这是一个创建于 1131 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天,有网友发现淘宝 APP 会将用户手机里的照片视频复制到了它的私有目录下。
具有 root 权限的用户,能够在安卓系统根目录 /data/data/com.taobao.taobao/cache/ 文件夹里发现自己手机里的照片视频,其中甚至还包含从 telegram 下载的媒体。而这正是淘宝应用的私有目录。
现在还不清楚淘宝获取这些内容的动机,以及是否会将这些媒体文件上传,但是毫无疑问如果需要它的确可以做得到。
这一现象在中国国内应用商店和 Google Play 的淘宝 APP 中均获得验证,iOS 还未发现问题。
具有 root 权限的用户,能够在安卓系统根目录 /data/data/com.taobao.taobao/cache/ 文件夹里发现自己手机里的照片视频,其中甚至还包含从 telegram 下载的媒体。而这正是淘宝应用的私有目录。
现在还不清楚淘宝获取这些内容的动机,以及是否会将这些媒体文件上传,但是毫无疑问如果需要它的确可以做得到。
这一现象在中国国内应用商店和 Google Play 的淘宝 APP 中均获得验证,iOS 还未发现问题。
 |
1
geniussoft 2021-10-08 10:54:50 +08:00 via iPhone  1
不受约束的权力必然自动膨胀。
|
 |
2
auhah 2021-10-08 10:55:03 +08:00 4
正常吧。。。自己实现了图片选择器的 APP,选择图片的时候都会复制一份缩略图到目录下
|
 |
3
zhouwb 2021-10-08 11:54:58 +08:00 5
这也是我不管苹果做的多不好,只要安卓的机制不变,我都不会用的原因,安卓跟 windows 一个德性,太开放了,不可控因素太多,出问题的概率也更高
|
 |
4
morisakitaku 2021-10-08 12:08:43 +08:00 via iPhone
哈哈哈哈 安卓和國內互聯網大廠🐂🍺
|
 |
5
MrCurly 2021-10-08 12:31:47 +08:00
刚看到这个新闻,太有意思了,二楼说的感觉有点道理,不过视频也有必要复制一份么?我看有截图说给了存储权限就开始缓存 6 个 g,这复制也太疯狂了,不符合常理,软件设计的时候没有考虑过么
|
|
6
MrCurly 2021-10-08 12:32:18 +08:00
刚看到你发在 ios 区了,改下区吧
|
 |
7
melsp 2021-10-08 12:35:59 +08:00 via Android
有链接吗
|
 |
8
toptyloo 2021-10-08 13:12:09 +08:00
不给存储权限、存储重定向解决问题。虽然麻烦一些,但我真没觉得 iOS 上那一堆没适配好最新相册权限的 APP,也没简单到哪去啊。还是那句话,远离垃圾 APP 制造商,他们生产的 APP 在哪个平台都是垃圾。
|
|
10
toptyloo 2021-10-08 13:14:20 +08:00 8
更正:
不给存储权限、存储重定向解决问题。虽然麻烦一些,但我真没觉得 iOS 上那一堆没适配好最新相册权限的 APP,有简单到哪去啊。还是那句话,远离垃圾 APP 制造商,他们生产的 APP 在哪个平台都是垃圾。能不吃屎就别吃屎,比在哪吃的屎少,难道少就不是了。。。 |
 |
11
Windn0 2021-10-08 13:20:48 +08:00 via iPhone
ios 上同学和 qq 也存在这个现象。ios15 上的日志可看
|
|
12
Windn0 2021-10-08 13:21:18 +08:00 via iPhone
ios 上微信和 qq 也存在这个现象。ios15 上的日志可看
|
|
13
zhouwb 2021-10-08 13:34:49 +08:00 1
@toptyloo 这话在理啊,国内的软件生态真的很无语,所以我坚持用苹果,好歹一个 appstore 能管一管,拦住大部分。不过每个人需求不同,适合才是最关键的
|
 |
14
wa007 2021-10-08 13:39:38 +08:00
淘宝要上天
|
 |
15
Tink 2021-10-08 13:39:42 +08:00 via Android
我用存储重定向把淘宝拿捏住了
|
|
16
wa007 2021-10-08 13:41:05 +08:00
更像是,某一个小部门为了实现更方便实现一个小功能,做了这么一个转储,反正可以实现也没成本,于是就这样了。
还是监管太弱的问题吧。 |
 |
17
greenskinmonster 2021-10-08 13:44:35 +08:00
阿里系的应用我现在都放在 island 炼妖壶里面,存储权限也不给。副作用就是指纹支付开始可以用,后来总是提示指纹更改需要验证,然后把指纹关掉用支付密码了。
|
 |
18
Cagliostro 2021-10-08 14:14:50 +08:00 via iPhone 1
@zhouwb iOS15 有 APP 记录,有人通过记录发现微信后台偷偷访问相册。
|
|
19
zhouwb 2021-10-08 14:18:22 +08:00
@Cagliostro 没办法,在严密的机制也会有漏洞的,不过这个我倒无所谓,看就看呗,我没啥秘密,只要 app 之间不打架,不乱存东西,影响我的使用体验就好
|
 |
20
Jooooooooo 2021-10-08 14:22:18 +08:00
工信部投诉试试.
