这是一个创建于 2721 天前的主题,其中的信息可能已经有所发展或是发生改变。
在 5 月 24 日更新的 supersu v2.80 正式版中,新加入了读取位置信息和手机状态和身份等多项敏感权限,不知各位看法如何?
 |
1
datou 2017-05-25 10:28:54 +08:00
chainfire 早就把 supersu 卖给中国人了
|
 |
2
Tony2ee 2017-05-25 10:31:11 +08:00 via Android
本来也是想更新的,但是看到重新要了这么多权限,想想还是把 supersu 的自动更新关了吧。
|
 |
3
lechain 2017-05-25 10:32:08 +08:00 via Android
auto-update 已关…
|
 |
4
LuvF 2017-05-25 10:37:48 +08:00 via Android
现在很多第三方 ROM 都自带 root 管理器了
|
 |
5
kamen 2017-05-25 10:39:02 +08:00
附权限图一张
 |
 |
7
binjoo 2017-05-25 10:43:22 +08:00
不用 7.0,2.76 应该够了。
|
 |
8
Epsilon OP @datou chainfire 在 XDA 上说今天会更新一个 2.80 的 SR1 版,貌似现在 supersu 稳定版由中国公司做,BETA 版还是 chainfire 自己来做的
|
 |
9
honeycomb 2017-05-25 10:51:15 +08:00 via Android
ccmt 开始做坏事了
|
|
11
Epsilon OP XDA 上有人说可能是为了广告而收集信息,那么这事有点严重啊,因为用户在 supersu 面前可以说毫无防备,隐私会被轻易盗取
|
 |
12
lfk0000 2017-05-25 10:56:08 +08:00 via Android
用 AppOps 返回空值会不会闪退_(:з」∠)_
|
 |
13
firemeteorguo 2017-05-25 11:08:36 +08:00
我在想,supersu 这种软件如果真想干坏事是不是完全可以不让你知道?
|
|
14
kamen 2017-05-25 11:12:02 +08:00
@firemeteorguo #13 这是一个信任问题,我信任原来的开发者,但不信任现在的公司。
|
 |
15
QAPTEAWH 2017-05-25 11:13:19 +08:00
这玩意儿是不是完全开源的?不是的话有没有完全开源的替代品?
|
 |
16
AsherG 2017-05-25 11:13:43 +08:00  1
已经改用 magisk 自带 root 了,还能通过 safenet 检查,多棒
|
|
17
kamen 2017-05-25 11:15:35 +08:00
@QAPTEAWH #15
SuperSu 不开源 magisk 开源 开发者是台湾的 https://forum.xda-developers.com/apps/magisk/official-magisk-v7-universal-systemless-t3473445 |
|
19
firemeteorguo 2017-05-25 11:18:16 +08:00
@kamen 我的意思是说,现在这个不可信的开发者理论上是不是可以做出更隐蔽,更出格的事情?
澄清一下,没有为现开发者撇清的意思,理论探讨而已。我早已切换至 magisk 了。 |
|
21
AsherG 2017-05-25 11:21:33 +08:00
@Epsilon #20 我目前手机上的 x-plore 文件管理器、钛备份、app ops、sd 女佣、酷市场等需要 root 权限的 app 都可以正常获取权限,暂未发现不兼容的情况
|
 |
22
poorcai 2017-05-25 11:24:42 +08:00 via Android
不要更新了,够用就好,否则事情多
|
 |
23
wuzhizhemu569 2017-05-25 11:26:00 +08:00
用 magisk 或者 supersuer,不需要非得用 supersu
|
 |
24
HackerOO7 2017-05-25 12:56:10 +08:00 via Android
相信我,CCMT 是没有底线的,BOSS 甚至道德底线都没,之所以还没做那么多,是因为他们还没那能力,不更新或使用替代品吧
|
 |
25
fuwuqi66 2017-05-25 12:58:13 +08:00
路过
|
 |
26
iVeego 2017-05-25 13:04:03 +08:00
一觉醒来,PlayStore 自动更新了,试试 magisk.
