(安卓)淘宝将手机里的照片视频复制到私有目录下(转)

2021-10-08 10:49:53 +08:00
 vhvlqn
今天,有网友发现淘宝 APP 会将用户手机里的照片视频复制到了它的私有目录下。

具有 root 权限的用户,能够在安卓系统根目录 /data/data/com.taobao.taobao/cache/ 文件夹里发现自己手机里的照片视频,其中甚至还包含从 telegram 下载的媒体。而这正是淘宝应用的私有目录。

现在还不清楚淘宝获取这些内容的动机,以及是否会将这些媒体文件上传,但是毫无疑问如果需要它的确可以做得到。

这一现象在中国国内应用商店和 Google Play 的淘宝 APP 中均获得验证,iOS 还未发现问题。
6882 次点击
所在节点    iOS
53 条回复
Cagliostro
2021-10-08 16:52:19 +08:00
@zhouwb 挺想 iOS 做相簿功能,限制软件可以访问的相簿。
essicaj
2021-10-08 17:51:02 +08:00
应该就是个代码实现问题,想直接把 MediaStore 拿到的 uri 转成 filePath 吧
https://i.loli.net/2021/10/08/qPGxMJQ2T4jNU1w.png
然后去检测出具体的分类,估计检测分类是个内部封装好的 sdk,传入的参数就是 filepath
https://i.loli.net/2021/10/08/8Pevdxt6CHYV1nw.png
yehoshua
2021-10-08 17:57:21 +08:00
@clf 我新建了个共享文件夹,用于导出微信等的图片和分享给淘宝等平台。其他的权限我并不信任。毕竟很多 app 给一次相册权限就都扫描光了。
jiayong2793
2021-10-08 18:04:12 +08:00
既要给有关部门留后门,
又要限制企业获取隐私,
还要不想被人民说只需州官放火,不许百姓点灯,
这政策很难制定。
Leonard
2021-10-08 18:05:22 +08:00
@ryougifujino #26 只要你允许了所有照片的权限,那么 App 可以在运行的任何时候读取你的所有照片,并不一定是你选照片的时候才能读。所以请谨慎允许所有照片的权限。
corruptdu
2021-10-08 18:16:42 +08:00
用 work profile 啊,国产软件都安装在 work profile 里边。要用的时候再把文件或者照片从 personal profile 复制到 work profile,方便快捷、干净又卫生啊兄弟们。
ryj5566
2021-10-08 18:47:14 +08:00
隔壁 wx 、qq 都被曝出事了
refraction
2021-10-08 18:51:53 +08:00
@auhah 并不是缩略图,几百 M 的原视频都被复制走了
https://t.me/xhqcankao/1569
messnoTrace
2021-10-08 19:08:31 +08:00
有可能是因为适配了 android 11 还是 12 来着,应用无法直接读写 手机的的图片,所以我们的做法,都是会先读取,然后再写入一份到私有目录,当然了,有没有上传到自己服务器的这个操作,就不知道了
dingwen07
2021-10-08 19:26:38 +08:00
@ryougifujino #26 可以。理论上你不打开也可以啊,iOS 4 会允许在后台唤醒 App的,只要被唤醒了就可以。
Lemeng
2021-10-09 01:50:35 +08:00
希望以后监管能跟上
MartinWu
2021-10-09 09:26:50 +08:00
问题在于你授权给淘宝了,还是他复制照片这事情本身?如果想上传你的图片,你都已经授权给他了,他复制不复制有差别么?照样可以读。他可能会作恶,但是复制照片这一行为本身,不是充分必要条件。
auhah
2021-10-09 09:55:24 +08:00
@refraction 这就不知道是咋想的了。。。如果想上传所有图片到服务器的话其实也不需要复制一份过来

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/806351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX