上不能实现
    seasstyle
        45
    seasstyle  
       2017-05-25 16:56:21 +08:00
    于是乎就又又了阿里系软件,不懂羞耻,把它打残了不给启动不给权限就开始自检,检测到自己被打残了,还是不给启动不给用。点名:阿里全家桶 /360 全家桶 /腾讯全家桶
    AsherG
        46
    AsherG  
       2017-05-25 16:58:26 +08:00
    @honeycomb #44 对啊,所以 google play 也下架过违规如支付宝等 app 啊,别说重新上架,appstore 也能重新上架。
    honeycomb
        47
    honeycomb  
       2017-05-25 17:02:31 +08:00
    @AsherG Android 直到 O 才把设备识别码的问题解决了:

    1,可以认为完全做到了禁止访问(或由电话权限保护)一切持久(刷机后也不可改变)的识别码。

    2,SSAID(Android ID)对于每个应用而言是不同的,刷机后会重置

    然而以上的电话权限在设计之初就允许滥用
    “ An app can always refuse to work if the user does not give it a permission but the user can always uninstall such app and give it one star. This is Working As Intended.”

    chainfire 说的内容符合实际,除了电话权限(拿 IMEI)和位置权限。
    Epsilon
        48
    Epsilon  
    OP
       2017-05-25 17:02:40 +08:00
    @7654 同感,不开源的话说什么都不能不信
    honeycomb
        49
    honeycomb  
       2017-05-25 17:03:55 +08:00
    @AsherG
    支付宝,高德,百度地图这些的下架并不是因为强行获取权限。
    而是其它原因。
    chinni
        50
    chinni  
       2017-05-25 17:05:47 +08:00
    @AsherG 你的 Magisk 钛备份能获取 root 是没问题 你试过批量还原程序么. 貌似自动的安装方式在 Magisk 下是不能用的.只能每个 app 手动点安装. Nexus 6 + Magisk + 7.1.1 实测. 各种第三方 rom + Magisk 都不行
    AsherG
        51
    AsherG  
       2017-05-25 17:10:52 +08:00
    @honeycomb #47 Android 系统因为它自身开放性等特点,在一些安全性方面肯定不如高度封闭的 iOS 做得好,但是我完全不赞同 @seasstyle 说的“其实怪不得国内软件,是谷歌源头没控制好,自然是上梁不正下梁歪”这句话
    另外支付宝们下架的原因我知道,主要是因为热更新,我只是举例说明 google play 也有管控机制
    Epsilon
        52
    Epsilon  
    OP
       2017-05-25 17:10:58 +08:00
    @AsherG Magisk 在魔趣上会替代掉原有 cm su,导致 OTA 失败
    AsherG
        53
    AsherG  
       2017-05-25 17:11:15 +08:00
    @chinni #50 那我倒是没试过,我就备份个 wifi 密码和个别 app
    AsherG
        54
    AsherG  
       2017-05-25 17:12:46 +08:00
    @Epsilon #52 我是原生系统直接用 Magisk 自带的 root 的,OTA 倒没试过,一直刷镜像包的
    CommandZi
        55
    CommandZi  
       2017-05-25 17:16:53 +08:00 via iPhone
    @AsherG 为什么国外的 app 在权限这方面普遍要好一点?
    你真以为国外都是圣母,道德高尚?
    那是因为国外侵犯隐私权是会上法庭的。
    AsherG
        56
    AsherG  
       2017-05-25 17:20:03 +08:00
    @CommandZi #55 朋友你回错人了吧,我可没说国外权限方面好一点是因为他们道德高尚,是 @seasstyle 这位大兄弟说的
    CommandZi
        57
    CommandZi  
       2017-05-25 17:22:32 +08:00 via iPhone
    @AsherG 额......
    honeycomb
        58
    honeycomb  
       2017-05-25 17:27:47 +08:00 via Android   ❤️ 1
    @AsherG
    是的,权限的问题终究会归因到开发商贪得无厌,系统提供一个可以 opt-out 的权限机制在这个意义上属于锦上添花。

    站在用户的角度,运行时权限机制是用于拒绝权限的,并还隐含的包含让应用要在这样的情况下运行的含义。如果不能有效地做到,权限机制等于没有。这是导致人们觉得 Android6+的运行时权限机制不地道的原因。