|
 |
27
lada05 2017-05-25 14:25:34 +08:00
已经卡刷 SuperSU 的,怎么卸载,然后替换成 magisk 呢?搜不到教程啊?不想重新刷机
|
 |
28
lucifer9 2017-05-25 14:26:01 +08:00
magisk 的安装脚本是不是还没有对 Pixel 这种有俩 slot 的机型做适配
|
|
30
Epsilon OP 1
chainfire 在 XDA 上回应了,说他依旧为 Supersu 的代码工作,新的权限是为了 bug 的提交日志,让大家不要恐慌。
原文如下: We're investigating why v2.80 is losing root for some users. Stay tuned. As for the additional permissions, they are related to a feedback screen which allow you to submit bugreports. Analytics will also come at some point (which you will be able to opt-out of), which requires more or less the same permissions. Note that permissions are meaningless for root apps anyway. I still work on the SuperSU code and review all changes that make it in. Please stop raising a panic. The bug may well be my fault. |
 |
31
holmesabc 2017-05-25 16:08:22 +08:00
别人都有 root 权限了。想干坏事不想你知道,怎么都行,无非麻烦点。
只有用和不用 |
 |
32
morethansean 2017-05-25 16:12:43 +08:00
@Epsilon 什么 bug 日志需要这么详尽的权限……?
|
 |
33
seasstyle 2017-05-25 16:13:24 +08:00
哎哟了!我的天,几年后安卓还是隐私安全辣鸡的一笔。我特么瞎了眼花了 4K 多买个安卓机。。。。。。。。。。。。。求送机机
|
 |
36
7colcor 2017-05-25 16:33:14 +08:00
已经没在用了, 用的大神的 fulmics rom 替换成其他的了
|
|
39
seasstyle 2017-05-25 16:40:54 +08:00
@AsherG 那只是国外这些大厂的开发者和大部分的个人开发者懂得羞耻之心,安卓品牌就是没有门锁的房间,你不在家时有羞耻的人不做贼,没有羞耻的就做贼,就这么简单啊!还不归咎于更深层次的射会学,LOL,(面目狰狞的笑)
|
|
42
seasstyle 2017-05-25 16:52:52 +08:00
@AsherG 可以申请,但可以用户选择不给,你也知道安卓那,不给就不启动,你奈我何。LOL 多亏有了 appops 这个软还有其他打残软化。反正就是这样。
|
|
44
honeycomb 2017-05-25 16:56:07 +08:00
|
|
45
seasstyle 2017-05-25 16:56:21 +08:00
于是乎就又又了阿里系软件,不懂羞耻,把它打残了不给启动不给权限就开始自检,检测到自己被打残了,还是不给启动不给用。点名:阿里全家桶 /360 全家桶 /腾讯全家桶
|
|
46
AsherG 2017-05-25 16:58:26 +08:00
@honeycomb #44 对啊,所以 google play 也下架过违规如支付宝等 app 啊,别说重新上架,appstore 也能重新上架。
|
|
47
honeycomb 2017-05-25 17:02:31 +08:00
@AsherG Android 直到 O 才把设备识别码的问题解决了:
1,可以认为完全做到了禁止访问(或由电话权限保护)一切持久(刷机后也不可改变)的识别码。 2,SSAID(Android ID)对于每个应用而言是不同的,刷机后会重置 然而以上的电话权限在设计之初就允许滥用 “ An app can always refuse to work if the user does not give it a permission but the user can always uninstall such app and give it one star. This is Working As Intended.” chainfire 说的内容符合实际,除了电话权限(拿 IMEI)和位置权限。 |
 |
50
chinni 2017-05-25 17:05:47 +08:00
@AsherG 你的 Magisk 钛备份能获取 root 是没问题 你试过批量还原程序么. 貌似自动的安装方式在 Magisk 下是不能用的.只能每个 app 手动点安装. Nexus 6 + Magisk + 7.1.1 实测. 各种第三方 rom + Magisk 都不行
|
|
51
AsherG 2017-05-25 17:10:52 +08:00
|
 |
55
CommandZi 2017-05-25 17:16:53 +08:00 via iPhone
|
|
56
AsherG 2017-05-25 17:20:03 +08:00
|
|
58
honeycomb 2017-05-25 17:27:47 +08:00 via Android 1
@AsherG
是的,权限的问题终究会归因到开发商贪得无厌,系统提供一个可以 opt-out 的权限机制在这个意义上属于锦上添花。 站在用户的角度,运行时权限机制是用于拒绝权限的,并还隐含的包含让应用要在这样的情况下运行的含义。如果不能有效地做到,权限机制等于没有。这是导致人们觉得 Android6+的运行时权限机制不地道的原因。 换一个说法,应用应当总是使用最少(低)的权限。 很自然的,现在会有不止一个的 appops 包装应用,来对付滥用运行时权限的流氓软件。 |
 |
59
tumbzzc 2017-05-25 17:31:43 +08:00
看起来想要广告劫持
|
 |
63
Khlieb 2017-05-26 13:14:03 +08:00 via Android
SuperSU 已经姓赵了
|
 |
64
asdwddd 2017-05-26 15:35:33 +08:00
请问 SuperSU-v2.79-201612051815 这个版本安全么?
