已经确认淘宝正在刻意访问用户全部图库

2023-09-24 20:42:49 +08:00
dingwen07  dingwen07

Android 14 为 target SDK 33 以上的 App 提供了“只能选择部分照片”权限,但是最新版本的淘宝通过一些设计可以绕过了它。

正常的 App 在用户选择照片的时候会请求照片权限,这个时候 Android 14 会允许用户只选择部分照片。

但是淘宝 App 使用了“照片选择器”(这个本来是谷歌设计,为了让 App 无需请求权限就可以让用户提供照片的最推荐的方法),这样用户只能在淘宝安装后第一次选择照片的时候才可以选择照片,之后只要用户没有同意访问全部照片,淘宝 App 都会让用户去设置里打开全部照片,而不是请求照片权限。

换句话说,新的“仅选择部分照片”权限,只要 app 想,是基本无效的。这个其实主要是谷歌设计的时候没有像 iOS 那样提供了一个界面让用户随时更改软件可以访问的照片,而是通过“App 请求照片权限”这个时机来实现的,然后就让无良软件给绕过了。

24641 次点击
所在节点   Android  Android
84 条回复
xmumiffy
xmumiffy
2023-09-24 22:44:37 +08:00
用系统的照片选择器那不是不用任何权限么,不懂你说的到底是什么情况.

反正 Android 本身的照片选择器在权限方面是领先这个新的类 iOS 模型的,作为开发者我是没打算去实现新的权限模型.
国内的乱象嘛,就用 sr 了
AkinoKaedeChan
AkinoKaedeChan
2023-09-24 22:46:49 +08:00
我猜测可能淘宝声明了 READ_MEDIA_VISUAL_USER_SELECTED 权限,并且在用户提供 READ_MEDIA_VISUAL_USER_SELECTED 权限后要求用户授予 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO 。
AkinoKaedeChan
AkinoKaedeChan
2023-09-24 22:56:18 +08:00
对 Play 版本淘宝 10.27.40.29 (510) 代码逆向,Target API 为 33 ,未声明 READ_MEDIA_VISUAL_USER_SELECTED 权限。推断为淘宝实现逻辑未遵循最佳实践,可能淘宝将你已经授权 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 的状态持久化(对于未声明 READ_MEDIA_VISUAL_USER_SELECTED 的应用,应用会认为你已经授权了上述权限),认为用户手动在系统设置取消了相应的授权。
jacksonj297
jacksonj297
2023-09-24 23:08:52 +08:00
@paradoxs #15 小红书 uber 封号封设备就是用的 keychain ,只有刷机不还原备份才能绕过
AkinoKaedeChan
AkinoKaedeChan
2023-09-24 23:15:56 +08:00
这个问题一方面是 Android 13 的时候 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO 是没有一次性权限的。另外一方面是应用没有做出最佳实践,checkSelfPermission() 本身也只会返回 PERMISSION_GRANTED 和 PERMISSION_DENIED ,在 PERMISSION_DENIED 的情况下应用应该直接请求权限。
learningman
learningman
2023-09-24 23:27:27 +08:00
谷歌实现了,但是捆绑到 gms 而不是安卓了☝️
只能说不奇怪吧
luoshengdu
luoshengdu
2023-09-24 23:46:07 +08:00
我也确定淘宝在 iOS 下面是故意要访问全部图片!!! api 更新这么久了,闲鱼早都支持可以在 APP 内便捷增加图片,淘宝就是不增加。

反馈了也没音信的
72MpQOSsJhyLs88N
72MpQOSsJhyLs88N
2023-09-24 23:49:11 +08:00
这要是苹果,估计得上 CATV ,还得请 V 站的专家从资本主义制度到资本家如何逐利分析个十天半月的
allAboutDbmss
allAboutDbmss
2023-09-24 23:51:20 +08:00
@dingwen07 如何避免呢
kingfalse
kingfalse
2023-09-24 23:52:47 +08:00
国产的常规操作,冷静。
kingfalse
kingfalse
2023-09-24 23:54:29 +08:00
不光想看,它们还会删。就特么离谱。
dingwen07
2023-09-24 23:55:16 +08:00
@kingfalse #31 删除早就不是问题了
dingwen07
2023-09-24 23:56:40 +08:00
@AkinoKaedeChan #23
即使没有遵循最佳实践,应用也应该在运行时申请照片权限
淘宝是只会在安装后的第一次运行时申请之后就再也不会了
这个很明显就是为了阻止安卓 14 的功能设计的
dingwen07
2023-09-25 00:02:12 +08:00
@AkinoKaedeChan #20
我观察到了淘宝 App 主动唤起照片选择器的行为(不是请求照片权限时的那个)

以及我确实没法做到在第一次在淘宝 App 内选择照片之后再次更改允许它访问的照片,常规的 kill 方法不适用
bluedawn
2023-09-25 00:04:45 +08:00
@paradoxs Mac 可以删
AkinoKaedeChan
2023-09-25 00:38:47 +08:00
@dingwen07 #33 ,没法断定,这是似乎在 Android 14 发布前就有的逻辑。

#34 淘宝都没有请求访问照片权限,你当然无法选择允许访问照片,淘宝非要你在系统设置里面给他 Grant 。Android 当然也可以设计成对于未迁移总是允许的时候只允许访问部分照片和视频,代价就是用户必须进入系统设置才能更改允许部分的照片和视频。

不清楚淘宝是否会做出修改,如果真的要这么做而不顾用户体验,其实相机、麦克风什么的也能不让用户一次性授权。
AkinoKaedeChan
2023-09-25 00:53:32 +08:00
只能说 Android 的设计似乎只有考虑遵循了最佳实践的状况。
如果未来有应用声明了 READ_MEDIA_VISUAL_USER_SELECTED ,而没有提供重新申请权限的按钮。那么用户还需要先去系统设置里禁用权限才能重新选择…
如果应用总是请求 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO ,那就会和没迁移的应用一样每次都弹出选择框,用户会感到疑惑。
AkinoKaedeChan
2023-09-25 01:17:28 +08:00
我倒是不觉得这是什么故意针对 Android 14 新特性的设计,到现在还在使用 API 29 甚至 26 的中国互联网大厂们不需要关注还都没正式发布的 Android 14 更新了什么,至于 Google Play 那自然是随便做做,能上架能用就行。
用着老旧的 API 你根本就没法选择什么部分相册,也不能一次性授权,连音频什么的权限都得一起授权上。这种情况起码还得持续五年以上。
0x6c696e71696e67
2023-09-25 02:49:24 +08:00
都用安卓了,权限什么的不是默认没有的吗?买之前就要做好功课,如果这方面特别看重就不要买了
Hallujah
2023-09-25 07:16:33 +08:00
谷歌一直是厂商随意取用用户隐私的帮凶。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/976743

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX