神奇!在屏蔽所有权限后支付宝 app 仍然能定位到你的详细地址

2016-12-22 01:11:23 +08:00
 nikoo
Android 4.1.1 手机定位、蓝牙、 NFC 等全部关闭,无 SIM 卡,飞行模式下仅开 WIFI 后连接至科学的路由器获得异地 IP
手机系统中针对支付宝 app 禁止其所有权限

此时打开支付宝 app ,在"我的信息"页面中找到个人资料并点我的地址,这时候会显示:定位中。。。
几秒后即成功定位到了实际位置

此时 SS server 端日志显示支付宝 app 进行了如下访问:
2016-12-21 21:50:02 INFO connecting apilocate.amap.com:80
2016-12-21 21:50:02 INFO connecting restapi.amap.com:443
2016-12-21 21:50:02 INFO connecting apilocate.amap.com:80
2016-12-21 21:50:02 INFO connecting mdap.alipaylog.com:80
2016-12-21 21:50:03 INFO connecting alisec.taobao.com:80

系统应用的权限监控日志中有如下记录( 21:57 的为一次点击产生的权限请求,最后一条 21:54 是测试的请忽略)


以上请求虽然全部被拒绝,然最终支付宝 app 仍然能成功获得你的准确地址!并且在权限监控日志中没有任何记录

请教是如何实现的?好可怕啊
13743 次点击
所在节点    问与答
70 条回复
yexm0
2016-12-22 21:52:04 +08:00
@publicAdmin 😂用 54L 那两个吧
zingl
2016-12-22 23:24:24 +08:00
开源固件有必要引入 MAC 随机化机制了
BluePadge
2016-12-23 00:27:25 +08:00
@Quaintjade 我做了个免 root 的正在自用,需要的话,你可以试用一下
huangchendz
2016-12-23 02:47:30 +08:00
BAT 的软件, PLAYstore 的软件你值得拥有
skylancer
2016-12-23 08:36:41 +08:00
@yexm0 我也是因为那个帖子才知道还有个高精度定位.. 还以为是出了什么别的事...
honeycomb
2016-12-23 09:53:30 +08:00
@invalidtoken
只要是 target API 大于 23 的就不会让读的。
低于 23 的如果声明了定位权限,也不会让读。
低于 23 的,仅声明获取 WiFi 信息,运行时权限管不到它(因为没有定位权限),但总是可以用 appops
Jasmine2016
2016-12-23 10:24:01 +08:00
@itqls
@mazyi
从来没赋予支付宝任何定位的权限。不过我猜他可能是通过路由器 /基站定位的。这么说来, iOS 的定位权限仅限于阻止 App 调用手机的 GPS 定位权限么。。
Tony2ee
2016-12-23 10:48:46 +08:00
有没有可能是自家的全家桶亲戚应用后台请求了你的位置传给了支付宝?
itqls
2016-12-23 11:25:37 +08:00
@Jasmine2016 再次测试,如果我在设置-隐私-支付宝-永不, 关闭它的定位权限, 它没办法定位我现在的位置.
但是它根据你支付过的商家 /开启过定位的地方, 会给你推荐附近商家.
iOS 定位权限 包括 GPS/基站 /蓝牙 /WiFi
mazyi
2016-12-23 17:46:58 +08:00
@Jasmine2016 基站的权限也是手机的,路由器 mac 地址这没有办法

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/329287

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX