发现极光推送开始滥用媒体储存以存储用户 ID 用于跨应用追踪

2021-05-12 19:09:27 +08:00
 sky96111

今天更新了 Bilibili,Onedrive 突然询问我是否要自动备份 jpush 的文件夹。我当时就困惑起来了,因为我用了存储空间隔离,只给了几个应用开放了写入 Pictures 文件夹的权限。

看 jpush 里面是什么东西,好家伙,明明白白写在文件名上…jpush_uid.png

是 png,但不能用相册打开,因为它是一个伪装成图片的文本文档。用文档打开后是一串奇怪的字符串,似乎不是 base64 编码的,搞不开。

经逐个关最近更新的应用存储权限排查发现,这是 Bilibili 产生的,通过 LibCheck 比对,发现它更新了极光推送的原生库,版本为 libjcore273.so ,推测是这个版本加入的。

几乎可以肯定的是,这个是极光在高版本安卓系统收紧存储权限的情况下,为了最跨应用最追踪用户 UID 的手段。

建议彻底关闭 Bilibili 的存储权限。

6374 次点击
所在节点    分享发现
36 条回复
Jirajine
2021-05-12 19:12:32 +08:00
用存储空间隔离不要给任何目录的权限,很多国产应用都会上传相册缩略图。
如果需要发图、存图,可以专门建一个临时目录,之后再手动移走。
cairnechen
2021-05-12 19:14:21 +08:00
这操作够骚的,不过极光推送确实是很多应用相互唤起的元凶,干出这事不稀奇
est
2021-05-12 19:22:15 +08:00
jpush 嘛。安卓进程的东南互保。
sky96111
2021-05-12 19:28:08 +08:00
@Jirajine 基本都没给 除了要发图的,b 站其实不需要给权限,之前上传头像开了一下没关,现在直接移除隔离关权限了
TrembleBeforeMe
2021-05-12 19:47:28 +08:00
感谢提醒,这就用存储空间隔离
echo314
2021-05-12 19:55:52 +08:00
唉,安卓机太多毒瘤,国内四大厂商又不愿意组成联盟来推高标准。
HongJay
2021-05-12 20:03:46 +08:00
复现了
Jirajine
2021-05-12 20:11:40 +08:00
@sky96111 要发图的也别给,都会扫描上传相册缩略图机器学习,发现个什么违规内容乐子就大了。
要么就从相册选好通过 content-provider 分享过去,不支持的话就从相册选好复制到一个临时目录,再从那个目录发。
azh7138m
2021-05-12 20:27:49 +08:00
笑死,还能这么操作

顺便 ping @RikkaW
dingwen07
2021-05-12 20:36:07 +08:00
哔哩哔哩目前的 API 版本是 30,怎么可能写入外部共享存储。。。
dingwen07
2021-05-12 20:37:01 +08:00
@dingwen07 #10 没看清,是 Pictures 文件夹,好恶心啊
dingwen07
2021-05-12 20:45:44 +08:00
Android 11 无法复现
loginbygoogle
2021-05-12 20:49:50 +08:00
各种推送联盟才是国内 ANDROID 混乱不堪的主要元凶
ronman
2021-05-12 20:52:35 +08:00
请尽可能使用 play 版,目前什么权限不给都可以正常使用(除了部分功能,如下载)
zjm947373
2021-05-12 21:14:48 +08:00
miui 用户表示没有发现有这个文件
工信部早就要求不能强制要求权限,bilibili 是可以不授权也能用的(除非你要发动态图片)
国产 ui 也用不到 jpush,系统默认杀进程,只能用厂商推送吧
toptyloo
2021-05-12 21:31:32 +08:00
@dingwen07 #12 你更新了最新的 B 站国内版么,应该是可以复现的。
douniwan5788
2021-05-12 21:34:28 +08:00
其实去 /sdcard 目录包括子目录里看看,各种.开头的隐藏文件,基本上都是各大 SDK 的用户 ID,根本删不过来……
dingwen07
2021-05-12 21:39:16 +08:00
@toptyloo #16 我 MIUI 上的是最新版的哔哩哔哩没有复现。测试了 OneUI TGY,复现了。
honeycomb
2021-05-12 21:42:30 +08:00
可以啊
Lonely
2021-05-12 21:48:36 +08:00
@zjm947373 #15 杀进程不一定有用,我在 miui 12 上发现了一些 app,杀掉进程后又给拉起来了,用冰箱冻住了也能复活,厉害得很

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/776559

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX