已经确认淘宝正在刻意访问用户全部图库

2023-09-24 20:42:49 +08:00
 dingwen07

Android 14 为 target SDK 33 以上的 App 提供了“只能选择部分照片”权限,但是最新版本的淘宝通过一些设计可以绕过了它。

正常的 App 在用户选择照片的时候会请求照片权限,这个时候 Android 14 会允许用户只选择部分照片。

但是淘宝 App 使用了“照片选择器”(这个本来是谷歌设计,为了让 App 无需请求权限就可以让用户提供照片的最推荐的方法),这样用户只能在淘宝安装后第一次选择照片的时候才可以选择照片,之后只要用户没有同意访问全部照片,淘宝 App 都会让用户去设置里打开全部照片,而不是请求照片权限。

换句话说,新的“仅选择部分照片”权限,只要 app 想,是基本无效的。这个其实主要是谷歌设计的时候没有像 iOS 那样提供了一个界面让用户随时更改软件可以访问的照片,而是通过“App 请求照片权限”这个时机来实现的,然后就让无良软件给绕过了。

24250 次点击
所在节点    Android
84 条回复
hefish
2023-09-24 20:44:20 +08:00
嗯,可是我想白嫖他的芭芭农场啊。。。我图库。。。看就看吧。 我都穿衣服的。
auvt
2023-09-24 20:44:54 +08:00
安卓只能把它关在 shelter 软件里?冰箱冻了都不行吧,总有从小黑屋里放出来的时候
momocraft
2023-09-24 20:45:58 +08:00
小紅书 ios 也是类似做法
mokiki
2023-09-24 20:53:31 +08:00
不懂 andord ,但是照片选择器的选择界面应该是系统提供的,APP 只能获取最终的照片数据才对吧?
vcn8yjOogEL
2023-09-24 20:53:46 +08:00
想都不用想,当时就知道肯定是这个结果,文件选择器都做出来多久了,App 还是在要储存权限
Rrobinvip
2023-09-24 20:55:56 +08:00
“之后只要用户没有同意访问全部照片,淘宝 App 都会让用户去设置里打开全部照片,而不是请求照片权限。”
那之后淘宝是怎么绕过权限,访问图片的呢?
dingwen07
2023-09-24 20:59:58 +08:00
@mokiki
@Rrobinvip

安卓的实现方式是只要照片权限在“询问”,那么当 App 请求照片权限的时候就会有一个按钮给用户选择哪些照片可以访问

淘宝利用了一些机制绕过了“请求照片权限”

我刚刚才发现淘宝在国内渠道 API 版本还是旧的,就为了 1%不到的 Play 用户专门去写了这个限制机制,真的,不愧是阿里
dingwen07
2023-09-24 21:03:42 +08:00
谷歌其实在权限页面提供一个“仅允许部分照片”并且允许用户在那里就选择照片就可以防止 app 这样操作,但是谷歌就是不干
learnshare
2023-09-24 21:12:29 +08:00
Android 提供系统级的文件选择界面,但每个 App 都自己写一遍(顺便读取全部文件)
aeli
2023-09-24 21:16:00 +08:00
很多人不太清楚为什么淘宝一定要全部图库,这么说吧,有全部图库,基本上就可以跨 app ,来确定唯一用户来进行用户跟踪。

所以即使麻烦,我也是在跳到系统权限那里,修改一下选中的图片来给新图片的权限,而不是满足淘宝无耻的要求。
KnightYoung
2023-09-24 21:20:49 +08:00
Android 的权限问题年年修,年年烂。
chanChristin
2023-09-24 21:25:02 +08:00
@momocraft iOS 不一样,可以在设置中给 App 选择可以访问的照片,可以按需添加。
paradoxs
2023-09-24 21:29:10 +08:00
@aeli 很多人不太清楚为什么淘宝一定要全部图库,这么说吧,有全部图库,基本上就可以跨 app ,来确定唯一用户来进行用户跟踪。

所以即使麻烦,我也是在跳到系统权限那里,修改一下选中的图片来给新图片的权限,而不是满足淘宝无耻的要求。
-----------------
用得着那么麻烦吗?

淘宝本来就有市场上 99.99%用户的实名信息,因为大家都有用支付宝啊,也绑了银行卡。
XiLingHost
2023-09-24 21:30:37 +08:00
有个应用叫存储空间隔离的可以处理这种问题
https://sr.rikka.app/zh-hans/
paradoxs
2023-09-24 21:38:31 +08:00
@chanChristin iOS 不一样,可以在设置中给 App 选择可以访问的照片,可以按需添加。
-----------------
iOS 要跟踪你,更加方便,而且是是 iOS 系统自己提供的跟踪工具,即 keychain 。(你平时用一些 APP ,卸载后重装会发现直接就是已登录状态的对吧,就是通过这个东西实现的。)

不全盘刷机或越狱清理不了
momocraft
2023-09-24 21:41:26 +08:00
@chanChristin 小红书不在 app 里申请单个文件的权限,故意要用户去系统设置改
chanChristin
2023-09-24 21:49:26 +08:00
@momocraft #16 对,就是故意恶心人。但是越是这样我越不给权限。
chanChristin
2023-09-24 21:50:22 +08:00
@paradoxs #15 我们在说图片选择器的问题,和追踪有啥关系呢?
billlee
2023-09-24 21:51:48 +08:00
@paradoxs 不一样的,keychain 是应用内使用的。Android 利用存储可以跨应用跟踪
AkinoKaedeChan
2023-09-24 22:40:57 +08:00
看半天也没看明白在说什么。
照片选择器和授予对照片和视频的部分访问权限( Android 14 特性)没有直接联系,照片和视频的部分访问权限是利用 Andorid 13 (API level 33) 增加的 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO 权限实现的,需要用户在授予权限的时候选择部分照片(没有声明 READ_MEDIA_VISUAL_USER_SELECTED 则需要选择每次询问)。照片选择器固然是最佳实践,但目前不是 Google Play 强制标准。
在何时选择访问应该不构成影响,就算应用没有声明 READ_MEDIA_VISUAL_USER_SELECTED ,也可以在应用进入后台或被 kill 之后重新选择。
参见:<https://developer.android.com/about/versions/14/changes/partial-photo-video-access>

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/976743

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX