分享
支付宝真的有能力绕过用户偷偷摄像录音吗?
大家都在讨论支付宝有没有,但是更重要的问题不应该是它能不能吗?讨论来去,大家都似乎默认了支付宝有这个能力。安卓的安全屏障真的这么轻易就能绕过去了吗?那各种小软件想要偷用户资料难道不是轻而易举?阿里毕竟是纳斯达克上市的大企业,它的信用我姑且相信,但如果随便一个安卓软件都有这个能力,细恐至极!毕竟每天用那么多软件,也不是每个都是大公司的,还是说安卓系统和所有软件斗智斗勇就是必须的?没有更好的办法?5.0,6.0怎样,还有这样的安全担忧吗?IOS呢? 是否也可以绕过沙盒系统?除了谷歌苹果的审核,仅技术上来说,在系统构架上,这种安全隐患哪个系统更大?补充下,安全隐患,只要是说,某软件在已经获得了某权限的情况下,能否在使用者未使用软件的情况下自己调用并不被知道。 iOS据我所知,软件在进入后台后,只有非常小的权限,但不知道调用摄像头,通讯录,短信这种能否通过技术手段实现。
回复 ( 7 )
在你安装支付宝的时候让你确认安装的时候会列出该APP所需权限,如果你点安装,就等于你授权了该APP所列出的权限。
如图为支付宝所需的部分权限:
众所周知,在Android 6.0(MashMallow)上,android提供了权限控制功能。
表现如下:
注意:android 6.0系统仅提供了对隐私权限的控制功能,像开机启动这类权限并没有给用户选择。
我们的支付宝使用6.0的API,所以在你扫描二维码的时候像你申请拍照权限,如果你授权了,下次就不需要申请了(我也挺奇怪这个逻辑,这样不就让支付宝偷拍了吗,或许google是为了减少对用户的打扰吧)
最后退出支付宝后调整权限:
支付宝最低权限需要存储空间。真的不知道为什么开发者为什么不把数据都放在Data里(现Data占用200MB空间),非要在SDCard里拉屎(建立N多用户根本不会去看的文件夹),这也是导致之前支付宝不明视频门的导火索。
看你的绕过指的是什么了
用户没有在Android系统上给支付宝授权,这个是能力上的不能绕过,只要支付宝没有root权限或者其他等同root的能力,是无法绕过的
用户在系统上授权了,那在系统看来,就等同允许支付宝在任何情况下使用这个权限.
这时候的绕过指的就只不过在用户不知情的情况下使用录音,当然能,所有有录音权限的应用在能力上都能
所以,授权要小心,看清楚应用索取的权限是否正常再授权/安装
如果有隐私防护,每次支付宝试图调用摄像头你是可以感知到的
有,三星S5装了LBE守护大师,支付宝不在我的自启动名单里。但是久不久会LBE守护大师会跳出了禁止支付宝录制本地音频什么的。
从我目前的知识来说,如果仅仅是扫码需要,和朋友圈拍摄需要,支付宝完全没有必要在后台去获取摄像头权限的。
当然我只是个安卓开发新手,支付宝这种体量的软件,有可能会有一些我想不到的技术困难。
但是微信这些功能相似的软件都能克服这些技术难题,我有理由相信阿里这样做不是因为一些技术难题的。
如果阿里真的不是出于技术难题才这样妥协的,那后面隐藏的问题就大了。
不仅仅是利用一些不合理的逻辑和权限去实现普通的功能,从而在理论上存在偷拍的可能性;还有一个不尊重安卓用户的行为,即后台随意占用资源导致安卓手机卡顿。虽然国内互联网公司把安卓手机用户当成二等公民早就不是什么大新闻了:-)
更想知道的是拍照录音用来干嘛,别和我扯大数据