这是一个创建于 3181 天前的主题,其中的信息可能已经有所发展或是发生改变。
国产移动应用的权限需求和后台活动再次引发了关注,这一次又是支付宝。支付宝是最流行的中国移动应用之一,安装量有数亿之多,它的体积庞大功能庞杂,用户根本无法了解它在后台究竟会干什么。 Twitter 用户 typcn 报告称,“支付宝安卓版每隔 X 分钟(服务器指定)会在后台开启摄像头拍照,录音 X 秒,然后上传到服务器上。”作者进一步指出,支付宝的偷拍是“开启相机预览,设置相机预览回调,然后从相机预览的画面里面拿一帧,这样不会调用 takePhoto ,在部分强制开启拍照声音的手机上,也不会出现声音,因为是在预览缓冲中拿的图像。”知乎上有相关讨论,尚未看到支付宝官方的回应。
 |
1
airyland 2016-02-23 12:20:47 +08:00 via iPhone
记得这里有相关帖子
|
 |
2
SpicyCat 2016-02-23 12:31:45 +08:00
有知乎链接么
|
 |
3
napsterwu 2016-02-23 12:32:43 +08:00
|
 |
4
IgniteWhite OP @napsterwu 666
|
 |
5
lovewilliam 2016-02-23 12:47:53 +08:00
国产软件就是牛。
|
 |
7
GPU 2016-02-23 13:15:01 +08:00
我记得 typcn 还刚刚够 18 岁什么的。
|
|
8
GPU 2016-02-23 13:25:01 +08:00
与 Andy1999 是基友好像 。 C++ 论坛好像是他写的
|
 |
9
robinlovemaggie 2016-02-23 13:28:10 +08:00
贵支。。。。
|
 |
10
typcn 2016-02-23 13:37:13 +08:00  13
当时抓到的那个图中支付宝设置了 previewCallback 通过预览来偷拍。
但是现在支付宝不再设置 previewCallback 了,只是 startPreview ,大概就是打开相机预览,什么都不干,然后再关闭,你也不知道他具体在干什么。 (不确定 startRecording 录音是否还在继续,昨天晚上测试的录音还是会的) 支付宝有 大概 1/4 的代码都是动态加载的 ,支付宝 libs 里面的 so 文件,其实根本不是动态库,就是一个一个完整的 APK ,有的 so 还是从他的服务器上远程加载的,但其实那些 so 文件,全部都是 apk ,有着完整的 apk 结构, drawable , dex 都有,这些 apk 动态插入到主程序里面执行。 这种高动态的程序,证据抓到的可能性已经趋近于 0 了 之前支付宝有一个版本,没走应用市场,是应用内推送更新的,半夜玩手机的时候,突然听到咔嚓一声,打开支付宝,也是咔嚓一声,群里也有人讨论了这个问题,当时还有人给支付宝客服打了电话,次日的支付宝就发布了新版,走了应用市场,更新掉了这个版本。我想这里也可能有人遇到过。 他急急忙忙更新掉这个版本,而不是热修补,说明这个版本中拍照的代码是直接内置在了程序里的,而且拍照有声音肯定是用了 takePicture() ,要是有这个版本的话,反编译就可以直接抓到作恶的铁证。 但是我找了很长时间没有找到这个版本,因为当时的截图丢了,也不知道具体的小版本号,一个一个翻了很长时间也没有找到。。我也没有那么长时间一直在这肛支付宝。。。。。 这事大概就只能这样了。。 我只能做到告诉大家这是一个什么样的软件,我也没有办法找到证据,信不信就由你自己看了吧。。。。 大家写每一个项目的时候,一定要记住:最好的防止泄漏用户隐私的方法,就是不要收集 |
 |
11
doublleft 2016-02-23 13:42:47 +08:00 8
我记得有一款手机的摄像头是可伸缩的,使用时会展开。
然后好多用户反馈自己的摄像头总是自己一伸一缩,以为出故障了。 结果大家讨论,发现很有可能是什么应用用摄像头… |
|
13
typcn 2016-02-23 13:46:43 +08:00
|
|
15
typcn 2016-02-23 13:47:50 +08:00
|
 |
20
dong3580 2016-02-23 13:52:30 +08:00
@typcn
发动 v2 的强迫症备份童鞋肯定可以找到的,我目前有这些版本,都是比较新的,早期有很多备份删了: 8.6.0.040305 9.1.0.091801 9.2.0.101408 9.5.1.011302 |
 |
22
bleaker 2016-02-23 14:25:54 +08:00 via iPhone
一个朋友自己编译的 kernel ,相机部分没做好,调用时经常会系统卡死,之前系统经常莫名其妙自己卡死,删了支付宝就好了。不知道能不能算旁证
|
 |
24
lancelot 2016-02-23 14:33:43 +08:00
使用支付宝耗电特别大的原因可能是这个。
|
 |
25
fowse 2016-02-23 14:35:17 +08:00
我也转一个评论吧,首先声明,只是转没有任何倾向,并不对所转的内容负责。
转 @gravity0 几天前微信钱包提现收费,不过是希望大家多用它支付,而不是抢完红包提现走人,被对手大肆炒作。如今支付宝的拍照录音风波可以视作是反击。舆论战的好玩之处就在于总有花钱和不花钱的雇佣兵自愿投入搬弄是非的战斗。 下面说说我的带有倾向的个人看法: 支付宝不是个东西,微信比它要强很多。 |
