已经确认淘宝正在刻意访问用户全部图库

2023-09-24 20:42:49 +08:00
 dingwen07

Android 14 为 target SDK 33 以上的 App 提供了“只能选择部分照片”权限,但是最新版本的淘宝通过一些设计可以绕过了它。

正常的 App 在用户选择照片的时候会请求照片权限,这个时候 Android 14 会允许用户只选择部分照片。

但是淘宝 App 使用了“照片选择器”(这个本来是谷歌设计,为了让 App 无需请求权限就可以让用户提供照片的最推荐的方法),这样用户只能在淘宝安装后第一次选择照片的时候才可以选择照片,之后只要用户没有同意访问全部照片,淘宝 App 都会让用户去设置里打开全部照片,而不是请求照片权限。

换句话说,新的“仅选择部分照片”权限,只要 app 想,是基本无效的。这个其实主要是谷歌设计的时候没有像 iOS 那样提供了一个界面让用户随时更改软件可以访问的照片,而是通过“App 请求照片权限”这个时机来实现的,然后就让无良软件给绕过了。

25713 次点击
所在节点    Android
84 条回复
s4d
2023-09-25 11:58:31 +08:00
所以 Android 对隐私明感的人,只适合玩一玩,当备用机。

主力还是 iOS 。
xiaozecn
2023-09-25 12:42:01 +08:00
话说 Pictures 目录下是不是他们乱丢的文件。
Musong
2023-09-25 13:37:27 +08:00
@xiaozecn 似乎不是,淘宝创建了以下目录
shijingshijing
2023-09-25 13:49:52 +08:00
@superychen 没用过菜鸟,我记得有段时间菜鸟力推扫脸取件,故意把扫脸的选项做最大,输入取件码选项做小,很恶心。

不过你说的这个行为,我在鹅厂的 Tim 上也碰到了,iOS 版的 Tim 用苹果最新的那种只选择部分照片,和别人聊天时,每次切出去再切换回来,必弹请求访问照片的对话框,是每次必弹,烦死了,跟个甩不掉的乞丐一样。

cherryas
2023-09-25 13:59:51 +08:00
谢谢,已经关闭全部照片和相机权限了。虽然拼多多权限更烂,但是起码便宜。
hauibojek
2023-09-25 14:13:32 +08:00
淘宝直接禁用图片权限就行了。
itechnology
2023-09-25 14:25:41 +08:00
看了半天,不知道你想表达啥,感觉你这描述问题能力有待提高,反正我读了好几遍,还是没明白啥意思。
superychen
2023-09-25 14:48:45 +08:00
@shijingshijing 菜鸟的和这个差不多,文案 是进行运单号扫描查件等功能,恶心的就是每次都弹这个框
yhxx
2023-09-25 15:22:05 +08:00
@hunono 感谢,这个看懂了,不过这不算“绕过”吧
按楼主表达的意思,我还以为是 PDD 那种直接利用系统漏洞之类的在用户没授权的情况下偷到了用户的照片
RayJiang9
2023-09-25 16:28:09 +08:00
@luoshengdu #27 说出来你可能不信,在 iOS 13 发布的首周,淘宝就已经支持了相册的新特性,即使用系统新的图片选择器,不需要用户授权,但是在后续的版本中把这个功能给移除了
halfdb
2023-09-25 16:59:18 +08:00
看了半天都不确定看懂没有。读标题时还以为淘宝利用漏洞了呢。
orionnnnn
2023-09-25 17:12:04 +08:00
没看懂+1
kingterrors
2023-09-25 17:16:33 +08:00
帮一个华为的朋友问的:

华为的鸿蒙设备上有没有这个问题(如果没理解错的话,OP 想说 taobao 越权的事情?)。
peasant
2023-09-25 17:25:40 +08:00
@paradoxs #15 如果开了 iCloud 开了 keychain 同步,全盘刷机也没用,一登录全回来了,删又找不到地方,当初找了好久删除的方法,最后发现可以从 macOS 系统里面删,macOS 上的 keychain 能看到手机上那些 APP 保存的内容。
dna1982
2023-09-25 17:34:35 +08:00
LZ 不但表达能力捉鸡 概念也是错的
App 之所以无需申请权限就可以使用系统的文件/照片选择器,就是因为这种方式只会返回用户选择的文件/照片。
dingwen07
2023-09-25 17:37:20 +08:00
@kingterrors #73
没有越权!没有越权!
你不授权啥都访问不到,就是 App 在刻意引导用户去授权全部照片访问。
NavilleZhang
2023-09-25 18:56:48 +08:00
阿里系是这样的
showchys
2023-09-26 10:05:39 +08:00
刚刚,官方正式通报! 确认了!
这种标题党蔓延到这里了,国内环境就是隐私换取便利.信息泄露早就麻了.
huajingyu
2023-09-26 11:47:32 +08:00
位置获取也是这样。故意不请求授权而是跳转到设置。非逼我用完后立即取消授权。
文件(包括媒体)还好解决,不要从应用选择文件(这需要授权)而是从文件管理器或相册共享给应用。现在除了文件同步工具外,我从不授权文件权限。微信发图片我就在相册中选择图片后共享到微信。前阵子某个银行应用不给文件权限不让用,我给停用了。还有国内几款音乐软件,不给存储权限不能下载,(没有让该软件下载到私有目录的功能。)我就放弃离线听歌了。
luoshengdu
2023-09-26 12:28:00 +08:00
@RayJiang9 #70 真,司马“淘宝”,之心路人皆知啊!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/976743

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX