安卓 app 的后端是不是可以随意偷窥用户的相册？

读取相册或文件，是基本权限，那么是不是随随便便的安卓 app 开发者，从后台就可以调取用户的相册和文件？
对于大公司的比如微信，我倒无所谓了。而那些小公司或者个人，很难不让人联想到，后端开发者或者维护人员，在茶余饭后去偷窥用户的相册，普通照片无所谓，如果有裸照、账号密码的截图等……

我小白不太懂，所以有这个疑问。

crackidz

2023-12-07 09:25:17 +08:00

@weeiy 这种时候就不要怕麻烦，坚决对抗到底，手工选一下就行

debuggeeker

2023-12-07 10:12:40 +08:00

高版本 14 ，相册可以给一个图片范围，也就是你想让 App 获取那些图片是可以选择的，而低版本只要你允许了权限，就是可以读取全部相册的文件，如果是远古时期，整个 sdcard 都可以读写。所以能上 14 系统就上吧。

janus77

2023-12-07 10:32:51 +08:00

理论上来说是的，不过这么多年大家用也就用了，虽然没办法证明有人做了，也没办法证明都没做，只能说爱用就用吧，诋毁就免了

murmur

2023-12-07 10:44:34 +08:00

新 api 可以按图申请权限，老的很多没兼容都是全相册权限

jowan

2023-12-07 14:05:36 +08:00

答案是肯定的大概五年前我在外包的时候做过这样的项目网贷 App
你的通讯录和相册从你授权那一刻开始全盘上传后台可以看到你所有通讯联系人和你的照片图库
中间还触发了一些有趣的 BUG 有的用户通讯录居然有几万人导致客户端的那个插件内存溢出闪退

jowan

2023-12-07 14:07:32 +08:00

从人脸识别实名认证三要素、手机唯一识别码 imei/oaid/androidid/idfa 都有行业付费插件你的设备是几手的有没有抵押过都是一清二楚

jowan

2023-12-07 14:09:20 +08:00

每个人申请贷款时候的活体人脸照片都是有截图的只要有权限任意查看
如果你用虚假通讯录基本上秒拒反正这一套全部都有第三方的插件
官网全是正经的其实给你用的都是跟灰产沾边的睁一只眼闭一只眼

cairnechen

2023-12-07 14:09:53 +08:00

@GuuJiang

连被称做 IM 典范的 Telegram iOS 客户端都没有用照片选择器，而是选择申请照片访问权限，别指望其他 App 能用了

jowan

2023-12-07 14:10:45 +08:00

行业内虽然有竞争关系但是他们有通的黑名单库比如你经常薅羊毛借贷不还
但这一点他们很同心用的都是同一个 blocklist 一旦进入这个名单所有平台都不会给你额度

sir283

2023-12-09 12:54:12 +08:00

@pkoukk 中国的软件商店是不存在这种审核的，之前 uc 浏览器都还向用户索取电话、短信、摄像头、录音权限呢，都不知道想要干嘛，不给权限还不让用。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/998069

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.