点击蓝字 关注我们 ///
@Hacking黑白红
11月13日,关于得物APP的新闻上了各大热搜榜。
网友称得物调用手机权限删除投诉视频,得物回应:没有权限和能力,正与手机厂商确认。
事情起因
11月12日,一位网友在短视频平台发文称,他双十一在得物app买了东西,后发现货物有问题,便向得物官方反馈,并上传了一些与货物相关的视频证据到得物平台。12日,他发现得物涉嫌通过调用他的手机权限,删除了手机里与问题货物相关的视频。“删了两条视频,其中一条是开箱确定商品是有问题的,一条是去专柜做对比的。”该网友称,他想要得物给出一个说法。
网友发文称得物app涉嫌调用手机权限删视频(视频截图)
得物回复
“完全没有任何动力去做删除用户相册等不合规的行为;同时,对于用户的海量视频内容,得物没有相应技术能力进行批量识别,甚至定向删除。”
白帽视角
1、App与用户之间的权利实际是不对等
app过度索取权限,相信大多数人都遇到过。当前许多App与用户之间的权利实际是不对等的,它们在使用时都需要用户授权拍照、相册、定位、通讯录等功能,这就导致这些App会获取相对应的权限,可能存在在用户不知情的情况下执行某一项产品功能。从这些事件可以看出,App的权限使用机制还有待进一步完善。
2、APP获取权限后,相当于就是一个大木马
App只要事先获取了手机的存储和相册权限,就可以远程删除相册的内容。但在部分版本的手机中,这个操作并不能彻底删除,相关内容会出现在相册的“最近删除”或“回收站”等文件夹里。
3、App自动删除手机图片不一定是恶意行为
很多App会自动清除过期图片,但用户认为是图片丢失。如华为对此新增了保护功能,当第三方App在常用图库目录下删除照片或视频时提醒用户,并能恢复刚删除的内容。第三方App可按照安卓规范在缓存目录下添加属性,这样就不会被系统扫描到。
4、不常用的聊天软件侵犯隐私的原理
此次手机权限事件,是很好的一次普及软件的安全,让用户安装软件时注意软件需要获取哪些权限,警惕APP过度索取手机权限。
END
原文始发于微信公众号(Hacking黑白红):白帽视角:APP调用手机权限删除投诉视频,是侵犯隐私还是系统误报?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论