Realme 系统疑似在后台偷传应用列表?

2022-06-08 16:10:48 +08:00
 superrichman


手机是 realme 系统。早上用 burp 抓包测试 app 的时候,无意中发现有请求在后台传应用列表。数据自己看图吧。发送的地址是 `https://api.open.oppomobile.com/security/app-summarys/type` 应该是发到 oppo 的服务器了。从 url 判断也许是安全相关功能。包的内容就是手机上装的应用的包名。

中午尝试用 adb 把所有系统自带的安全相关 app 都删掉。下午重启手机又试了一下,还会往外发这个数据包。



所以这个请求不是某个 app 发的,可能是 realme 系统跑了什么程序直接发到 oppo 服务器上的?

P.S. 上面的请求看上去很多,其实只有两个不一样的请求,每个都发了三四遍。。。是怕 http 请求届不到吗?。。。只有签名之类的数据不一样。目前暂时不知道请求是怎么触发的。
25494 次点击
所在节点    Android
122 条回复
wangtian2020
2022-06-09 09:40:59 +08:00
楼里有些果子用户也太双标了,我也没见 jc 来找我安卓用户啊
上传就上传呗,被迫害妄想症
Kasumi20
2022-06-09 09:51:26 +08:00
Big 胆!居然敢装电报!
mond30081989
2022-06-09 09:53:36 +08:00
1.厂商侵犯用户隐私肯定不对,大厂小厂其实都有;
2.都 2022 了,部分果粉怎么依然信奉苹果的 shi 都是香的,刘海屏那么丑的设计都沿用 N 年不改,太垃了;
3.那些想 run 的赶紧圆润地离开吧,整天搞得要亡 guo 似的,负能量满满的卢瑟。
uyoungco
2022-06-09 09:54:11 +08:00
@fonlan ???不获取你是不是阅读理解不过关?更新和上传应用列表有啥关系,不上传也可以更新啊
shabbyin
2022-06-09 09:57:00 +08:00
这贴里的部分评论是人能写出来的吗?
国外侵犯隐私,可以
国内侵犯隐私,不行
太双标了啊朋友们
zxcslove
2022-06-09 09:57:36 +08:00
就说一种可能啊,云服务备份应用也是需要应用列表的。
loryyang
2022-06-09 10:05:06 +08:00
这个是个挺普遍的行为,好多 app 都会捞用户的 app list
yinzhili
2022-06-09 10:14:17 +08:00
@mond30081989 没办法他们虽然没有美股账号但已经是 APPL 精神股东
DoveAz
2022-06-09 10:16:52 +08:00
@shabbyin 国外拿到你的非法 app 列表,没有任何后果,北京拿到,那你就可能被训诫
SunsetShimmer
2022-06-09 10:21:46 +08:00
对于这类行为,我个人的标准是分级处理
安全——根本没有涉及隐私的联网行为(例如 Debian Server 版)
行为不端——可能危害信息安全但没有实际证据(例如深信服 EasyConnect 给自己签发了个全用途的证书)
一般违规——未经用户许可获取隐私信息并上传(例如阿里的一堆 App )
严重违规——获取隐私信息并非常明确地用于对用户不利的用途(例如反诈获取敏感 App 信息导致用户被有关部门骚扰)

它最多也就到一般违规,能避免尽量避免。

Apple 获取应用列表的行为**可以**另当别论,因为 Apple 设备在没有越狱的情况下,可安装的 App 是由 Apple 决定的,但也应当考虑其数据可能传输给国内数据中心(虽然可能不一定那么容易拿到)。

信息安全对个人的影响一定是需要考虑的,不是“国内侵犯不行国外就可以”,是“人在国内,国外就相对宽松;人在国外,国内就相对宽松”,因为我们大部分人没有精力和能力完全保证自己不用任何在线服务 /有泄露风险的设备 /系统。让自己的信息尽可能被更不容易影响自己的组织拿到是能做到的“折中”的办法,确实不“公平”但没有能力范围内的更好方案。
SunsetShimmer
2022-06-09 10:26:09 +08:00
这个功能本身也有点“牺牲隐私安全换取便利性”的意味,也是一种比较偷懒的解决方案。
bsfmig
2022-06-09 10:26:18 +08:00
@SunsetShimmer 实际上近期 AAPL 把 PRC 区账号的 iCloud 迁移到 icloud.com.cn ,我认为是一个好的 Move 。因为这消除了用户到底是归属于哪个司法管辖区的疑虑,对 PRC as a nation 不信任的用户从此可以更放心地使用外国区 Apple 账号和 iCloud 服务,尤其是当他们的 Apple 账号是早年从 PRC 区转出的情况下。
SunsetShimmer
2022-06-09 10:30:27 +08:00
@bsfmig 我还以为早就挪了(“云上贵州”?),如果是域名加 cn 强调的话确实是好的。像微软就不做区分,也不知道具体保存位置(即使换区)。
jiyan5
2022-06-09 10:32:36 +08:00
很多应用都有 读取应用列表的权限,和 上传应用列表 是两码事吧?
bsfmig
2022-06-09 10:33:21 +08:00
@SunsetShimmer 个人版 OneDrive (和整个微软个人账号服务)没有在 PRC 设置服务器,可预见的未来也不会有。
世纪互联运营的 sharepoint.cn 是 Microsoft 365 for Enterprise 的专有版本,面向各类企业,与个人用户无关。
SunsetShimmer
2022-06-09 10:43:37 +08:00
@bsfmig 有个例外是 Skype ,似乎是和国内合作的。
rev1si0n
2022-06-09 10:49:33 +08:00
不要惊慌,据我所知你用的大部分电商等 APP 都会收集这种东西,这还算隐私?可笑(狗头)
注意:我所说的收集,是直接上传到他们的服务器
既然说了,那我不妨说的明白清楚一些,为了识别你它们可不在乎你的隐私
不仅有这些,你的 APP 首次安装 /更新时间,你的 ifconfig 输出的任何信息,你的同局域网主机( ARP )
你的 WIFI 名称 bssid ip ,你的号卡运营商 IME/SI, 开机时间,
你的陀螺仪 /磁场传感器(你想想我能不能推测出你在用什么姿势玩手机?)
太多了我实在列不玩,就这连 1%都不到。
隐私?不会存在的事,某砍一刀尤甚。
guxin0123
2022-06-09 10:53:28 +08:00
有没有可能是 应用商店 检测本地应用更新升级
shabbyin
2022-06-09 11:01:08 +08:00
@DoveAz
所以国外可以拿?这就是双标的理由?
那北京拿到也不会训诫的话 就可以拿?
你是怎么好意思说出来这句话的
Huelse
2022-06-09 11:03:32 +08:00
什么奇葩啊?居然说把数据给外人更好?给数据这件事本身就不对吧?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/858204

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX