曾经试过用 Device Info HW 这类的 app 去测试各种权限管理 app 的限制能力,只有 只有 只有 XPrivacyLua 能把这个 app 收拾的服服贴贴,什么制造商、品牌、型号、设备、版本号、基带、指纹等等各种信息全部搞成“unknown”(必须配合付费版的 pro 的功能,否则还是有两三项信息能被获取)。而其他的什么 appops 之流,根本就是摆设,反正品牌型号设备这些参数全部被拿到了...
时代总是在进步,如今有啥新出的隐私 /权限管理 app 能和 XPrivacyLua 平起平坐吗?
1
11dad 2021-04-30 07:02:04 +08:00 via iPhone
appops ?
|
2
antileech 2021-04-30 07:16:22 +08:00 via Android 1
从几年前 xprivacy 面世以来就没一个能打的,甚至觉得 android 的权限管理反而能吊打 ios,可以返回自定义数据或者各种虚假的随机数据
|
3
ShuoHui 2021-04-30 07:20:04 +08:00 via iPhone
是我太孤陋寡闻了吗…完全没听过,看你的描述我觉得我又可以用 Android 了
|
4
284716337 2021-04-30 08:20:48 +08:00 via Android
xposed 就劝退了,华为手机用户😂
|
5
honeycomb 2021-04-30 08:23:07 +08:00 via Android
没有
|
6
linshiyouxiang 2021-04-30 08:35:58 +08:00
> 必须配合付费版的 pro 的功能,否则还是有两三项信息能被获取
楼主可能指的是 pro 版本附加的云端规则,实际上可以通过其他途径安装 XPrivacyLua Pro,再导入备份就能用那些规则了.当然自定义信息等肯定不能用. |
7
yehoshua 2021-04-30 08:47:58 +08:00 via Android
安卓 11+appops 已经够用了。主要还是觉得 xposed 太麻烦。
|
8
yitingbai 2021-04-30 09:01:10 +08:00
有点矫枉过正了吧, 首先 hook 函数会大大的降低函数的执行效率, 修改的东西越多, hook 的函数就越多. 其次品牌型号这些数据根本不算什么隐私, 作为一个 app 开发者的角度来说, 获取型号只是为了针对性的优化, 不同的手机参数差别非常大, 如果不根据型号去做判断优化, 很多功能都不能良好的运行在不同的手机上. 用 xposed 框架去注入所有的 app, 完全是伤敌 800 自损 10000+
|
10
honeycomb 2021-04-30 09:40:13 +08:00 via Android
@yitingbai 这个结果是可以接受的。
我们不需要针对性优化(你想,连这种 hook 系统 API 的方法都用上了),也不希望应用建立用户画像。 举个例子,我们用地图 app 的时候,并不一定需要这个 app 获得定位权限,也不需要它收集附近 WiFi/ble beacon/磁信号的数据,说不定我们只是想看地图呢 |
13
Mitt 2021-04-30 12:41:25 +08:00 via iPhone
@antileech ios 权限确实分的不够细不如安卓,不过返回空数据假数据这点 ios 其实需求不大,软件不能强制要求权限 不然不给上架的,安卓都是强要权限还检测有效性才出现这需求的
|
14
Lemeng 2021-04-30 13:10:44 +08:00
还是 xp 太麻烦,所以一般备用一台,随便获取
|
15
ikas 2021-04-30 13:56:56 +08:00
XPrivacyLua 的 hook 并不安全,因为他是在 app 侧进行 hook,而不是系统的 service. 你仍然需要 appops 配合,如果是安卓 10 以上你还要防止 appops 重置与权限组的同步
|
16
shuntdown42 2021-04-30 14:07:12 +08:00 via Android
thanox
|
17
cache 2021-04-30 22:48:41 +08:00
@Mitt 以后安卓也不能强制要权限了
http://www.cac.gov.cn/2021-04/26/c_1621018189707703.htm (三)用户拒绝相关授权申请后,不得强制退出或者关闭 APP,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限; |
18
cache 2021-04-30 22:50:56 +08:00
|
19
ikas 2021-04-30 23:25:16 +08:00
@cache 他本身确实可以,但是他目前内置的 hook 规则很多 hook 点都是 app 侧代理,也不是都需要 native 层,直接 hook 系统对应的核心 service 也可以,但是问题是,那些方法不是那么容易添加拦截逻辑的,它 service 本身是直接根据 appops 来检查的,所以只要配合一些 appops 也可以达到目的,不过依然有例外.
|
20
cathedrel OP @shuntdown42 这个什么 thanox 能让 Device Info HW 什么信息都那不到吗?
|
21
ikas 2021-05-01 01:12:37 +08:00
随便测试了下,很容易就绕过了 XPrivacyLua,比如,获取联系人,代码改成 getContentResolver().acquireProvider(ContactsContract.CommonDataKinds.Phone.CONTENT_URI).query()
对抗国内 app....只能说..... |
22
cathedrel OP @ikas 能详细一点吗?你写了个 app 要拿联系人然后 XPrivacyLua 也没防住?能不能把你这个 app 秀出来我们实验一下?
|
23
ikas 2021-05-01 11:37:04 +08:00
|
24
codehz 2021-05-01 19:33:54 +08:00 via Android
现在应该用 riru 的那一套 binder 代理做,彻底堵了获取信息的路子
|
27
cathedrel OP @yehoshua 我还没试,不过既然你只用 appops 就限制住了,那就不需要拿出 XPrivacyLua 了
|
28
ikas 2021-05-03 15:33:34 +08:00 1
@yehoshua appops 当然可以限制了,这是只是用来测试 XPrivacyLua 的,是告诉 lz,单纯使用 XPrivacyLua 并不安全
|
30
yuhaoyuhao 2021-05-05 12:38:23 +08:00
直接上 IOS,前安卓开发者。
|