V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cathedrel
V2EX  ›  Android

现如今隐私权限管理上有能跟 XPrivacyLua 平起平坐的吗?

  •  1
     
  •   cathedrel · 2021-04-30 06:33:29 +08:00 · 12035 次点击
    这是一个创建于 1311 天前的主题,其中的信息可能已经有所发展或是发生改变。

    曾经试过用 Device Info HW 这类的 app 去测试各种权限管理 app 的限制能力,只有 只有 只有 XPrivacyLua 能把这个 app 收拾的服服贴贴,什么制造商、品牌、型号、设备、版本号、基带、指纹等等各种信息全部搞成“unknown”(必须配合付费版的 pro 的功能,否则还是有两三项信息能被获取)。而其他的什么 appops 之流,根本就是摆设,反正品牌型号设备这些参数全部被拿到了...

    时代总是在进步,如今有啥新出的隐私 /权限管理 app 能和 XPrivacyLua 平起平坐吗?

    30 条回复    2021-05-05 12:38:23 +08:00
    11dad
        1
    11dad  
       2021-04-30 07:02:04 +08:00 via iPhone
    appops ?
    antileech
        2
    antileech  
       2021-04-30 07:16:22 +08:00 via Android   ❤️ 1
    从几年前 xprivacy 面世以来就没一个能打的,甚至觉得 android 的权限管理反而能吊打 ios,可以返回自定义数据或者各种虚假的随机数据
    ShuoHui
        3
    ShuoHui  
       2021-04-30 07:20:04 +08:00 via iPhone
    是我太孤陋寡闻了吗…完全没听过,看你的描述我觉得我又可以用 Android 了
    284716337
        4
    284716337  
       2021-04-30 08:20:48 +08:00 via Android
    xposed 就劝退了,华为手机用户😂
    honeycomb
        5
    honeycomb  
       2021-04-30 08:23:07 +08:00 via Android
    没有
    linshiyouxiang
        6
    linshiyouxiang  
       2021-04-30 08:35:58 +08:00
    > 必须配合付费版的 pro 的功能,否则还是有两三项信息能被获取
    楼主可能指的是 pro 版本附加的云端规则,实际上可以通过其他途径安装 XPrivacyLua Pro,再导入备份就能用那些规则了.当然自定义信息等肯定不能用.
    yehoshua
        7
    yehoshua  
       2021-04-30 08:47:58 +08:00 via Android
    安卓 11+appops 已经够用了。主要还是觉得 xposed 太麻烦。
    yitingbai
        8
    yitingbai  
       2021-04-30 09:01:10 +08:00
    有点矫枉过正了吧, 首先 hook 函数会大大的降低函数的执行效率, 修改的东西越多, hook 的函数就越多. 其次品牌型号这些数据根本不算什么隐私, 作为一个 app 开发者的角度来说, 获取型号只是为了针对性的优化, 不同的手机参数差别非常大, 如果不根据型号去做判断优化, 很多功能都不能良好的运行在不同的手机上. 用 xposed 框架去注入所有的 app, 完全是伤敌 800 自损 10000+
    66beta
        9
    66beta  
       2021-04-30 09:25:24 +08:00   ❤️ 1
    @yitingbai LSPosed 了解一下
    honeycomb
        10
    honeycomb  
       2021-04-30 09:40:13 +08:00 via Android
    @yitingbai 这个结果是可以接受的。
    我们不需要针对性优化(你想,连这种 hook 系统 API 的方法都用上了),也不希望应用建立用户画像。

    举个例子,我们用地图 app 的时候,并不一定需要这个 app 获得定位权限,也不需要它收集附近 WiFi/ble beacon/磁信号的数据,说不定我们只是想看地图呢
    cathedrel
        11
    cathedrel  
    OP
       2021-04-30 10:02:46 +08:00
    @66beta LSPosed 能兼容所有的 XP 插件吗?
    66beta
        12
    66beta  
       2021-04-30 10:09:05 +08:00
    @cathedrel 可以试试,现在还活跃的插件都在 lsp 仓库里
    Mitt
        13
    Mitt  
       2021-04-30 12:41:25 +08:00 via iPhone
    @antileech ios 权限确实分的不够细不如安卓,不过返回空数据假数据这点 ios 其实需求不大,软件不能强制要求权限 不然不给上架的,安卓都是强要权限还检测有效性才出现这需求的
    Lemeng
        14
    Lemeng  
       2021-04-30 13:10:44 +08:00
    还是 xp 太麻烦,所以一般备用一台,随便获取
    ikas
        15
    ikas  
       2021-04-30 13:56:56 +08:00
    XPrivacyLua 的 hook 并不安全,因为他是在 app 侧进行 hook,而不是系统的 service. 你仍然需要 appops 配合,如果是安卓 10 以上你还要防止 appops 重置与权限组的同步
    shuntdown42
        16
    shuntdown42  
       2021-04-30 14:07:12 +08:00 via Android
    thanox
    cache
        17
    cache  
       2021-04-30 22:48:41 +08:00
    @Mitt 以后安卓也不能强制要权限了

    http://www.cac.gov.cn/2021-04/26/c_1621018189707703.htm
    (三)用户拒绝相关授权申请后,不得强制退出或者关闭 APP,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;
    cache
        18
    cache  
       2021-04-30 22:50:56 +08:00
    @ikas XPrivacyLua 也可以 hook 系统 service 的

    XPrivacyLua 的问题是 xposed 那套只在 java 层有效,没办法 hook native 层
    ikas
        19
    ikas  
       2021-04-30 23:25:16 +08:00
    @cache 他本身确实可以,但是他目前内置的 hook 规则很多 hook 点都是 app 侧代理,也不是都需要 native 层,直接 hook 系统对应的核心 service 也可以,但是问题是,那些方法不是那么容易添加拦截逻辑的,它 service 本身是直接根据 appops 来检查的,所以只要配合一些 appops 也可以达到目的,不过依然有例外.
    cathedrel
        20
    cathedrel  
    OP
       2021-05-01 00:16:06 +08:00
    @shuntdown42 这个什么 thanox 能让 Device Info HW 什么信息都那不到吗?
    ikas
        21
    ikas  
       2021-05-01 01:12:37 +08:00
    随便测试了下,很容易就绕过了 XPrivacyLua,比如,获取联系人,代码改成 getContentResolver().acquireProvider(ContactsContract.CommonDataKinds.Phone.CONTENT_URI).query()
    对抗国内 app....只能说.....
    cathedrel
        22
    cathedrel  
    OP
       2021-05-01 03:53:26 +08:00
    @ikas 能详细一点吗?你写了个 app 要拿联系人然后 XPrivacyLua 也没防住?能不能把你这个 app 秀出来我们实验一下?
    ikas
        23
    ikas  
       2021-05-01 11:37:04 +08:00
    @cathedrel
    安卓 11
    siasky 点 net/fAVEg0S_dED6zj3w9u-bw9wTT1W3zgKA0uv9teYj4nu7AA
    codehz
        24
    codehz  
       2021-05-01 19:33:54 +08:00 via Android
    现在应该用 riru 的那一套 binder 代理做,彻底堵了获取信息的路子
    cathedrel
        25
    cathedrel  
    OP
       2021-05-02 01:42:44 +08:00
    @ikas 我没有安卓 11 的机子,9 和 10 的不可以?
    yehoshua
        26
    yehoshua  
       2021-05-02 10:22:07 +08:00 via Android   ❤️ 1
    @ikas 刚试了下安卓 11,app ops 权限给忽略之后就读不到联系人信息。
    cathedrel
        27
    cathedrel  
    OP
       2021-05-02 23:11:58 +08:00
    @yehoshua 我还没试,不过既然你只用 appops 就限制住了,那就不需要拿出 XPrivacyLua 了
    ikas
        28
    ikas  
       2021-05-03 15:33:34 +08:00   ❤️ 1
    @yehoshua appops 当然可以限制了,这是只是用来测试 XPrivacyLua 的,是告诉 lz,单纯使用 XPrivacyLua 并不安全
    ikas
        29
    ikas  
       2021-05-03 15:33:46 +08:00
    @cathedrel 10 应该可以,没有测试
    yuhaoyuhao
        30
    yuhaoyuhao  
       2021-05-05 12:38:23 +08:00
    直接上 IOS,前安卓开发者。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2574 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 05:13 · PVG 13:13 · LAX 21:13 · JFK 00:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.