这是一个创建于 885 天前的主题,其中的信息可能已经有所发展或是发生改变。
手机是 realme 系统。早上用 burp 抓包测试 app 的时候,无意中发现有请求在后台传应用列表。数据自己看图吧。发送的地址是 `https://api.open.oppomobile.com/security/app-summarys/type` 应该是发到 oppo 的服务器了。从 url 判断也许是安全相关功能。包的内容就是手机上装的应用的包名。
中午尝试用 adb 把所有系统自带的安全相关 app 都删掉。下午重启手机又试了一下,还会往外发这个数据包。
所以这个请求不是某个 app 发的,可能是 realme 系统跑了什么程序直接发到 oppo 服务器上的?
P.S. 上面的请求看上去很多,其实只有两个不一样的请求,每个都发了三四遍。。。是怕 http 请求届不到吗?。。。只有签名之类的数据不一样。目前暂时不知道请求是怎么触发的。
 |
1
danbai 2022-06-08 16:12:12 +08:00 via Android  1
realme 是 oppo 子牌
|
 |
2
pengtdyd 2022-06-08 16:13:59 +08:00
很奇怪吗?这不是潜规则嘛
|
 |
3
superrichman OP 现在只想把这个上传给关了,不知道有没有什么简单有效的办法
|
 |
4
morty0 2022-06-08 16:51:57 +08:00
换 iPhone
|
 |
5
hidemyself 2022-06-08 16:53:51 +08:00
语音助手上传的吧
|
 |
6
k9982874 2022-06-08 16:54:40 +08:00 via Android 3
楼主以为为啥国产手机这么便宜
|
 |
7
processzzp 2022-06-08 16:55:47 +08:00 via iPhone
@superrichman 试试用用 hosts 文件或者 VPN 应用,把 api.open.oppomobile.com 这个域名拦截了?就是不知道会不会影响其他功能,比如来电归属地和骚扰电话拦截
|
 |
8
docx 2022-06-08 17:02:09 +08:00 via iPhone 2
发包名到服务器检测?可能没装反诈也能收到电话就是这么来的
试着 host 到 127.0.0.1 ? |
 |
9
miaomiao888 2022-06-08 17:18:49 +08:00 1
@k9982874 事实上也并不便宜
|
 |
11
janus77 2022-06-08 17:40:24 +08:00
国产系统是这样的,ubuntu 都会上传东西,oppo 算什么
|
 |
12
liuidetmks 2022-06-08 17:42:37 +08:00
苹果也传好像
|
 |
13
goodhellonice 2022-06-08 17:46:38 +08:00
看来安卓机还是得刷机。。。
|
 |
14
AlphaTauriHonda 2022-06-08 17:49:39 +08:00 via iPhone 6
不要用有中国背景的系统,Android 只能换 AOSP 用。如果用中国公司的手机,这类数据和隐私是完全没有办法保障的。
简单的方法就是碰都不要碰,买到只能换成 AOSP 。 |
 |
15
Buges 2022-06-08 17:54:32 +08:00 via Android 1
@AlphaTauriHonda 强调一下基于 AOSP 的 FOSS ROM 也需要包含厂商提供的 vendor blob ,最保险的还是买 pixel 机。
当然,应用列表这种东西 Google 也会上传( play protect ),微信等应用也会上传(不过现在高版本 target API 无法获取全部 app )。 一般来说安装的应用列表不算隐私,Linux 发行版也有 pkgstat 。但要考虑威胁模型,你可能不希望某些特定机构知道你在使用某些可能会导致你 jailed 东西。 |
|
16
AlphaTauriHonda 2022-06-08 18:17:01 +08:00 via iPhone 1
@Buges 是,就算是刷 AOSP 也不会把作为驱动的 Vendor Blobs 删掉,换成开源的驱动。
估计大部分手机的中国版和国际版 ROM 的 Vendor Blobs 没有区别,除非用不同的硬件。 要是有区别那应该是为了让你换成 AOSP 也要想办法搞你的隐私了。 |
|
17
AlphaTauriHonda 2022-06-08 18:20:44 +08:00 via iPhone
@Buges 没办法,刷 AOSP 起码安全一点。实在不行换成 AOSP 再重复原来的方法看看还会不会连接 oppo 的服务器,上传隐私。
|
|
18
AlphaTauriHonda 2022-06-08 18:25:44 +08:00 via iPhone
看了一下 api.open.oppomobile.com 的 DNS 解析。
全世界都是上传到北京的 oppo 服务器,除了印度。先换成基于 AOSP 的系统再看情况有没有改善吧。 |
 |
19
shyrock 2022-06-08 18:33:02 +08:00
@goodhellonice #13 刷成啥 rom ?除了原生 android ,其他各种三方 rom 刷上去都是驱虎吞狼而已。。。
|
 |
20
learningman 2022-06-08 18:39:54 +08:00
手机有 root 的话,netstat 看看是哪个 pid 发的试试
|
 |
21
felixcode 2022-06-08 18:40:22 +08:00 29
楼上那些说 iPhone 的,都不知道 iPhone 连周围路由器和其它手机的 mac 地址连同 GPS 坐标一起传回苹果服务器吗?
连同着周围的 Android 手机一起祸害,而且还关不掉。 https://www.reddit.com/r/privacy/comments/v624di/apple_tracks_you_even_if_you_dont_have_apple/ https://www.scss.tcd.ie/doug.leith/apple_google.pdf |
 |
22
ronman 2022-06-08 18:46:38 +08:00 via Android 3
@AlphaTauriHonda 所有的品牌都会,只是说数据交给谁的区别,当然交给外人应该要好点
|
|
23
Buges 2022-06-08 18:50:00 +08:00 via Android
@AlphaTauriHonda “国际版”根本不代表任何东西。一般这种统计类的功能都是 system 做,但是 vendor 中的间谍行为只要有那绝对是 non-trivial 的。
|
 |
25
yanyumihuang 2022-06-08 18:57:41 +08:00 via Android 1
@felixcode 真就没一个好货
|
|
26
goodhellonice 2022-06-08 19:01:02 +08:00
@shyrock canogenmod LineageOS 或者 国内厂商出品的国外版本的 ROM ?
一直在用 iPhone 。。。对安卓不是很了解,不知道上面说的还更新么 |
 |
28
wipbssl 2022-06-08 19:29:22 +08:00 4
这两天推上讨论的人挺多的,相对于谷歌,苹果上传的数据量比较少,但是上传的种类更多,只能说不要相信巨头对于隐私的承诺
|
|
29
Buges 2022-06-08 19:47:56 +08:00 via Android 28
@ZegWe 不是交给什么人好,而是什么实体取得了你的什么信息会对你个人人身安全造成威胁。
比如外国人想发表种族歧视或反人类言论来可以国内平台,能充分保障他的言论自由和言论后的自由。 |
 |
30
cat9life 2022-06-08 21:52:15 +08:00
潜规则?
|
|
32
AlphaTauriHonda 2022-06-08 22:01:08 +08:00
@Buges 说到点子上了。用给北京服务器上报隐私的系统实在不太明智。
|
 |
33
fonlan 2022-06-08 22:11:42 +08:00 via Android
其实都一样,苹果也有你的应用列表,否则没法给你提供应用更新,安卓同理,否则 Play 商店没法给你提供应用更新
|
 |
34
hefish 2022-06-08 22:14:22 +08:00 7
苹果有列表也许是正常的,realme/oppo 有列表就是不正常的,我滴设备我要做主滴,这个是隐私数据。。。咳咳。。。[doge]
|
 |
36
taobibi 2022-06-08 22:30:39 +08:00
realme 这行为有点跟不上时代吧,记得 4 年前就有新闻爆料国内的 ota 升级公司有这个行为了
|
|
37
AlphaTauriHonda 2022-06-08 23:07:51 +08:00
@hello2090 哈哈哈哈,好直白的说法。
|
 |
38
chotow 2022-06-09 01:00:54 +08:00 via iPhone 2
苹果上传应用列表,没人找我事
国产安卓上传应用列表,我可能会接到某中心的亲切问候 综上,我选择上传给苹果,至于楼上大神们提到的隐私,罢了,众人裸奔的互联网时代 |
 |
39
wsseo 2022-06-09 01:03:32 +08:00 5
@hello2090 就像如果你弄丢了重要文件,最好丢在小区或者公司门口而不是丢在国外。
你果照久在国内丢了,别人也不敢随便传播,分分钟请喝茶。在国外丢了,别人可能勒索你,威胁你,你却不能怎么样。 |
 |
40
woyaojizhu8 2022-06-09 01:10:05 +08:00
@janus77 ubuntu 会传什么?能具体说说吗
|
 |
42
FightPig 2022-06-09 02:30:42 +08:00
怎么有人觉得 ip 不上传?国外的不上传?以前刷机我都是自己做 rom ,现在实在折腾不动了,爱怎么怎么的吧
|
 |
43
AkideLiu 2022-06-09 05:32:59 +08:00 via iPhone
座机应该不至于上传数据了吧
|
 |
44
TAsdd 2022-06-09 06:06:22 +08:00
有能力的还是尽量刷类原生,xda 上很多,我现在用的就是印度老哥魔改的 lineage
|
 |
45
hello2090 2022-06-09 06:08:47 +08:00 via iPhone 1
@wsseo 不是很懂,听说小到丢了自行车大到存银行的几百万不翼而飞都没人管,你确定所谓你的重要文件丢了会有人请喝茶?喝茶一般不都是请翻墙的人吗?
|
 |
46
Lightbright 2022-06-09 07:00:16 +08:00 via Android
@wsseo 哈哈,你别逗我笑
|
 |
47
dingwen07 2022-06-09 07:56:22 +08:00 via iPhone
@liuidetmks #12 苹果需要传吗。。。每次下载应用都要服务器根据你的账户和你的设备签名。。。
|
 |
48
Zy143L 2022-06-09 08:08:43 +08:00 via Android
其实不止系统 广告 SDK 也是这样子的
参考某光推送 某盟 之前抓包的时候发现了 就挺恶心的 所以说 哪里需要反诈 APP 上传 APP 名单啊 各大 SDK 早把你扒拉干净了 |
 |
49
nicevar 2022-06-09 08:22:29 +08:00 2
没有哪个系统不干这事的,这样说起来 chrome 更恐怖,几乎记录了你的所有浏览操作,包括时间地点及浏览页面,全部存储在服务器上,拿到一个人的 gg 账号能看到它几乎所有操作。
|
 |
50
bsfmig 2022-06-09 08:38:29 +08:00 1
@ZegWe 因为美国的司法系统不大可能跨境找你(一般来说是普通中国公民)的麻烦,除非国际形势发生更重大的颠覆性变化。为了个人的信息安全,适当利用敌国的信息技术基础设施是自我保护的一个有意义的办法。
|
 |
51
l4ever 2022-06-09 08:45:52 +08:00
解决方法就是换 iPhone.
|
 |
52
cpstar 2022-06-09 08:48:24 +08:00 1
天下乌鸦一般黑,国外的就比国内的白? GDPR 一样该罚的罚,但同时遇到 ZZZQ 也是选择性处理,至于人类毒瘤的社交软件更不用说了。自由?不存在没有条条框框的自由。
|
|
54
bsfmig 2022-06-09 08:50:27 +08:00 5
不存在没有条条框框的自由,但是东亚大陆的问题是接近于没有自由(特别是政治自由)。
这都不是五十步笑百步了,这是五步笑五十万步。 |
 |
55
soraginko 2022-06-09 08:55:01 +08:00 via Android
见怪不怪了
|
 |
56
wangkun025 2022-06-09 08:57:56 +08:00
@soraginko 见惯不怪
|
 |
57
wallbreakerno4 2022-06-09 09:05:25 +08:00
@goodhellonice LOS 还是在更新的
|
 |
58
nguoidiqua 2022-06-09 09:16:13 +08:00 6
一群人讨论哪里乌鸦更黑,我也是笑了。
这不是哪里乌鸦黑的问题,是哪里乌鸦可以搞你的问题。 你在内,那外面乌鸦不太可能进来搞你。你在外,那内里的乌鸦不太可能飞出去搞你。 |
|
59
nguoidiqua 2022-06-09 09:30:56 +08:00 2
还有人开口就 iPhone ,iCloud 都给你备份应用及应用数据了,你说它上传不上传应用列表。
这种事情是这个年代无法避免的,除非你用 PinePhone Librem 什么之类的,但说实话这些手机能不能保证不上传我也不是很有信心。 不要在这上面纠结,重点从源头控制。如果手机不放自拍照就不用担心手机泄露自拍了,不装应用就不用担心上传应用列表了,重点就是不要依赖手机。你其实不需要在手机上搞那么多东西,真的。 |
 |
60
zxxufo008 2022-06-09 09:36:11 +08:00
一边在说换 ip ,一边在说赶紧润。也不知道是不是一拨人
|
 |
61
wangtian2020 2022-06-09 09:40:59 +08:00 1
楼里有些果子用户也太双标了,我也没见 jc 来找我安卓用户啊
上传就上传呗,被迫害妄想症 |
 |
62
Kasumi20 2022-06-09 09:51:26 +08:00
Big 胆!居然敢装电报!
|
 |
63
mond30081989 2022-06-09 09:53:36 +08:00 5
1.厂商侵犯用户隐私肯定不对,大厂小厂其实都有;
2.都 2022 了,部分果粉怎么依然信奉苹果的 shi 都是香的,刘海屏那么丑的设计都沿用 N 年不改,太垃了; 3.那些想 run 的赶紧圆润地离开吧,整天搞得要亡 guo 似的,负能量满满的卢瑟。 |
 |
65
shabbyin 2022-06-09 09:57:00 +08:00 7
这贴里的部分评论是人能写出来的吗?