之前一直用的 2.76 升级到安卓 7.0 后发现 2.76 刷入会有问题! |
|
65
asdwddd 2017-05-26 15:43:13 +08:00
@honeycomb 请问安卓 7.0 上 用 appops 禁用掉了爱奇艺获取手机号,但是直接启动爱奇艺 提示获取手机号,禁用就强制退出,那么选择允许,但是 appops 禁用的,这样爱奇艺就获取不到用户的个人信息了吧
7.0 不支持 xprivacy 准备刷回去 |
|
66
honeycomb 2017-05-26 20:06:47 +08:00 1
@asdwddd
"用 appops 禁用掉了爱奇艺获取手机号,但是直接启动爱奇艺 提示获取手机号,禁用就强制退出,那么选择允许" 这么做的结果是: Runtime Permission 层面,爱奇艺获得了电话权限,调用 TelephonyManager.getDeviceId()不会直接抛出 SecurityExcaption。 AppOps 层面,爱奇艺没有在调用受这个 OP 管辖的 API(TelephonyManager.getDeviceId())时,返回 null 即爱奇艺不能从这个 API 获取信息 AppOps 具体怎么在这个函数里工作,看源代码 https://android.googlesource.com/platform/frameworks/opt/telephony/+/9eafe27e7974e38a45ba387c03332653c1ecf7dd/src/java/com/android/internal/telephony/PhoneSubInfo.java public String getDeviceId(String callingPackage) { if (!checkReadPhoneState(callingPackage, "Requires READ_PHONE_STATE")) { return null; } return mPhone.getDeviceId(); } private boolean checkReadPhoneState(String callingPackage, String message) { //--->运行时权限在这里,这关过不了则抛出 SerurityException mContext.enforceCallingOrSelfPermission( android.Manifest.permission.READ_PHONE_STATE, message); //--->AppOps 管这里,不等于 AppOpsManager.MODE_ALLOWED 则返回 null return mAppOps.noteOp(AppOpsManager.OP_READ_PHONE_STATE, Binder.getCallingUid(), callingPackage) == AppOpsManager.MODE_ALLOWED; } https://developer.android.com/reference/android/content/Context.html#enforceCallingOrSelfPermission(java.lang.String, java.lang.String) |
|
67
asdwddd 2017-05-27 15:58:56 +08:00
@honeycomb 多谢解答,这么说安卓 7.0 xprivacy 可以用 appops 代替了? 是不是还是没有 xprivacy 强大吧
|
|
68
honeycomb 2017-05-27 17:18:47 +08:00
@asdwddd
AppOps 的职责有三个: 1,处理运行时权限机制下,优雅地应对旧版应用。这里所谓的优雅就是返回 null 我们用 AppOps 对付流氓软件实际上就是依靠这一点 2,有一些用户可选的非运行时权限实际上就是 AppOps(比如修改"系统设定"等,注:这里的系统设定是专指 android.provider.Settings.System 对应的内容) 3,AppOps 的 RUN_IN_BACKGROUND 也是这次 Android O 新增的后台限制的开关,目前的第二预览版的 UI 允许用户对旧应用开启该限制。 功能上肯定是 Xprivacy 强得多,可以直接看源码做对比 实际上 Xprivacy 的界面就会明确告诉你它会劫持掉哪些 API |
Select Language