保持警惕：多个国产 APP 滥用相册权限(转)

vhvlqn · 2021-10-08T07:39:59Z

在 iOS 15 推出后，人们利用记录 APP 活动功能发现了许多令人不安的现象。微信、QQ 、淘宝，这些主流的国产 APP 正在滥用相册权限，日志显示这些它们在用户未使用的情况下在后台以很高的频率长时间读取相册。 Apple 对应用程序的审查以严格著称，但对于一些 APP 来说，这种审查依然是可以绕过的。一旦用户授予它们完整的相册权限，它们会加以利用。保存重要隐私信息的相册敞开大门后，它们就在其中不知廉耻地乱翻，搜寻任何感兴趣的信息。这意味着，今天之前所有给予过上述 APP 相册完整权限的用户，他们的隐私都受到了侵犯。这告诉我们，不能过于高估任何应用商店或者操作系统对隐私的保护能力，也不要低估那些 APP 厂商窥视用户隐私的执念。

相册

App

权限

隐私

115 replies • 2021-10-11 12:47:44 +08:00

1 2

❮

❯

1

MonkeyD1

Oct 8, 2021

淦

2

Lin0936

Oct 8, 2021

56

张小龙，你*什么时候*啊？

3

kirillzhang

Oct 8, 2021

1

两个方法。1. 关闭后台刷新； 2. 降低微信权限，开放部分照片的权限。

4

felixcode

PRO

Oct 8, 2021

11

为什么收了 30%的审核费后还这样。

5

xingyuc

Oct 8, 2021

1

手机系统厂商：新的用户便捷功能！
App 厂商：如何用来获取更多用户数据？

6

cwbsw

Oct 8, 2021

1

“一旦用户授予它们完整的相册权限”

说得好像 iOS 相册权限被绕过了一样。

7

LudwigWS

Oct 8, 2021 via iPhone

1. 缺乏具体日志的证据
2. 个人感觉大厂完全可以高枕无忧躺着赚钱，没必要冒这个风险分析用户的照片

8

Xusually

Oct 8, 2021

3

来源请求

9

dier

Oct 8, 2021

1

@cwbsw iOS 淘宝在不同的位置，能看到相册照片的范围就是不同，首页“搜索框”位置，扫码功能的相册读取范围是指定的照片可访问，你再到“消息”中找“我的小蜜”聊天，添加照片时点相册，能访问的照片就是所有

10

Roykira

Oct 8, 2021

@dier 还真是，它是怎么做到的，有点厉害，就是在规则上面继续钻漏洞咯。

11

skies457

Oct 8, 2021

听君一席话如听一席话

12

xx219

Oct 8, 2021

@dier 试了一下是这样的，怎么做到的。。。。。

13

skies457

Oct 8, 2021

@Roykira 猜测聊天中用的是系统自带的 image picker 吧

14

chipmuck

Oct 8, 2021

2

@LudwigWS 嗯？

15

xx219

Oct 8, 2021

淘宝那个应该是用了系统选择照片的 api，选中就直接发送了，实际上应该是看不到所有的照片的。和 wx 的实现方式都点区别，wx 是选中之后显示了一个 wx 自己的过渡页面。。。。

16

Wao

Oct 8, 2021

@Xusually #8 https://m.weibo.cn/status/4690017463305092

17

Leonard

Oct 8, 2021

4

@dier #9 如果用系统自带的 imagepicker 的话不用任何权限就可以选取所有图片，app 也只能获取你选取的图片。如果自定义 picker 的话 app 需要获取相册权限，并可以获取到你允许的所有的图片。

18

DeaThNoTE

Oct 8, 2021

@chipmuck 真是恶心又恐怖。。

19

HeyVincent

Oct 8, 2021

5

@dier #9
@xx219 #12

“我的小蜜”其实是一个网页，并不是原生的，苹果给网页提供了一个读取相册资源的接口，这个接口是不用申请相册权限的（因为操作相册的并不是 app 进程而是系统的另外一个进程），其实这是网页委托系统去读取图片数据，流程是「网页->系统->相册->用户选中的图片->系统->网页」，从始至终网页都是读不到相册资源的，只能最后拿系统返回的图片。Android 也是有类似的接口。

