V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vhvlqn
V2EX  ›  iOS

(安卓)淘宝将手机里的照片视频复制到私有目录下(转)

  •  
  •   vhvlqn · 61 天前 via iPhone · 5104 次点击
    这是一个创建于 61 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天,有网友发现淘宝 APP 会将用户手机里的照片视频复制到了它的私有目录下。

    具有 root 权限的用户,能够在安卓系统根目录 /data/data/com.taobao.taobao/cache/ 文件夹里发现自己手机里的照片视频,其中甚至还包含从 telegram 下载的媒体。而这正是淘宝应用的私有目录。

    现在还不清楚淘宝获取这些内容的动机,以及是否会将这些媒体文件上传,但是毫无疑问如果需要它的确可以做得到。

    这一现象在中国国内应用商店和 Google Play 的淘宝 APP 中均获得验证,iOS 还未发现问题。
    53 条回复    2021-10-09 09:55:24 +08:00
    geniussoft
        1
    geniussoft  
       61 天前 via iPhone   ❤️ 1
    不受约束的权力必然自动膨胀。
    auhah
        2
    auhah  
       61 天前   ❤️ 4
    正常吧。。。自己实现了图片选择器的 APP,选择图片的时候都会复制一份缩略图到目录下
    zhouwb
        3
    zhouwb  
       61 天前   ❤️ 5
    这也是我不管苹果做的多不好,只要安卓的机制不变,我都不会用的原因,安卓跟 windows 一个德性,太开放了,不可控因素太多,出问题的概率也更高
    morisakitaku
        4
    morisakitaku  
       61 天前 via iPhone
    哈哈哈哈 安卓和國內互聯網大廠🐂🍺
    MrCurly
        5
    MrCurly  
       61 天前
    刚看到这个新闻,太有意思了,二楼说的感觉有点道理,不过视频也有必要复制一份么?我看有截图说给了存储权限就开始缓存 6 个 g,这复制也太疯狂了,不符合常理,软件设计的时候没有考虑过么
    MrCurly
        6
    MrCurly  
       61 天前
    刚看到你发在 ios 区了,改下区吧
    melsp
        7
    melsp  
       61 天前 via Android
    有链接吗
    toptyloo
        8
    toptyloo  
       61 天前
    不给存储权限、存储重定向解决问题。虽然麻烦一些,但我真没觉得 iOS 上那一堆没适配好最新相册权限的 APP,也没简单到哪去啊。还是那句话,远离垃圾 APP 制造商,他们生产的 APP 在哪个平台都是垃圾。
    vhvlqn
        9
    vhvlqn  
    OP
       61 天前 via iPhone
    @MrCurly 是不是把正文最后一句放到标题里才能在这里发😂
    toptyloo
        10
    toptyloo  
       61 天前   ❤️ 8
    更正:
    不给存储权限、存储重定向解决问题。虽然麻烦一些,但我真没觉得 iOS 上那一堆没适配好最新相册权限的 APP,有简单到哪去啊。还是那句话,远离垃圾 APP 制造商,他们生产的 APP 在哪个平台都是垃圾。能不吃屎就别吃屎,比在哪吃的屎少,难道少就不是了。。。
    Windn0
        11
    Windn0  
       61 天前 via iPhone
    ios 上同学和 qq 也存在这个现象。ios15 上的日志可看
    Windn0
        12
    Windn0  
       61 天前 via iPhone
    ios 上微信和 qq 也存在这个现象。ios15 上的日志可看
    zhouwb
        13
    zhouwb  
       61 天前   ❤️ 1
    @toptyloo 这话在理啊,国内的软件生态真的很无语,所以我坚持用苹果,好歹一个 appstore 能管一管,拦住大部分。不过每个人需求不同,适合才是最关键的
    wa007
        14
    wa007  
       61 天前
    淘宝要上天
    Tink
        15
    Tink  
       61 天前 via Android
    我用存储重定向把淘宝拿捏住了
    wa007
        16
    wa007  
       61 天前
    更像是,某一个小部门为了实现更方便实现一个小功能,做了这么一个转储,反正可以实现也没成本,于是就这样了。

