大家好,我是讯享网,大家多多关注。
今天差评君打开手机的文件管理器,突然发现相册里有很多微信的聊天图片。
所以微博里还有很多沙雕是真的。。。
不过很奇怪,差评君没有手动保存微信里的这些聊天图片。
差评君经过一段时间的查看,发现这些图片都来自手机存储中一个名为tencent/MicroMsg(微信)的文件夹。
除了聊天时发的图片,就连聊天时发的语音也静静地躺在这个文件夹的角落里。
的。红色图标的amr文件对应一条微信语音消息
这是一件大事。要知道,微信里的语音连转发都不行,微信官方也特意解释过,这是为了用户隐私。
这样一来,我就可以直接在文件管理器里看到所有的语音文件,还可以复制粘贴传输到电脑里?
然而,当差评师想打开时,却发现音频被加密,无法打开。
好像是虚惊一场。。。但是差评师皱了皱眉头,发现事情没那么简单!
加密与否是一回事,但为什么要放在一个任何人都可以访问的地方呢?你会把你的保险箱扔在路上吗?
可能是我手机里有病毒已经悄悄激活成功教程了微信的聊天记录?
一想到这种可能性,差评君吓得赶紧拖着史超过去一探究竟。
结果还没写完差评就收到了史超的大白眼:
“放心吧,你的手机没有中毒。这个文件是微信自己放的。上大学的时候,我就用这一招从微信里提取语音文件。」
史超说这话的时候,把差评师搞得一塌糊涂,纠缠了史超很久,才弄明白为什么微信的聊天文件会出现在手机的文件管理器里。
(不用担心,具体的聊天记录都是安全的,只是聊天图片和语音可能会泄露。)
如果你用过像差评君这样的安卓手机,你一定遇到过这种情况:
当你第一次启动一个App时,会弹出“我们需要XXX权限来优化你的体验”的提示;然后会弹出一堆权限提示框。
通常有一个名为“存储间读写空”的权限。
我们都知道电话和短信是危险的权限。但是存储空之间的读写等权限似乎没有影响。通常,当应用程序要求它们时,我们会给它们。
君手机上大多数差评的国产app都申请了权限存储空
一般来说,App之所以要这个权限,是为了“保存必要的数据”。
但实际上,App想要保存数据,根本不需要申请storage 空之间的读写权限。
因为谷歌早就考虑到了应用中存储数据的问题,所以在Android中为每个应用都划分了一个独立的“内部存储”。
来源:Google开发者文档
例如,当我们住在酒店时,我们会得到一张钥匙卡。钥匙卡只能开我们自己的房间,不能开别人的房间。
如果手机是酒店,那么App就是有房卡的客人,内存就是App的房间。每个应用程序都看不到另一个应用程序保存的数据。
所以如果只说App的数据存储方式,Android其实和iPhone一样安全。
不仅如此,Android还可以自动识别“内部存储”中的临时文件,超过一定大小时会自动清理缓存。
(所以其实我们并不需要市面上的各种“垃圾清理工具”,系统本身就能帮我们搞定。)
但安卓和iPhone最大的区别是:安卓酒店,有一个特别大的“酒店大堂”。
Android崇尚开放,所以除了内部存储之外,还设置了“内部共享存储空房间”(简称storage 空 room)。
举个例子,当我们插上USB线的时候,在电脑里可以直接看到的手机目录就是这个内部共享存储空房间。
本来这种设计是为了方便给用户发照片和歌曲,结果却被App开发者当成了可以用来钻的孔夫子。
虽然内部空房间不错,但是开发者还需要更认真的设计自己的App数据存储结构。
如果开发者因为自己的疏忽,不小心把App的重要数据保存到了Android的缓存目录中,数据被删除后就没地方哭了。
开发人员需要仔细设计他们自己的应用程序,这样他们就不会在运行时出错。
所以,把所有东西都扔进“三无”区,比掉头发设计收纳方案解决这个问题更方便。
而“内部共享存储空房间”就是“三无区”。App只要从用户那里获得存储空之间的读写权限,就可以为所欲为。
而微信恰好是万千app大军中的一员。
这个操作在Android开发界早已不是秘密。比如支付宝文件夹是支付宝生成的,网易文件夹是网易相关app生成的,这些还是愿意自我认同的。
有些app会把文件命名为data(数据)、system(系统)或者。SystemConfig(系统参数),不容易删除。
就好像一个人不想费事分类垃圾,就偷偷挖了个坑把垃圾埋了,旁边还贴了个“里面有高压电缆”的牌子吓唬人。
开发者试图让用户给予他们许可,而不是优化他们的应用。
差评发现,如果我们有所顾虑,拒绝授权App访问存储空房间,App会立即“扇耳光”,最终自行运行。
直到你点击权限,才可以继续进入App的后续界面。
随着越来越多的开发者这样做,原本不那么光彩的事情也变得“名正言顺”了。
如果开发者只是偷懒,把自己的数据扔出去,对我们来说无非就是一个乱七八糟的目录,我们需要花额外的精力去清理存储垃圾。
但最重要的是,拥有该权限的App,其实可以读取共享存储中的所有文件空!
别忘了,这个共享存储空房间就像是酒店的大堂。一个App放在这里的东西,自然其他App也可以随便看。
一旦有不良意图的App拥有了存储空的权限,不仅可以读取我们的照片和视频,像微信这种不规范存储自身数据的App也存在信息泄露的风险。
如果这些图片中有我们的身份证照片和近期自拍,那么下个月我们很有可能会接到网贷公司的催债电话。。。
虽然我们有防止这类问题的意图,但是在国内,storage 空之间的权限已经被开发者做成了“必要权限”,让用户无法分辨哪些app包含了险恶用心。
比如前阵子有用户发现京东金融App偷偷上传相册图片,但随后官方回复称只提前采集了可能用于客服咨询的截图。
虽然这件事直到最后都没有定论,但也从侧面证明了差评君所说的事情很有可能发生。
也许现在你的手机里有一个App,表面上看起来无伤大雅,实际上在后台偷偷收集上传你的相册图片和微信语音数据。。。
微信的整体设计显然很在意用户的隐私。比如你可以在App里转发图片、视频、附件,但是不能转发语音。
差评后来发现,微信的语音文件不能直接用手机自带播放器播放,世界大学也是如此。
显然微信团队也发现了这个问题,给语音文件加了一层加密。只有腾讯自己的“腾讯文件管理器”才能正常播放。
但是既然你们都意识到了,为什么不能一开始就做好呢!
作为微信的顶级产品,开发者对它不能偷懒。现在的做法是否是当初欠下的“技术债”?
显然,微信目前的解决方案是不够的:只要语音文件仍然暴露在公共存储空中,我们的隐私仍然可能暴露。
毕竟这个世界上有人在研究加密技术的同时,也有无数人在研究解密技术。
BAT作为国内互联网的头部企业,在App质量上起不到示范作用,更别说国内其他小厂商的App了。滥用存储权的情况经常发生。
存储权限被滥用,谷歌建议你不要这样做。国内的安卓绿色应用公约也对相应的内容提出了要求,但是响应者很少。
Android绿色应用公约中的相关条款建议避免在存储空之间获取权限。
毕竟“建议”和“约定”都不是强制性的。开发商不愿意,谁也不能强迫。
不要和开发者对话,Google只是在Android 10测试版中强行隔离了App的storage 空之间的读写权限,只允许App访问相册和其他一些文件夹。
就连这种不需要开发者做很多改动的方法也遭到了开发者的强烈抵制,以至于谷歌不得不按下这一改动,宣布推迟到Android 11才强制执行。。。
我们总说用iPhone省心。其实如果按照谷歌对安卓的设想,使用安卓也可以省心。
但就像没有围栏的草坪,即使旁边立了警示牌,还是会被踩得面目全非。
显然,一些“建议”和“约定”根本无法让开发者做出改变,约定需要配以强有力的执行手段,才能发挥应有的作用。
工信部统一推送联盟联手安卓绿色应用公约后,事情明显好转。
君又检查了一下自己的手机,发现包括JD.COM、知乎、爱奇艺、手机淘宝在内的很多头部app,在没有授予存储权限空的情况下,已经可以正常运行了。
有些事情在技术上可能没那么难,只是因为缺乏强有力的外部监督导致拖延。
差评认为,只要安卓生态系统的各个方面都是齐新导向,安卓手机的体验未必比iPhone差。
特别感谢:冯森林先生对本篇文章撰写提供的技术支持。冯森林( Oasis Feng ),《 安卓绿色应用公约 》发起人,开发了绿色守护、Island、Nevolution 等增强安卓使用体验的 App,前阿里无线事业部资深技术专家。
想了解更多数码知识,获取最新科技资讯,赶紧关注我吧~
在我们的评论里再见~
本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://51itzy.com/37198.html