开篇说一下起因,
本来是这样的,手机是 flyme,root 了想精简一下不必要的程序,看到一个不认识的包名com.meizu.sceneinfo
百度了一下,不知云云,然后谷歌了一下,好像发现了一个不得了的网址
然后进去看看,里面是这样的
emmmm,我好像发现了什么不得了的东西
两个网址索引都是有这个包名的,我试着高级搜索,找几个大家都会用的程序,然后 emmmm
安卓形式真的这么严峻吗,现在有种脱光衣服站在大街上的感觉。
最后再吐槽一下这个所谓的跑店通,这样的东西完全没设置权限,嫌麻烦吗?
发到这个节点也不是想奢求你们删数据,毕竟这么做的我相信不止你们一家;但是至少让普通人看不到吧。。。
 |
1
DoraJDJ Nov 22, 2017
所以要想用国产大厂的应用程序,还是把它放到 iOS 设备比较好,或者网页版如果能用就不用 App。
|
 |
2
riggzh Nov 22, 2017
IMEI 是电话权限,很多软件去要了这个权限。
|
 |
3
iFlicker Nov 22, 2017 via Android  1
国外的也是,gp 上下载的好多都会干这种事。不信可以去抓包 or 反编译瞅瞅
|
|
4
DoraJDJ Nov 22, 2017
@riggzh 说到电话权限,之前装酷安的时候就很纳闷,启动的时候这应用要求了两个权限:存储空间和电话。
我就纳闷了,你个应用商店要打 call (字面意义上的)吗?现在看到这个评论算是明白了,果然我把酷安塞进 Android 虚拟机用是没错的。 |
 |
5
kx5d62Jn1J9MjoXP Nov 22, 2017
root 了本来就是这样的
|
 |
6
hsuan Nov 22, 2017 via Android 1
能不能说的明白一点,把你的什么数据暴露了?
|
 |
7
7654 Nov 22, 2017
这个网站可以任意浏览,居然还有 http 日志
创建时间 手机时间 客户 版本 Status Code Request Method Request URL 查看 |
 |
8
snowolfy Nov 22, 2017
是我的电脑问题么?就只有我看不到截图?
|
 |
9
xiaome OP |
 |
10
yejinmo Nov 22, 2017
我试了一下百度是搜不到的 所以
普通人看不到🙄 |
 |
11
QaMHDByN Nov 22, 2017 via Android
楼主对 Google 的运用很娴熟!!
|
 |
12
LPeJuN6lLsS9 Nov 22, 2017
获取所有程序列表这权限似乎很容易拿到,Android N 自带的权限控制关不掉,我现在看到要电话权限的就怕
|
 |
13
oott123 Nov 22, 2017 via Android
看了一下 跑店通,应该是某种企业管理软件。
这种和软件开发者水平挂钩,和操作系统关系并不算非常大,虽然说在 iOS 下也没法收集这么多信息就是了。 |
 |
14
ylx Nov 22, 2017
获得约 1,200 条结果
|
 |
15
pie Nov 22, 2017
怎么搞?限制一下。手头也有 flyme ……
|
|
16
riggzh Nov 22, 2017 1
@xiaome 其实安卓官方有最佳方法
https://developer.android.google.cn/training/articles/user-data-ids.html?hl=zh-cn 但是因为一些你懂得原因,就是要拿你的 IMEI 而且不拿你的 IMEI,老子就不让你用了 比如微信:  |
 |
18
AddWar Nov 22, 2017
好像只暴露了一些常用应用
|
 |
19
qdwang Nov 22, 2017
隐私这种东西,已经放弃了。除非所有产品都是去中心化的。纯去中心化的产品,有需要的时候,才会认真考虑隐私问题,并且才能保证任何非你允许的人都获取不到你的隐私。
|
 |
20
JuicyJ Nov 22, 2017
i.loli.net 的响应时间过长。
图床挂了? |
 |
21
besto Nov 22, 2017
这是 VENDOR 内置的程序和 Android 有什么关系。。。他当然想干嘛干嘛了。。。
|
 |
22
yushiro Nov 22, 2017 via iPhone
@riggzh 没错,android 版本的微信就是这么流氓,本来备用机是三星的,顺便测试一下 andriod 版微信开发页面的兼容性,现在只能用回 ios 了。
|
 |
23
cove Nov 22, 2017
TIM 截图 20171122090106.png 里面的一些截图这样木有发看呀。
|
 |
24
jasonnz Nov 22, 2017
iOS 是对付流氓的利器。
|
 |
25
x86 Nov 22, 2017
直接访问就可以看了
http://log.paodiantong.com/ |
 |
26
qsnow6 Nov 22, 2017
所以撇开流畅,信任这些因素,Android 的大环境跟 IOS 还是有差距;
|
|
27
qsnow6 Nov 22, 2017
信仰
|
 |
28
AckywOw Nov 22, 2017
话说 IMEI 泄露了会怎样?
|
 |
29
DeweyReed Nov 22, 2017
获取应用列表及每个应用详情,本不需要任何权限。还有 CPU 等等的信息。
iOS 我查了一下似乎也不需要(不懂 iOS )。 |
 |
31
cppgohan Nov 22, 2017
看起来是一个 app 上报的日志错误信息..
Android 权限比 iOS 要开放, 我觉得开放是个双刃剑, 不过我倾向于合理的开放. 相比 iOS 今天在国区下架原版 minecraft, 明天在国区下架 RSS 软件, 折腾半天才能装上软件, app 一定要走 store 家的分成. 我还是觉得 Android 的方式更自由, 但同时你也牺牲了审核, 带来了风险. Android 和 PC 一样, 列举安装的应用, 每个应用程序都可以做到, 今日头条什么的肯定用它来挖掘用户喜好和用户画像了. |
 |
32
love4taylor PRO 1
@riggzh 只是拿 IMEI 还算好了 之前 TIM 还明晃晃的把 IMEI 放在内置浏览器 UA 里......
|
 |
33
domty Nov 22, 2017
拿 IMEI 是为了算 App 留存率之类的数据吧。
|
 |
34
yanhejihe Nov 22, 2017 2
md,电话权限其实是个误翻译。很多 app 要的电话权限其实只是 phone-state (手机状态)权限,而不是 call,也不是 contacts 权限,是为了获取手机的 imei 用的。当然这个锅还是要 Android 背。
|
 |
35
CastleBUPT Nov 22, 2017 1
谷歌这家公司就是靠追踪用户数据来打广告盈利的
基因如此,Android 当然不会对此做什么限制 所以要是用 Android 的话,就不要把这些数据当作隐私就好啦 |
|
36
yanhejihe Nov 22, 2017
如果这个 lz 发的网址是生产用户的数据,那问题也很大,我认为这应该只是测试数据。
|
 |
39
v0768ex Nov 22, 2017
每装 app 后就把权限全关掉,再按需要慢慢开启。然后别把手机隐私看得太重,其实我们早无隐私可言了。
|
|
40
yanhejihe Nov 22, 2017 1
@CastleBUPT 逻辑不对。Google 他可以给自己的应用所有权限,但把第三方权限限制死,也不会影响 Google 追踪数据。所以用这个理由来说明 Android 的权限问题是不合理的。权限问题是个技术问题,不是简单的为了数据。把权限完全限制死了,如果想做一个自动读取验证码的功能就不行了,iOS 就是这样的无趣。
|
 |
41
game3108 Nov 22, 2017
iOS 目前看来唯一一个好处就是比 android 安全一些了。。。。。。
|
|
42
CastleBUPT Nov 22, 2017
@yanhejihe
如果 Google 在 Android 里留后门给自己,会不会牵扯到法务问题我不知道。。。 我想说的是 Android 在开发的过程中可能就没考虑过把用户数据当作隐私,所以也不会有给自己留后门的问题。 FYI,自动读取验证码这个功能在我看来超级可怕。 |
 |
43
notreami Nov 22, 2017
在地球,居然有人谈隐私???哪个国家?哪个产品?敢说没利用用户隐私???
|
|
45
CastleBUPT Nov 22, 2017 1
|
 |
46
EricCartman Nov 22, 2017 via Android
@notreami 但是我不敢把心隐私给你国小企业啊
|
 |
47
muziki Nov 22, 2017
上梁不正下梁歪系列
连 google 自己都在用户关闭相关设置的情况下私自上传敏感数据就不要怪 android 厂商吃相难看了 https://www.theverge.com/2017/11/21/16684818/google-location-tracking-cell-tower-data-android-os-firebase-privacy |
 |
48
shellZCY Nov 22, 2017
安卓你还想要隐私?穿个露档大裤衩走大街上,你告诉我你要把小弟弟藏起来....
|
 |
49
xiaozuo Nov 22, 2017 via iPhone
@yanhejihe 现在数据是各广告主可以买卖共享的,如果谷歌只给自家 app 权限,不给其他 app 权限,意味着谷歌买不到其他 app 的数据了
|
 |
51
opengps Nov 22, 2017
网站权限不合理导致的漏洞比比皆是,我知道的最严重的一个,一大堆用户隐私照片,因为自增 id 规律命名,导致爬虫通过一个路径遍历拿走全部用户照片资料
|
 |
52
sephinh Nov 22, 2017
这不就是安了跑店通软件的魅族手机给跑店通发送的程序安装列表吗,很多安卓程序都会要这个查看程序列表的权限啊……泄露楼主什么隐私了?
|
 |
53
gdtv Nov 22, 2017
@Love4Taylor 把 IMEI 放在内置浏览器 UA 里还好,联想 zuk 系统还把我手机号和坐标发给第三方广告网站: https://www.v2ex.com/t/367213
|
 |
54
psklf Nov 22, 2017
什么 你们都能看到 lz 的贴图吗
|
 |
55
Zzzzzzzzz Nov 22, 2017
@muziki 苹果有开关么? 航模那种大功率 GPS 模块都要在空旷的地方搜到六七颗星的前提下才能保障偏移不超过十几米, 一般室内连颗星都搜不到, 那问题来了,iPhone 的室内定位准不准? 别说 iPad wifi 版和大部分 mac 系列设备没 GPS 模块, 偏移都不大, 想想都知道怎么回事了......
|
 |
57
meanmachine Nov 22, 2017 via Android
|
 |
58
cnkuner Nov 22, 2017 via Android
来来咱们讨论一下什么是隐私?/真诚脸
|
|
59
opengps Nov 22, 2017
@gdtv 放在 ua 里就等同于泄露给第三方,我网站在识别 ua 时候就发现过,直接带了 imei 这种唯一识别信息,一旦通过大数据关联其他信息,很容易泄漏隐私
|
|
61
Zzzzzzzzz Nov 22, 2017 1
@muziki google evil 没少干我是知道的, 甚至我还能告诉你 google 十多年前发家的高价主力广告都是类似 X 度莆田系那种坑死人不偿命的替代性医疗广告. 我只是针对你说的这点强调一下, 通过采集用户数据改进定位基本是所有厂商都在这么干的, 所以 google 这个根本不意外 , 苹果也逃不掉的
|
 |
62
fantasy467047 Nov 22, 2017 via Android 1
终于知道安卓的口碑差在哪了,原来各家厂商的优势都是自己的,锅则全推给安卓。魅族的问题也能甩到安卓身上去,楼主的脑子让人敬佩。
|
|
64
xiaozuo Nov 22, 2017
|
|
65
xiaome OP @fantasy467047 #62 你说话也过下脑子好吗,这是其中一个的问题吗,如同 @sephinh 说的,这是运行 flyme 的手机安装了“跑店通”这个软件,然后软件上传了数据,后台被谷歌检索到;我搜索的时候看到了数据,恰好是搜索了 flyme 专有的包名而已
我吐槽的也不是整个安卓,而是安卓的权限管理和跑店通的后台 |
 |
67
cnt2ex Nov 22, 2017