    还是监管太弱的问题吧。
    greenskinmonster
        17
    greenskinmonster  
       61 天前
    阿里系的应用我现在都放在 island 炼妖壶里面,存储权限也不给。副作用就是指纹支付开始可以用,后来总是提示指纹更改需要验证,然后把指纹关掉用支付密码了。
    Cagliostro
        18
    Cagliostro  
       61 天前 via iPhone   ❤️ 1
    @zhouwb iOS15 有 APP 记录,有人通过记录发现微信后台偷偷访问相册。
    zhouwb
        19
    zhouwb  
       61 天前
    @Cagliostro 没办法,在严密的机制也会有漏洞的,不过这个我倒无所谓,看就看呗,我没啥秘密,只要 app 之间不打架,不乱存东西,影响我的使用体验就好
    Jooooooooo
        20
    Jooooooooo  
       61 天前
    工信部投诉试试.
    agagega
        21
    agagega  
       61 天前 via iPhone
    我一直挺好奇。偶尔世界上有些国家级别的料都能被爆出来,苹果微软这种公司压轴产品也有人泄露出来,为什么国内这些厂商侵犯隐私的行为,好像从来没看到过有内部员工匿名出来爆料的?
    ryougifujino
        22
    ryougifujino  
       61 天前
    借楼问一下,iOS 某个 App 给了允许访问相册的权限的话,打开那个 App 的时候,它可以在任意时刻获取我的任意图片吗?
    JerryCha
        23
    JerryCha  
       61 天前
    @agagega 要在大厂混的,爆料对自己没好处
    dingwen07
        24
    dingwen07  
       61 天前 via iPhone
    @ryougifujino #22 版本 14 之后可以只允许访问部分照片

    安卓上从来不给淘宝相册权限,iOS 之前也不给,14 之后给个部分照片。
    hanksun
        25
    hanksun  
       61 天前
    然鹅,iOS 上微信淘宝的任何权限我都没给
    ryougifujino
        26
    ryougifujino  
       61 天前
    @dingwen07 #24 我知道有一个允许访问部分权限,我的意思是如果给了访问所有照片的权限的话,只要打开那个 App,它任何时候都可以获取我的任何照片吗?而不是说我必须要在选照片的界面它才可以获取任何照片?
    bao3
        27
    bao3  
       61 天前   ❤️ 1
    @agagega 因为他们是作恶的受益者。。。
    clf
        28
    clf  
       61 天前
    那个想问一下是直接在 cache 文件夹下还是在里面的某个文件夹内呢?

    我特意打开了淘宝的存储权限,然后进 cache 文件夹下看了一下没找到。有一个 video-cache 的文件夹里面是淘宝 app 自己的视频缓存,其它的文件夹下文件打开大部分是 js 代码。
    clf
        29
    clf  
       61 天前
    @ryougifujino #22 IOS15 有导出隐私记录操作的功能了,微信爆出来会在后台访问照片文件(长达一分钟),网上的建议是关闭微信的后台刷新,把照片权限改为允许访问选择的,在选择照片的时候再去添加要传的照片。
    haozi1986
        30
    haozi1986  
       61 天前
    这帮毒瘤我都开启了存储重定向,正常目录里面的文件它们一个也拿不到
    clf
        31
    clf  
       61 天前
    @haozi1986 #30 存储重定向如果开了照片访问的话还是能读照片的。重定向主要还是防止他们在公共目录下乱拉屎。
    yehoshua
        32
    yehoshua  
       61 天前 via Android
    @clf 照片不是问题,不给权限用系统的分享就可以传给这群毒瘤。还可以单独建一个毒瘤专用的目录放需要共享的照片等。
    abc8678
        33
    abc8678  
       61 天前 via Android
    我是上个月在哔哩哔哩听说的。我禁止了存储权限,所有没有这种情况。我用另一台手机故意试,结果试不出来。可能刚装上 APP 不会立刻发作吧
    abc8678
        34
    abc8678  
       61 天前 via Android
    小米云服务忘了关,从外网下载的某些视频被同步了……😂多个淘宝,多个微信,多个 QQ 都是读取,应该差不多了吧
    abc8678
        35
    abc8678  
       61 天前 via Android
    https://b23.tv/av675287345/p1 上个月在哔哩哔哩看到的视频,找到了
    clf
        36
    clf  
       61 天前
    @abc8678 #33 嗯嗯,感觉刚打开权限复现不了,即便我点了选择图片去让 app 生成照片缩略图,但没找到在哪里。估计是得过一段时间?


    @yehoshua #32 我是选择把权限设置为需要时选择。其实 Android 有不申请存储权限走系统相册接口的方式获得图片的,但国内大部分厂商的 App 都选择自己来。
    OldActorsSmile
        37
    OldActorsSmile  
       61 天前
    难怪现在这么多 App 占存储 1G 以上
    haozi1986
        38
    haozi1986  
       61 天前   ❤️ 1
    @clf

    防止乱拉屎是一方面,我用存储重定向最主要的目的就是担心这帮毒瘤乱访问甚至上传我的文件,所以照片等目录是绝不可能给它们访问权限的,如果真要有需求,比如淘宝上面给卖家发个图什么的,我宁可麻烦一点,自己手动把图片复制到隔离空间里面去。我对这帮毒瘤的信任程度是 0 。
    GiftedJarvis
        39
    GiftedJarvis  
       61 天前   ❤️ 1
    @zhouwb 其实差不多,IOS 明明有相册的 API,不需要 App 直接访问相册,微信和淘宝还是要访问权限,不给权限的照片不让在 App 内访问。
    当然相比安卓好多了,最少可以选择哪些图片可以被访问,而不是整个相册裸奔
    auhah
        40
    auhah  
       61 天前
    @auhah #2
    补充一下吧
    https://github.com/donkingliang/ImageSelector
    随便搜了一个图片选择器的库,实现其实大同小异。
    具体参考 README 里面的适配 Android10 部分。这里的 Glide.with(mContext).load(uri).into(ivImage);加载图片,正常就是有缓存的。
    这个缓存可以参考 https://www.jianshu.com/p/171793326b94
    Cagliostro
        41
    Cagliostro  
       61 天前
    @zhouwb 挺想 iOS 做相簿功能,限制软件可以访问的相簿。
    essicaj
        42
    essicaj  
       61 天前
    应该就是个代码实现问题,想直接把 MediaStore 拿到的 uri 转成 filePath 吧
    https://i.loli.net/2021/10/08/qPGxMJQ2T4jNU1w.png
    然后去检测出具体的分类,估计检测分类是个内部封装好的 sdk,传入的参数就是 filepath
    https://i.loli.net/2021/10/08/8Pevdxt6CHYV1nw.png
    yehoshua
        43
    yehoshua  
       61 天前 via Android
    @clf 我新建了个共享文件夹,用于导出微信等的图片和分享给淘宝等平台。其他的权限我并不信任。毕竟很多 app 给一次相册权限就都扫描光了。
    jiayong2793
        44
    jiayong2793  
       61 天前   ❤️ 2
    既要给有关部门留后门,
    又要限制企业获取隐私,
    还要不想被人民说只需州官放火,不许百姓点灯,
    这政策很难制定。
    Leonard
        45
    Leonard  
       61 天前   ❤️ 1
    @ryougifujino #26 只要你允许了所有照片的权限,那么 App 可以在运行的任何时候读取你的所有照片,并不一定是你选照片的时候才能读。所以请谨慎允许所有照片的权限。
    corruptdu
        46
    corruptdu  
       61 天前
    用 work profile 啊,国产软件都安装在 work profile 里边。要用的时候再把文件或者照片从 personal profile 复制到 work profile,方便快捷、干净又卫生啊兄弟们。
    ryj5566
        47
    ryj5566  
       61 天前 via iPhone
    隔壁 wx 、qq 都被曝出事了
    refraction
        48
    refraction  
       61 天前   ❤️ 2
    @auhah 并不是缩略图,几百 M 的原视频都被复制走了
    https://t.me/xhqcankao/1569
    messnoTrace
        49
    messnoTrace  
       61 天前
    有可能是因为适配了 android 11 还是 12 来着,应用无法直接读写 手机的的图片,所以我们的做法,都是会先读取,然后再写入一份到私有目录,当然了,有没有上传到自己服务器的这个操作,就不知道了
    dingwen07
        50
    dingwen07  
       61 天前 via iPhone
    @ryougifujino #26 可以。理论上你不打开也可以啊,iOS 4 会允许在后台唤醒 App的,只要被唤醒了就可以。
    Lemeng
        51
    Lemeng  
       61 天前
    希望以后监管能跟上
    MartinWu
        52
    MartinWu  
       60 天前
    问题在于你授权给淘宝了,还是他复制照片这事情本身?如果想上传你的图片,你都已经授权给他了,他复制不复制有差别么?照样可以读。他可能会作恶,但是复制照片这一行为本身,不是充分必要条件。
    auhah
        53
    auhah  
       60 天前
    @refraction 这就不知道是咋想的了。。。如果想上传所有图片到服务器的话其实也不需要复制一份过来
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3443 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 01:21 · PVG 09:21 · LAX 17:21 · JFK 20:21
    ♥ Do have faith in what you're doing.