 |
26
hronro 2016-02-23 14:52:39 +08:00
这尼玛,吓死宝宝了
|
 |
27
DaraW 2016-02-23 14:57:07 +08:00
突然想起来手机现在的 ROM 的相机调用有 bug ,支付婊二维码都不能扫码,一点不慌。另外一直支付婊淘婊什么的不用都冻结着
|
 |
28
matsuijurina 2016-02-23 15:08:28 +08:00 via Android 18
找了一台山寨安卓平板,既没有摄像头也没有麦克风,当然也没有通讯录,顺手 root 了。在上面装满了各种像支付宝这样的国产 app ,看着后台此起彼伏的进程,有一种养蛊的感觉。
|
 |
29
xia0chun 2016-02-23 15:46:04 +08:00
@matsuijurina 666
|
 |
30
BSD 2016-02-23 15:53:24 +08:00
@matsuijurina 对付国产流氓 app ,就得这么干,我一直就这么做的。
|
 |
31
Procyon 2016-02-23 15:55:26 +08:00 via Android
@matsuijurina 随身携带寨板?
|
 |
32
zaqxsw123nm 2016-02-23 16:07:29 +08:00
@matsuijurina 真是老司机!
|
 |
33
rim99 2016-02-23 16:31:32 +08:00
@matsuijurina 看来淘汰的安卓手机也能这么干
|
|
34
IgniteWhite OP @matsuijurina 哈哈哈
|
 |
35
yongzhong 2016-02-23 16:57:33 +08:00
今天看到新闻后我把支付宝的拍照权限从允许改为了询问,下午就遇到了手机只是放在那里,结果界面弹出了支付宝请求拍照权限,瞬间呵呵了
|
 |
36
sdysj 2016-02-23 17:13:16 +08:00
旺旺 QQ 标准版 那个 xxxProtect 笑而不语。。。删掉后启动主程序自动下载自动安装自动运行自动恢复服务。。。国人脑筋就花在这些内斗身上了,结论早翻早解脱。。。
|
 |
37
jakes 2016-02-23 17:31:13 +08:00 via Android
我安卓手机经常解锁的时候显示的是 uc 的下载页面,而且是 360 手机管家的下载页面。
|
 |
38
aivier 2016-02-23 17:35:22 +08:00
自从 App 启动就拍照开始,禁用了所有权限
|
 |
39
kmahyyg 2016-02-23 18:14:03 +08:00
支付宝发长微博称,安卓版支付宝不会后台自动启用摄像头拍照和录音,也不会将将其上传到·服务器,对于某些提前申请的权限,将会在 Android 6.0 以上的版本进行优化,以避免用户误解。同时,支付宝将采取法律手段维护自己的权益。
tmd 6.0+要你优化 系统自己就不给这权限 |
 |
40
liyiecho 2016-02-23 18:17:51 +08:00
@kmahyyg 6.0 上面还是提示要获取几个权限,虽然可以关闭,但是 TM 的存储空间权限必须要给,不给就不给你用。。
|
 |
42
paw 2016-02-23 18:41:49 +08:00
PC 上一个专门的虚拟机,装各种国产,主机上远离国产
还有一个 ipod 6gen ,专门装国产 APP ,主力手机上也是没任何国产。 跟这些流氓折腾..累..直接隔离开,你们爱怎么玩就怎么玩把! |
 |
43
Bown 2016-02-23 18:45:30 +08:00
我记得插件化方案有一个优化策略是把插件 apk 改名为 so 放到 libs 下,这样就会在安装 app 时而不是启动时复制插件到 dex 目录下,一定程度上解决初次加载插件卡顿问题
|
 |
44
fantasy467047 2016-02-23 18:51:03 +08:00
@doublleft [支付宝为何不停后台开启摄像头?] 黄 biangbiang :我的手机 摄像头是弹出式的 放在桌子上没事就弹一下 没事就弹一下 原来是支付宝搞的鬼····… http://www.zhihu.com/question/33394341/answer/56385792 (分享自知乎网)
|
 |
45
blackimpl 2016-02-23 18:54:22 +08:00
哎 国民的智商
|
 |
46
onvno 2016-02-23 19:06:06 +08:00
刚从知乎的链接回来,发现知乎尚且平静, V 站已经亢奋
|
 |
47
clino 2016-02-23 20:41:09 +08:00
|
|
49
clino 2016-02-23 21:19:41 +08:00 via Android
|
|
56
clino 2016-02-23 22:04:13 +08:00
@binux 我是在关闭了大部分权限以后 偶然发现打开摄像头被拦截以后采取看的这个拦截历史记录
我今天完全没有打开过支付宝 支付宝的版本其实我一直没有升级,但是除夕那天都在咻 我一打开强制我升级否则不给用才升的级 平时极少开因为淘宝基本上是我老婆在负责买 |
 |
58
ilikekindle 2016-02-23 22:21:51 +08:00
猜猜几楼是为支付宝捡球的?
|
 |
60
yangqi 2016-02-23 22:27:34 +08:00
每次用完强制休眠的应该没问题吧?
|
|
62
clino 2016-02-23 22:48:30 +08:00
@binux 另外我赞同这个回答: https://www.zhihu.com/question/40638556/answer/87747641
``` 两种设计: 1. 每次启动时向用户”申请“摄像头权限。 2. 用户打开扫一扫的时候”申请“权限。有多少人会认为第一种做法对用户干扰更少?就算我每次打开支付宝后都要使用扫一扫,那提示的次数也是一样多的。而实际情况下比如我平时很少使用扫一扫,多数是付款码,那大多数情况下并不需要申请这个权限啊,然后每次打开都问我要权限,这个真的是为了“提升用户体验”?另一种情况,如果我选择始终禁用摄像头权限,实测结果支付宝启动后拿不到权限也就默默地继续下去了,也并没有弹出一个提示来告诉我啊,那么所谓”提前触发权限申请“的作用到底是什么?没拿到权限你也不嚷嚷一下啊,最后还是在扫一扫的时候才告诉我无法操作,那和”不提前触发权限申请“有区别吗? ``` |
 |
63
Magnus1k 2016-02-23 22:49:31 +08:00 via iPhone
@binux 之前在知乎相关讨论中看到有人提出安卓无法在使用过程中做到“申请权限而不使用”如果看到了申请,就说明其实想使用。
|
 |
64
binux 2016-02-23 22:57:57 +08:00 1
|
 |
65
zongwan 2016-02-23 23:06:41 +08:00
Android API 设计的问题的话
只能说国产某些系统提示不到位 或者 官方漏洞 某些开发者是否能提供一个 sample APK 来检测系统是否存在这个漏洞? |
 |
66
liujiantao 2016-02-23 23:13:13 +08:00
|
|
69
zongwan 2016-02-23 23:35:47 +08:00
@binux
太牵强了 不过我也挺支付宝 无恶意这点 开个摄像头,可能检测 摄像头是否正常, 照相是否清晰, 对焦速度等. 虽然一般手机型号都会有介绍, 但详细的参数有些还是靠 API 才能获取到, 甚至有国产手机偷工减料 这些说的也太牵强了 关心隐私的人 都会设置应用访问摄像头时询问吧? 呼吁手机系统厂商对隐私安全进一步加强, 要求摄像头访问 除了相机外都设置为询问 |
 |
70
Andy1999 2016-02-23 23:37:16 +08:00 via iPhone
@binux 666 洗地不用这么洗吧 为了统计一下有摄像头比例的所以每次都请求?
那么这个数据一定是 100%吧,现在哪款手机不带摄像头? |
 |
71
xrui 2016-02-23 23:55:18 +08:00 via Android
看微博评论的意思大概是说,因为支付宝提现不收费,钱放着还有利息,过年还抢到红包了,就是听不惯有人说支付宝的不好,我乐意被泄露隐私,隐私泄露可我的钱又没少,我也没什么隐私,银行的钱被盗了拿不回来支付宝的被偷了就可以理赔,你这么黑支付宝,该不会是腾讯 /苹果的托吧。
联想到以前看过的 360 的,要不是 360 你现在还用一个月十几块钱的杀毒软件呢,泄露隐私跟我有什么关系,我有什么隐私电脑里一堆**随便上传,你这么黑 360 ,该不会是腾讯的托吧,这可是免费的杀软啊,这么黑他你的良心去哪里了 |
|
72
clino 2016-02-24 00:38:36 +08:00 via Android
@binux 这种检测不是做一次就好了吗? 难道支付宝会担心我摄像头坏了这么好心一天这么勤奋地帮我检测 哦 还帮我检测能不能录音 估计它想知道那么多设备有多少可以录音吧
|
|
73
binux 2016-02-24 01:12:09 +08:00
|
 |
74
joydoudou 2016-02-24 01:19:52 +08:00
看到这个帖子就是试了一下,果然一打开支付宝就请求摄像头的权限
|
|
75
kmahyyg 2016-02-24 01:29:54 +08:00
|
 |
77
yech1990 2016-02-24 03:08:28 +08:00 via Android
果然是这样,设置成 promot 之后疯狂提示,尽管没打开支付宝。
 ) |
|
78
yech1990 2016-02-24 03:11:01 +08:00 via Android
我只打开了 chrome
 |
 |
79
imbahom 2016-02-24 03:32:44 +08:00 via iPhone
意淫一下,此举打击了安卓,打击了支付宝,一定是苹果干的,意在推 apple pay
此贴火钳留名。 |
|
81
clino 2016-02-24 07:44:01 +08:00
@binux 只要做一次检测的应该持久化记录下来,而不是每次启动都查,支付宝不是会担心用户的使用不流畅吗? 那更没理由这么做啊.