20

Oopsm

Oct 8, 2021 via iPhone

@chipmuck 这个在哪里看

21

julypanda

Oct 8, 2021

ios 上面都是一张一张的开权限

22

LaGeNanRen

Oct 8, 2021

说实话关掉 ios 的后台刷新功能，电量和隐私都放心了许多

23

dier

Oct 8, 2021

@Leonard
@iSteven 我并不是开发者，所以不太清楚其中的原理。如果按照你们说的不需要任何权限就能选取所有图片的话，我尝试了直接关闭淘宝的相册权限，结果就提示需要开启相册访问权限，然后所有的照片都看不了

24

dadachen1997

Oct 8, 2021

有点好奇，iOS app 可以在不开启 app 的情况下，走后台刷新任务扫描照片吗

25

Leonard

Oct 8, 2021

@dier #23 是不需要权限，但是淘宝通过 API 简单判断了你是否允许相册权限，不允许的话会直接不调取相册，不让你进行下一步而已，这是业务层面的东西。如果你允许访问选中的照片，即使你一张照片都没选中，也可以继续在所有照片里选。

26

songjiaxin2008

Oct 8, 2021

后台刷新到底有什么用啊关了会影响正常使用吗

27

Leonard

Oct 8, 2021

@dier #23 所以就算你不允许，淘宝想调取系统相册让你继续选取照片在技术层面是完全可以做的，只是他因为各种原因选择了没做而已

28

gdgoldlion

Oct 8, 2021

7

很多国产 App，会诱导用户给予相册完整访问权限，比如：
- 故意把添加照片按钮弄得不好找，然后弹窗要完全访问权限
- 直接取消添加照片按钮，逼用户给予完全访问权限
- 限制添加照片功能的次数，打开一次 App 只能添加一次照片，无法多次添加

29

chipmuck

Oct 8, 2021

@Oopsm App Privacy Insights 这个 app 可以解析 iOS 保存的活动记录

30

dier

Oct 8, 2021

@Leonard #25 如果是这样最好了

31

HeyVincent

Oct 8, 2021

1

@dier #23

好像是这么回事，可能苹果对设置了禁止访问的 app 加强了管理。
我测试了一下，用 Firefox Focus 打开 sm.ms ，选择图片时并没有弹出申请访问权限的弹窗，而是直接打开了一个图片选择的页面，所以我猜测是苹果把禁止访问的优先级设置得比网页访问更高了。

32

oIMOo

Oct 8, 2021

@iSteven #19
@xx219 #15
@Leonard #17
我其实没明白，明明 imagpicker 完全不用给第三方权限，为什么还要保留并继续开发这个相册权限 API ？
前者不能区分相册还是文件，不应该啊……

33

lkxjlkejwr

Oct 8, 2021 via Android

微信甚至不给完全相册权限都无法保存图片到相册

34

Leonard

Oct 8, 2021

@oIMOo #32 具体原因我不清楚，但是 imagepicker 明显不能满足所有场景，比如 Google Photo 备份，如果没有相册权限，而是用 imagepicker 让用户手动选，那也太难用了吧……

35

lkxjlkejwr

Oct 8, 2021 via Android

@oIMOo 用了这么久哪敢随便停，停了可能非常多 app 流程都受影响，比如很多修图 app 的编辑功能。

36

Jaosn

Oct 8, 2021

iOS 的 imagepicker 还是太麻烦了一点，有些垃圾 app 更新了可读取内容居然还会重启 app 。

让我一直很无法接受的就是我隐藏的照片，app 居然也有权限访问，让我的果照怎么办？？？？！！！！😡

37

oIMOo

Oct 8, 2021

@MengiNo #35 修图的编辑功能我其实没懂怎么会被影响 —— 图片被加载到内存也好、对应 app 的沙箱也好，然后编辑完再群进去相册，保存是写的权限了。
不过 @Leonard #34 提到的场景真的是醍醐灌顶，确实没想到这个场景。

38

icyalala

Oct 8, 2021

1

看了一下我自己的，感觉微信这个很有问题。。

39

yousabuk

Oct 8, 2021 via iPhone

@chipmuck 在哪里可以看这个？

40

WuSiYu

Oct 8, 2021

今天发现 iOS 设置->隐私->文件与文件夹里也有微信，先给取消了，关键是从设置->微信这里还看不见有这个权限

41

0o0o0o0

Oct 8, 2021

flyme 有一个”图库有限访问“的功能，可以指定各个 app 能够访问的图片

42

explorerproxy

Oct 8, 2021

这条消息在 qq 群里好像发不出去
我发微博里的 4 张图片总是发送失败

43

touzi

PRO

Oct 8, 2021

Google photo 给了后台也没有微信这个活跃度, 毕竟 photo 是要专门更新照片的.

44

littlewing

Oct 8, 2021

@cwbsw 微信一直诱导用户给全部相册的权限

45

zfree

Oct 8, 2021 via iPhone

如何记录 APP 活动呢？

46

PhanKiap

Oct 8, 2021

1

@zfree 升级到 iOS15, 设置->通用->隐私->记录 App 活动->存储 App 活动后导出给第三方 App 解析。

47

Suigintou

Oct 8, 2021 via iPhone

@LudwigWS 不是，你居然会相信国内厂商？去年还是前年就有拼多多和 QQ 偷偷删用户照片。

48

ggmood

Oct 8, 2021 via iPhone

@dier 是的，我也发现这个问题了，这属于“绕过”吧？

49

DarryO

Oct 8, 2021 via iPhone

刚刚截图或者拍照后，立刻打开微信聊天窗口的话，w 微信会把刚才新保存的图片悬浮在右侧显示，点一下就能直接发送。频繁读取相册，有这个原因吧。之前没往隐私角度考虑的时候，确实也觉得挺方便的…

50

hst001

Oct 8, 2021 via Android

@felixcode 苹果：对喔，可以用这个作借口再收 20%

51

AlexRoot

Oct 8, 2021

国内的软件生态急需要规范。国家还是在这个方面没有重视起来。

52

morize

Oct 8, 2021

楼上各位怕不是没用过 pdd，拿用户照片和视频自动生成小视频，然后可以一键分享出去，默认开启，简直绝了。说是本地处理的，但是我不怎么信。

53

TypeError

Oct 8, 2021

尽量不给国产软件任何权限

54

Rrobinvip

Oct 8, 2021

2

希望苹果能早日加一个限制 app 读取剪贴板的开关。这些国产 app 每次启动都要读取一次剪贴板，真的太那个了

55

icylogic

Oct 8, 2021

现在这个手机 (iPhone 12 / iOS 14) 买了以后，就没给过微信 /qq 什么的访问权限……
看了下，完全访问权限只给了网盘类 (yandex) 和内网 app (群晖之类的) ，用来备份和传输……

56

kyor0

Oct 8, 2021

@AlexRoot 说不定就是上边要求这么整的

57

fan123199

Oct 9, 2021

1

权限容易被滥用，很多 App 是这么干过。但是我相信微信不会去做这些违法事情。要做，它单单去分析已发送的图片就够了。PS：作为 Android 开发者，想从开发者角度谈谈，我觉得这个锅只能是手机系统背，App 开发者现在是如履薄冰。既然权限级别只能区分 app 级别（同意一次即永久同意）。同意后，App 当然有会想着去利用这个功能（当然不包括上传到后台），比如 App 检测到有最新照片，默认压缩一下，生成一张缩略图，用于下次快速分享，就算 App 不后台读取，只需要一次你有过一次发送照片的动作，也能乘机获取到所有照片信息，这个是防不住的。当然很多人会觉得这种在后台默默做的动作就是有鬼，我觉得不要带着这 App 就是要干坏事的偏见来考虑这个问题，会更有好的解决方案。

58

jianqun

Oct 9, 2021 via iPhone

微信 8.0 设置仅允许访问“选中的照片”，在 App 中选择照片时有一个“添加更多可访问照片”的接口，其实完全不影响使用。

59

CastleBUPT

Oct 9, 2021 via iPhone

1

甚至还有后台调用摄像头权限的 log，都想做个 demo 验证一下能不能后台拍照片了

60

KoreaFish

Oct 9, 2021

真的需要鐵拳一下他們..

61

Lemeng

Oct 9, 2021

隐私图，一般不放手机

62

bao3

Oct 9, 2021 via iPhone

@fan123199 但也许微信更关心你未发送的图片是啥，这才叫隐私。已发送图片本来就要 OCR 的

63

Cielsky

Oct 9, 2021 via Android

@fan123199 所以 QQ 读取用户浏览器历史记录？

64

Koduck

Oct 9, 2021 via iPhone

一直都不给国产应用任何权限

65

wwbfred

Oct 9, 2021

7

"相册发生内容更新时会通知 APP 做准备，APP 的该准备行为会被记录成读取系统相册。"
扯淡，iOS 系统半夜通知你照片更新了？典型的避重就轻，顾左右而言他。再也不相信任何国产软件了，所有权限全取消。

66

20160409

Oct 9, 2021 via Android

@wwbfred 连带甩锅

67

janssenkm

Oct 9, 2021 via iPhone

总有一天，汉语都被这些人玩成贬义词

68

janssenkm

Oct 9, 2021 via iPhone

1

@fan123199 就凭着缩略图的功能你在欧盟发一个吧，GDPR 可不是吃素的，只要你不告诉用户你要扫描相册做缩略图事后查出那保证罚得屁滚尿流

69

janssenkm

Oct 9, 2021 via iPhone

@morize PDD 一定不认识我，账号都没注册

70

James369

Oct 9, 2021

@LudwigWS #7 你想多了，欲望是无止镜的，你有了 100 万就会想要 1000 万，更何况那些大厂

71

ArJun

Oct 9, 2021

网络世界没有隐私可言·

72

Webpoplayer

Oct 9, 2021

我就纳闷，支付宝我从没给过通讯录权限，昨天充话费的时候，手误点，点到了通讯录那个图标，然后发现所有的通讯录都在里面，实时的，在通讯录新增一个，那也能立马读取到，确定从来没给过它通讯录权限。。

73

franklee628

Oct 9, 2021

微信回应“后台读取相册”：便于快速发图，新版本中将取消

74

zxcslove

Oct 9, 2021

“我相信”值几个钱啊？哈？

75

cskeleton

Oct 9, 2021

@Webpoplayer #71 和前面讨论的那个 image picker 一样的，都是调用系统的 picker 。app 只能看到你选中返回给它的。

76

2i2Re2PLMaDnghL

Oct 9, 2021

@janssenkm GDPR 要求披露，但没说披露的具体形式，芝加哥学院派的经济学人认为只要写了，就算是 7px，10%灰度的字也算写了。

77

rb6221

Oct 9, 2021

微信已经发声明了说是 feature 新版本会去掉 [狗头]

78

lshero

Oct 9, 2021

@LudwigWS 有没有想过是其他骚操作，比如限制了广告标识影响大厂赚钱，然后就通过这种骚操作去在多个 APP 中共享用户信息

79

justNoBody

Oct 9, 2021

@Dashit 回 46 楼，第三方 APP 有推荐的么？

80

fan123199

Oct 9, 2021

@Cielsky 看了下报道，QQ 应该是实锤了。分析是比较详细的，包括了拿到数据后的处理。现在微信这里只是抓取到了在读取相册操作。当然我们可以以最大恶意去猜测他的动机。但是读取相册这个行为，并不能被定性为侵犯隐私。如果有人能分析出对数据的处理，才算是。我想表达的是不要因为预设一个动机（就是要你的隐私）去解释某个行为。你无法接受微信官方对动机的解释，但是如果真相就是如此呢。当然如果后续被分析出确实做了某些分析并上传，那是要上法庭的事了，不是说不给权限这么简单了。

81

dier

Oct 9, 2021

1

@janus77 既然是 feature，为什么要去掉；去掉了还叫 feature 吗🤣

82

dier

Oct 9, 2021

@ggmood # 48 如果像其他人说的那样用的是 iOS 的 imagpicker 的话，那就不算是绕过吧。但是不是只有淘宝开发者知道

83

JamesR

Oct 9, 2021

1

国产 APP 直接不给无关权限。

84

gdgoldlion

Oct 9, 2021

1

下面快捷指令可以迅速打开：设置-隐私-照片
https://www.icloud.com/shortcuts/9ddefb01e6da4d0e95b53b716cff3321
在 iOS 15.0.1 上测试可用，对于某些不得不用的 App，如果找不到添加照片按钮，可以用这个来快速打开 iOS 的设置界面

85

Clay0620

Oct 9, 2021

@kirillzhang 关闭后台好像不行

86

Clay0620

Oct 9, 2021

@LudwigWS 微信都承认了，说下版本修复。。。

87

aliveyang

Oct 9, 2021

@AlexRoot 现在治国靠热度，热度不够不治

88

beimenjun

Oct 9, 2021

@dier 这个单纯就是网页添加图片的接口，没啥稀奇的，更谈不上“绕过”了。

因为网页点击这种按钮显示出来的视图对于 App 来说，既不能截图，也无法获得原始数据的。

89

beimenjun

Oct 9, 2021

@wwbfred 如果你开启了 iCloud 的话，从技术角度上其实是有可能半夜发生相册变化的。

90

dreamtrail

Oct 9, 2021

现在警惕是不是有点晚了，我是从来都不给这些流氓权限的

91

Bunnyranch

Oct 9, 2021

我记得 github 有个 APP 可以把其他应用的相册调用替换成系统自带的,这样就不用给权限了,但是我忘记名字了有人知道的能回我一下不

92

ericwoflskin

Oct 9, 2021

4

@fan123199 #57 你相信！？你相信有用吗？在这云洗地呢。
iOS 系统明明有“仅添加照片”的权限，微信故意不用，这不明摆着想要读你所有照片吗。
一个商业公司要看你的隐私，除了牟利，难到还能像你妈一样为你好？
所谓监督，尤其是大型巨头，就是要以可能干坏事的前提去就警惕它，这是公民社会基本常识，你就不用和稀泥了。
然后你所谓的解决方案呢，在这开空头支票忽悠谁呢。

93

chonger

Oct 9, 2021

早就苹果全家桶了，免除很多麻烦。但凡开放的系统，桌面 windows 移动安卓，都被国内这群流氓玩得体无完肤，实在没精力和这群流氓斗智斗勇。

94

hiwind

Oct 9, 2021 via iPhone

换了 iOS 之后都是一张一张给权限

95

hazardous

Oct 9, 2021

1

国内这个环境，用户对 app 还有信任吗？举着“为了提升用户体验”的幌子干着鸡鸣狗盗的事情还少吗？一颗老鼠屎都能坏了一锅汤，别说成千上万颗屎了。你说你是清白的，你跟之前那些屎去解释吧。

96

catfly

Oct 9, 2021

这个再那看到？

97

yogogo

Oct 9, 2021

@fan123199
#57 小学生？？

98

ericwoflskin

Oct 9, 2021

1

@yogogo #97 看言辞像揣着明白装糊涂的成年人

99

snw

Oct 9, 2021 via Android

突然在想，微信这么占空间，是不是把手机相册所有图片的缩略图都存进自己数据库了？

100

wclebb

Oct 9, 2021

1

哎，要不是搞所谓的国产保护（不让国外进来）。
还会有所谓的微信吗……

WhatsApp TG 哪个不是吊打微信。

1 2

❮

❯