    换一个说法,应用应当总是使用最少(低)的权限。

    很自然的,现在会有不止一个的 appops 包装应用,来对付滥用运行时权限的流氓软件。
    tumbzzc
        59
    tumbzzc  
       2017-05-25 17:31:43 +08:00
    看起来想要广告劫持
    LuvF
        60
    LuvF  
       2017-05-25 17:34:31 +08:00 via Android
    @chinni 你的钛备份是专业版么
    wangxn
        61
    wangxn  
       2017-05-25 18:10:10 +08:00 via Android
    @kamen 都能卖掉软件了,何谈信任?
    chinni
        62
    chinni  
       2017-05-26 10:22:34 +08:00
    @LuvF 是的.
    Khlieb
        63
    Khlieb  
       2017-05-26 13:14:03 +08:00 via Android
    SuperSU 已经姓赵了
    asdwddd
        64
    asdwddd  
       2017-05-26 15:35:33 +08:00
    请问 SuperSU-v2.79-201612051815 这个版本安全么?
    之前一直用的 2.76
    升级到安卓 7.0 后发现 2.76 刷入会有问题!
    asdwddd
        65
    asdwddd  
       2017-05-26 15:43:13 +08:00
    @honeycomb 请问安卓 7.0 上 用 appops 禁用掉了爱奇艺获取手机号,但是直接启动爱奇艺 提示获取手机号,禁用就强制退出,那么选择允许,但是 appops 禁用的,这样爱奇艺就获取不到用户的个人信息了吧

    7.0 不支持 xprivacy 准备刷回去
    honeycomb
        66
    honeycomb  
       2017-05-26 20:06:47 +08:00   ❤️ 1
    @asdwddd

    "用 appops 禁用掉了爱奇艺获取手机号,但是直接启动爱奇艺 提示获取手机号,禁用就强制退出,那么选择允许"

    这么做的结果是:
    Runtime Permission 层面,爱奇艺获得了电话权限,调用 TelephonyManager.getDeviceId()不会直接抛出 SecurityExcaption。

    AppOps 层面,爱奇艺没有在调用受这个 OP 管辖的 API(TelephonyManager.getDeviceId())时,返回 null

    即爱奇艺不能从这个 API 获取信息

    AppOps 具体怎么在这个函数里工作,看源代码
    https://android.googlesource.com/platform/frameworks/opt/telephony/+/9eafe27e7974e38a45ba387c03332653c1ecf7dd/src/java/com/android/internal/telephony/PhoneSubInfo.java

    public String getDeviceId(String callingPackage) {
    if (!checkReadPhoneState(callingPackage, "Requires READ_PHONE_STATE")) {
    return null;
    }
    return mPhone.getDeviceId();
    }

    private boolean checkReadPhoneState(String callingPackage, String message) {
    //--->运行时权限在这里,这关过不了则抛出 SerurityException
    mContext.enforceCallingOrSelfPermission(
    android.Manifest.permission.READ_PHONE_STATE, message);

    //--->AppOps 管这里,不等于 AppOpsManager.MODE_ALLOWED 则返回 null
    return mAppOps.noteOp(AppOpsManager.OP_READ_PHONE_STATE, Binder.getCallingUid(),
    callingPackage) == AppOpsManager.MODE_ALLOWED;
    }


    https://developer.android.com/reference/android/content/Context.html#enforceCallingOrSelfPermission(java.lang.String, java.lang.String)
    asdwddd
        67
    asdwddd  
       2017-05-27 15:58:56 +08:00
    @honeycomb 多谢解答,这么说安卓 7.0 xprivacy 可以用 appops 代替了? 是不是还是没有 xprivacy 强大吧
    honeycomb
        68
    honeycomb  
       2017-05-27 17:18:47 +08:00
    @asdwddd

    AppOps 的职责有三个:
    1,处理运行时权限机制下,优雅地应对旧版应用。这里所谓的优雅就是返回 null
    我们用 AppOps 对付流氓软件实际上就是依靠这一点

    2,有一些用户可选的非运行时权限实际上就是 AppOps(比如修改"系统设定"等,注:这里的系统设定是专指 android.provider.Settings.System 对应的内容)

    3,AppOps 的 RUN_IN_BACKGROUND 也是这次 Android O 新增的后台限制的开关,目前的第二预览版的 UI 允许用户对旧应用开启该限制。

    功能上肯定是 Xprivacy 强得多,可以直接看源码做对比
    实际上 Xprivacy 的界面就会明确告诉你它会劫持掉哪些 API
    cskeleton
        69
    cskeleton  
       2017-06-12 00:50:53 +08:00
    @AsherG 然而 Play 版的微信依然是不给权限不让用的节奏~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1245 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 23:14 · PVG 07:14 · LAX 15:14 · JFK 18:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.