|
 |
82
sexoutsex2011 2016-02-24 07:57:08 +08:00 via Android
大多数时间下 支付宝冻结中状态的受此影响吗?
|
 |
83
hualuogeng 2016-02-24 08:52:08 +08:00
看完诸位的评论后,我还是将支付宝调用摄像头的功能关闭了,等真的要扫码的时候再手动开吧。
|
 |
84
3yvsye 2016-02-24 09:15:06 +08:00
刚刚把大部分隐私权限设置为询问,一打开软件,弹出 1.定位查询、 2.联系人信息查询、 3.摄像头打开查询。定位查询是只要拒绝,每个操作页面都会弹出来。
|
 |
86
MarioxLinux 2016-02-24 09:34:15 +08:00
之前 IPAD 版本支付宝不升级不让用,真流氓
|
 |
87
killerv 2016-02-24 10:04:34 +08:00
这个屌……
|
 |
88
Testalias 2016-02-24 10:06:02 +08:00
http://zhuanlan.zhihu.com/justnow/20595834
云舒发话了, 10 万块,拿证据去领吧 |
 |
89
idacker 2016-02-24 10:25:31 +08:00
支付宝方面今日通过官方微博发表回应称,个别社交平台的“支付宝 Android 版隐私门”话题,用语焉不详的“论证”,扣上一个“隐私门”的帽子,加上各种技术名词的包装,确实可能引发普通用户的误解和担心。
公关不给力啊! |
 |
90
fakefish 2016-02-24 10:55:09 +08:00
就像云舒说的,代码是写的不对,重复来请求来确定权限,而说偷拍偷录就是意淫了,要是有这流量一天要跑多少?
好像之前有类似的事情? |
 |
92
okampfer 2016-02-24 11:12:37 +08:00
弱弱问一下,现在我在 flyme 里禁用了 alipay 使用摄像头的权限,当它需要使用的时候如果我点了“允许”,是不是以后每次都自动允许了?然后我需要手动再把它的摄像头权限禁用?有没有类似“仅本次允许”之类的办法?
|
|
93
typcn 2016-02-24 11:26:17 +08:00
@Testalias 云舒在底下各种删评论,有关云端的评论都删了,只剩了 0 赞 0 回答 0 提问的小号在底下洗地,懒得回复了。
|
 |
94
HankAviator 2016-02-24 11:30:25 +08:00
我先前每次冷启动支付宝摄像头都会咔哒一声,心里疑惑但也没注意。
|
|
95
HankAviator 2016-02-24 11:32:54 +08:00
想到一个暂时有效的办法,用 xposed 模块在指定活动时允许摄像头 /露阴,其余的时候禁止,或许有用。
|
 |
96
MountainRain 2016-02-24 11:33:24 +08:00
支付宝要是觉得被冤枉了,就说清楚为什么调相机就行了啥。
我不相信支付宝的代码会没有 review 。肯定不出 BUG 多次调用相机的问题 说是代码写的比较 SB 我不相信 |
 |
97
VmuTargh 2016-02-24 11:33:33 +08:00
支付宝早就卸了,之前我妈 a788t 安装了支付宝,然后放裤袋里没碰没用(也没有照相键)经常咔嚓咔嚓……
|
|
98
IgniteWhite OP 2
@HankAviator 输入法暴露了你
|
 |
99
kenken 2016-02-24 11:34:10 +08:00
@typcn 以前不知道有这个云舒,进去看了一下,看起来像个大 v ,但这通篇文章逻辑不清楚,乱骂 SB ,评论里各种叫,真心没法看
|
 |
100
jannigermany 2016-02-24 11:35:34 +08:00 via iPhone
怎能错过翻页
|
Select Language