所以我更倾向用网页版,而现在各种网页版强推 app,不用 app 还不给看。
|
|
68
xiaozuo Nov 22, 2017
@azh7138m 私有 api 的能过的,反正我是没遇到。
root 就算了,看过业内方案,root 后简直让别人为所欲为。现在都是通过 SDK 嵌入方式执行黑科技,只要嵌入了他们的 SDK 的 app 都可能让 andorid 机成为木马。 |
 |
69
xxgirl2 Nov 22, 2017
装了 AppOps。没法 root 也能将就用。
不给权限反而通知回应用的做法太坑,直接就给大流氓们反向利用了。 |
|
70
kx5d62Jn1J9MjoXP Nov 22, 2017
@xiaome 因为没看到你的图片
现在明白了, 原来是一个叫 paodiantong 的 app 上传了你安装的 app 然后还放到网上让人直接看到了, 嗯这个是 app 的问题, 不是 Android 的问题, 其它操作系统也是这样的, 除了某 os, 不排除以后 Android 会在这方面跟进某 os 的做法, 毕竟手机操作系统也只有这两家了. |
|
71
CastleBUPT Nov 22, 2017
|
|
72
CastleBUPT Nov 22, 2017
@azh7138m
因为使用私有 API 被拒,如果再三被发现会被拉黑的,风险较大。 |
 |
73
wuliao49 Nov 22, 2017
很多时候这个其实和 APP 本身无关。例如上面各位提到 IMEI,我也不想拿,拿了也没用。但是监管规定要拿,而且还要报送的。
|
 |
75
ELLIA Nov 22, 2017
跑店通软件的问题,我还以为是魅族的,看了半天,是这软件的问题,吓我一跳……
|
 |
77
honeycomb Nov 22, 2017
这些问题 Google 有很大责任:
1,运行时权限居然是可以让应用强迫用户授权的,在 issuetracker 还大言不惭地回复 “ You can always give 1 star ” 缓解措施:AppOps 2,居然允许第三方应用获得设备的永久唯一识别码(IMEI/MEID, Build.Serial) 3,允许应用获得当前用户的全部已安装应用列表 害的人们不得不去用 Oasisfeng 的 Island,用 Xposed+Xprivacy 这些问题在 iOS 要么没有,要么已经得到了妥善解决(获得已安装应用列表受到很大限制) @riggzh 用 AppOps 可以强迫它获取不到 IMEI,也不弹出这个提示 @DeweyReed iOS 从 10 或者更早开始就不能(或者说难以)获取完整的应用列表了 @AckywOw IMEI 是设备永久不会变的识别码,是跨应用追踪的绝佳 id @CastleBUPT 原来这个叫做滑坡谬误 @sephinh 作为一个应用,通常而言显然没有必要知道用户在设备里还装了什么软件 @xiaozuo 就是这么回事 @CastleBUPT @ssynhtn iOS 新增加的用户权限 /隐私方面的特性,Android 通常都会在一两年后跟进 @wuliao49 “但是监管规定要拿,而且还要报送的” 你们应当拒绝这样的要求,或者停止发布 iOS 版本,因为在 iOS 上拿不到这样的永久唯一识别码 @riggzh IMEI 不是电话权限,IMEI 是与蜂窝设备(GSM/UMTS/LTE)绑定的一串唯一的数字 Android 把获取 IMEI/MEID 的 API 的权限放在电话权限组里 |
|
78
wuliao49 Nov 22, 2017
@honeycomb 拒绝是个天真无邪的选择。IOS 拿不到 IMEI,是允许用 UUID 代替的。而且不止 IMEI,报送的东西比你们提到的多。你还是学生?还是在国外?
|
 |
79
Icezers Nov 22, 2017 via iPhone
所以 作为 Android 开发者 已换 iPhone :)
|
 |
80
buguniaogu Nov 22, 2017 via Android
对于最近谷歌会接收 cell (移动基站)信息问题,ip/cell Id/Wifi 大数据,不知 iOS 与安卓具体是怎样的?
|
|
81
buguniaogu Nov 22, 2017 via Android
@ssynhtn 查看应用使用情况这个权限是需要自己授权的
|
 |
82
janrone Nov 22, 2017
也许 iPhone 是另一种 眼不见 “未净” 而已 。
|
|
83
CastleBUPT Nov 22, 2017
@wuliao49
看起来你既不知道为什么要用 UUID 代替 IMEI 作为 app 身份标识,也不知道 iOS 到底能收集到什么信息 |
|
84
buguniaogu Nov 22, 2017 via Android
国内安卓制造商开发一个收集信息的应用,然后放开给国内第三方应用。谷歌根本没有能力管。。。
|
|
85
buguniaogu Nov 22, 2017 via Android
用国产安卓的,就是个信息收集器
|
|
86
buguniaogu Nov 22, 2017 via Android
@buguniaogu 再加上每个安卓厂商都有自己的应用商店,第三方应用根据不同厂商定制上架,完美。
|
 |
87
yuriko Nov 22, 2017
我刚搜了下,貌似用 PackageManager 获取应用列表貌似的确不需要权限……
谷歌可能是觉得这个不是敏感数据吧 不过这个数据怎么看都是厂商问题,竟然把用户数据 Log 贴在公屏才是问题所在…… 这是企业的担当问题啊……我以前在某厂的时候,Log 里打了一个动态 MAC 地址都安全违规 谷歌退出+安卓开源免费这两点可能才是问题,不然绕不开 playstore 一样能解决很多问题。 而且,谷歌产品很多工程师思维,导致了 Android 的权限管理设计本身也是问题。 哪些东西可以给第三方用,和我们能在上面干什么,工程师化的设计趋向于一个无所不能的体系也是问题所在。 以至于更多的责任被转嫁给用户了,然而用户都是小白为主,厂商为所欲为,谷歌又不介入国内…… |
 |
88
st2udio Nov 22, 2017
曾经有人向我购买 IMEI,电信的。说他有内部人,做扣费用的。。
大致说的是,我给他提供电信 IMEI,他从内部直接扣用户话费,然后给我分钱。。 |
 |
89
killadm Nov 22, 2017
最早的数据是从 2016 年 4 月 20 号开始的
http://log.paodiantong.com/RuntimeLog?date=2016-4-20 |
 |
92
jiujiuKA Nov 22, 2017
年初发现了这个网站,只能把所有转移到 ios 了,无他办法。
|
|
93
buguniaogu Nov 22, 2017 via Android
@yuriko 这个从哪看来的?(貌似用 PackageManager 获取应用列表貌似的确不需要权限…… )
|
 |
94
wupher Nov 22, 2017
换 iOS 吧,虽然严格来说也不保险。但是,总算比 Android 强。
|
 |
95
mune Nov 22, 2017
请问 flyme 如何 root ?试了好多次不成功。
|
|
96
buguniaogu Nov 22, 2017 via Android
看到,国产安卓很多有单独获取应用列表的权限。不知具体怎样。。是怎么与第三方应用设置默认、提示。。
|
 |
97
wang12xishan Nov 22, 2017
我手机里面安装一款英文软件(一款英语学习软件,国内不用梯子就可以用),在我的 nexus 4 上运行的好好,最近换了小米 6 安装了这款软件,发现是用不了,但是奇迹的事情发生了,我把系统语言改成英文居然能用了,wtf,什么情况,然后我换了一下同事魅族手机试试,发现情况是一样的,换上英文系统就能用,你们谁能解释解释。。。
|
|
98
xiaome OP @mune #95 emmm 你的关注点也是奇特,如果你也是魅蓝手机,可以试试这个 https://yubanmei.com/archives/10/
|
|
99
xiaome OP 1
@wang12xishan #97 软件版本和安卓版本一样吗,如果不一样就没有可比性。
用不了是提示什么,还是说直接闪退之类的 |
 |
100
faninx Nov 22, 2017
IMEI 不是电话权限的。很多是为了用来算唯一标示。好像高版本的 Android 已经不让拿这个权限了。
|
Select Language