这是支 fBao 绕过了通讯录权限还是另外一回事？？

这不是直接读取的通讯录,只是打开了通讯录 App,就跟在支付宝里可以打开淘宝一样

@xrxsh #12 原来是一脸懵。。。
看得我一年懵，然后看到里这条回户才缓应过来！

这种千万人盯着的软件不大可能做这种绕过权限的事情，就算技术上能绕过权限控制，我觉得正常的产品经理也不会愿意让你看到它能绕过（除非产品经理是笨蛋）

支付宝打开通讯录 App 让你选择目标手机号，选择完了支付宝只能看到你选的那条记录的。

Don't be panic.

这里只是调用了系统的通讯录，支付宝本身无权限读取数据

我猜是支付宝调用了系统的联系人列表接口，支付宝看不到所有的联系人，只能看到你选择好了返回的那一个联系人

抖音一直禁止访问通讯录，还能给我推，牛的一批

@ke2933 估计是访问了别人的通讯录，里面有你手机号。。。

@dream7758522
@araraloren
@JerryCha
@ikas
@w950888
@yuguorui96
@yuezy
@someonesnone

zfb 调出来的那个界面确实是手机系统的联系人界面，不是 zfb 自己的，但是这里又有一个问题了：我在 xpl 里面是限制了 zfb 获取“应用列表”的，依以前的使用经验来看，xpl 里面开启了这个限制之后一个 app 是无法得知 /不能调用另外一个 app 的，难道 zfb 绕过了 xpl 的这个限制？？

@cathedrel Android 的权限不是像你想的那样的方式工作的，支付宝也没有想绕过权限保护。

1. 唤醒其他 App 不需要获取应用列表的权限。

2. App 之间通过 Intent 通信。在一个 app 需要另一个 app 提供协助时，不会像你想的那样，先查有哪些 app，再打开那个对应的 app 。而是通过 intent 通信描述自己需要完成的功能，然后具有对应功能的 app 就会响应 intent 。

举个例子：
Intent intent = new Intent(Intent.ACTION_PICK, ContactsContract.Contacts.CONTENT_URI);
startActivityForResult(intent, PICK_CONTACT);

这段代码就会将 intent 广播到系统，并由具有“PICK_CONTACT”功能的 App 响应。

3. 支付宝之所以需要应用列表权限是因为要反黑产，主要是用来检测 xposed，magisk，是否 root 等。

我在想 支付宝 这三个字有这么敏感吗， 大大方方的打出来有啥问题

@cathedrel 唤起一个 picker 不需要知道 app 知道系统有哪些应用，通过 Intent 发起请求后由系统完成应用唤起、数据回调的操作。