|
 |
21
agagega 2021-10-08 14:43:58 +08:00 via iPhone
我一直挺好奇。偶尔世界上有些国家级别的料都能被爆出来,苹果微软这种公司压轴产品也有人泄露出来,为什么国内这些厂商侵犯隐私的行为,好像从来没看到过有内部员工匿名出来爆料的?
|
 |
22
ryougifujino 2021-10-08 14:47:13 +08:00
借楼问一下,iOS 某个 App 给了允许访问相册的权限的话,打开那个 App 的时候,它可以在任意时刻获取我的任意图片吗?
|
 |
24
dingwen07 2021-10-08 15:01:39 +08:00 via iPhone
|
 |
25
hanksun 2021-10-08 15:07:20 +08:00
然鹅,iOS 上微信淘宝的任何权限我都没给
|
|
26
ryougifujino 2021-10-08 15:08:22 +08:00
@dingwen07 #24 我知道有一个允许访问部分权限,我的意思是如果给了访问所有照片的权限的话,只要打开那个 App,它任何时候都可以获取我的任何照片吗?而不是说我必须要在选照片的界面它才可以获取任何照片?
|
 |
28
clf 2021-10-08 15:17:23 +08:00
那个想问一下是直接在 cache 文件夹下还是在里面的某个文件夹内呢?
我特意打开了淘宝的存储权限,然后进 cache 文件夹下看了一下没找到。有一个 video-cache 的文件夹里面是淘宝 app 自己的视频缓存,其它的文件夹下文件打开大部分是 js 代码。 |
|
29
clf 2021-10-08 15:20:03 +08:00
@ryougifujino #22 IOS15 有导出隐私记录操作的功能了,微信爆出来会在后台访问照片文件(长达一分钟),网上的建议是关闭微信的后台刷新,把照片权限改为允许访问选择的,在选择照片的时候再去添加要传的照片。
|
 |
30
haozi1986 2021-10-08 15:21:55 +08:00
这帮毒瘤我都开启了存储重定向,正常目录里面的文件它们一个也拿不到
|
 |
32
yehoshua 2021-10-08 15:34:04 +08:00 via Android
@clf 照片不是问题,不给权限用系统的分享就可以传给这群毒瘤。还可以单独建一个毒瘤专用的目录放需要共享的照片等。
|
 |
33
abc8678 2021-10-08 15:48:22 +08:00 via Android
我是上个月在哔哩哔哩听说的。我禁止了存储权限,所有没有这种情况。我用另一台手机故意试,结果试不出来。可能刚装上 APP 不会立刻发作吧
|
|
34
abc8678 2021-10-08 15:49:42 +08:00 via Android
小米云服务忘了关,从外网下载的某些视频被同步了……😂多个淘宝,多个微信,多个 QQ 都是读取,应该差不多了吧
|
|
35
abc8678 2021-10-08 15:51:53 +08:00 via Android
https://b23.tv/av675287345/p1 上个月在哔哩哔哩看到的视频,找到了
|
|
36
clf 2021-10-08 16:08:10 +08:00
|
 |
37
OldActorsSmile 2021-10-08 16:21:12 +08:00
难怪现在这么多 App 占存储 1G 以上
|
|
38
haozi1986 2021-10-08 16:23:01 +08:00 1
@clf
防止乱拉屎是一方面,我用存储重定向最主要的目的就是担心这帮毒瘤乱访问甚至上传我的文件,所以照片等目录是绝不可能给它们访问权限的,如果真要有需求,比如淘宝上面给卖家发个图什么的,我宁可麻烦一点,自己手动把图片复制到隔离空间里面去。我对这帮毒瘤的信任程度是 0 。 |
 |
39
GiftedJarvis 2021-10-08 16:25:46 +08:00 1
@zhouwb 其实差不多,IOS 明明有相册的 API,不需要 App 直接访问相册,微信和淘宝还是要访问权限,不给权限的照片不让在 App 内访问。
当然相比安卓好多了,最少可以选择哪些图片可以被访问,而不是整个相册裸奔 |
|
40
auhah 2021-10-08 16:46:11 +08:00
@auhah #2
补充一下吧 https://github.com/donkingliang/ImageSelector 随便搜了一个图片选择器的库,实现其实大同小异。 具体参考 README 里面的适配 Android10 部分。这里的 Glide.with(mContext).load(uri).into(ivImage);加载图片,正常就是有缓存的。 这个缓存可以参考 https://www.jianshu.com/p/171793326b94 |
|
41
Cagliostro 2021-10-08 16:52:19 +08:00
@zhouwb 挺想 iOS 做相簿功能,限制软件可以访问的相簿。
|
 |
42
essicaj 2021-10-08 17:51:02 +08:00
应该就是个代码实现问题,想直接把 MediaStore 拿到的 uri 转成 filePath 吧
https://i.loli.net/2021/10/08/qPGxMJQ2T4jNU1w.png 然后去检测出具体的分类,估计检测分类是个内部封装好的 sdk,传入的参数就是 filepath https://i.loli.net/2021/10/08/8Pevdxt6CHYV1nw.png |
|
43
yehoshua 2021-10-08 17:57:21 +08:00 via Android
@clf 我新建了个共享文件夹,用于导出微信等的图片和分享给淘宝等平台。其他的权限我并不信任。毕竟很多 app 给一次相册权限就都扫描光了。
|
 |
44
jiayong2793 2021-10-08 18:04:12 +08:00 2
既要给有关部门留后门,
又要限制企业获取隐私, 还要不想被人民说只需州官放火,不许百姓点灯, 这政策很难制定。 |
 |
45
Leonard 2021-10-08 18:05:22 +08:00 1
@ryougifujino #26 只要你允许了所有照片的权限,那么 App 可以在运行的任何时候读取你的所有照片,并不一定是你选照片的时候才能读。所以请谨慎允许所有照片的权限。
|
 |
46
corruptdu 2021-10-08 18:16:42 +08:00
用 work profile 啊,国产软件都安装在 work profile 里边。要用的时候再把文件或者照片从 personal profile 复制到 work profile,方便快捷、干净又卫生啊兄弟们。
|
 |
47
ryj5566 2021-10-08 18:47:14 +08:00 via iPhone
隔壁 wx 、qq 都被曝出事了
|
 |
48
refraction 2021-10-08 18:51:53 +08:00 2
|
 |
49
messnoTrace 2021-10-08 19:08:31 +08:00
有可能是因为适配了 android 11 还是 12 来着,应用无法直接读写 手机的的图片,所以我们的做法,都是会先读取,然后再写入一份到私有目录,当然了,有没有上传到自己服务器的这个操作,就不知道了
|
|
50
dingwen07 2021-10-08 19:26:38 +08:00 via iPhone
@ryougifujino #26 可以。理论上你不打开也可以啊,iOS 4 会允许在后台唤醒 App的,只要被唤醒了就可以。
|
 |
51
Lemeng 2021-10-09 01:50:35 +08:00
希望以后监管能跟上
|
 |
52
MartinWu 2021-10-09 09:26:50 +08:00
问题在于你授权给淘宝了,还是他复制照片这事情本身?如果想上传你的图片,你都已经授权给他了,他复制不复制有差别么?照样可以读。他可能会作恶,但是复制照片这一行为本身,不是充分必要条件。
|
|
53
auhah 2021-10-09 09:55:24 +08:00
@refraction 这就不知道是咋想的了。。。如果想上传所有图片到服务器的话其实也不需要复制一份过来
|
Select Language