国外侵犯隐私,可以 国内侵犯隐私,不行 太双标了啊朋友们 |
 |
66
zxcslove 2022-06-09 09:57:36 +08:00 1
就说一种可能啊,云服务备份应用也是需要应用列表的。
|
 |
67
loryyang 2022-06-09 10:05:06 +08:00
这个是个挺普遍的行为,好多 app 都会捞用户的 app list
|
 |
68
yinzhili 2022-06-09 10:14:17 +08:00
@mond30081989 没办法他们虽然没有美股账号但已经是 APPL 精神股东
|
 |
70
SunsetShimmer 2022-06-09 10:21:46 +08:00 1
对于这类行为,我个人的标准是分级处理
安全——根本没有涉及隐私的联网行为(例如 Debian Server 版) 行为不端——可能危害信息安全但没有实际证据(例如深信服 EasyConnect 给自己签发了个全用途的证书) 一般违规——未经用户许可获取隐私信息并上传(例如阿里的一堆 App ) 严重违规——获取隐私信息并非常明确地用于对用户不利的用途(例如反诈获取敏感 App 信息导致用户被有关部门骚扰) 它最多也就到一般违规,能避免尽量避免。 Apple 获取应用列表的行为**可以**另当别论,因为 Apple 设备在没有越狱的情况下,可安装的 App 是由 Apple 决定的,但也应当考虑其数据可能传输给国内数据中心(虽然可能不一定那么容易拿到)。 信息安全对个人的影响一定是需要考虑的,不是“国内侵犯不行国外就可以”,是“人在国内,国外就相对宽松;人在国外,国内就相对宽松”,因为我们大部分人没有精力和能力完全保证自己不用任何在线服务 /有泄露风险的设备 /系统。让自己的信息尽可能被更不容易影响自己的组织拿到是能做到的“折中”的办法,确实不“公平”但没有能力范围内的更好方案。 |
|
71
SunsetShimmer 2022-06-09 10:26:09 +08:00
这个功能本身也有点“牺牲隐私安全换取便利性”的意味,也是一种比较偷懒的解决方案。
|
|
72
bsfmig 2022-06-09 10:26:18 +08:00
@SunsetShimmer 实际上近期 AAPL 把 PRC 区账号的 iCloud 迁移到 icloud.com.cn ,我认为是一个好的 Move 。因为这消除了用户到底是归属于哪个司法管辖区的疑虑,对 PRC as a nation 不信任的用户从此可以更放心地使用外国区 Apple 账号和 iCloud 服务,尤其是当他们的 Apple 账号是早年从 PRC 区转出的情况下。
|
|
73
SunsetShimmer 2022-06-09 10:30:27 +08:00
@bsfmig 我还以为早就挪了(“云上贵州”?),如果是域名加 cn 强调的话确实是好的。像微软就不做区分,也不知道具体保存位置(即使换区)。
|
 |
74
jiyan5 2022-06-09 10:32:36 +08:00 via Android
很多应用都有 读取应用列表的权限,和 上传应用列表 是两码事吧?
|
|
75
bsfmig 2022-06-09 10:33:21 +08:00
@SunsetShimmer 个人版 OneDrive (和整个微软个人账号服务)没有在 PRC 设置服务器,可预见的未来也不会有。
世纪互联运营的 sharepoint.cn 是 Microsoft 365 for Enterprise 的专有版本,面向各类企业,与个人用户无关。 |
|
76
SunsetShimmer 2022-06-09 10:43:37 +08:00 via Android
@bsfmig 有个例外是 Skype ,似乎是和国内合作的。
|
 |
77
rev1si0n 2022-06-09 10:49:33 +08:00
不要惊慌,据我所知你用的大部分电商等 APP 都会收集这种东西,这还算隐私?可笑(狗头)
注意:我所说的收集,是直接上传到他们的服务器 既然说了,那我不妨说的明白清楚一些,为了识别你它们可不在乎你的隐私 不仅有这些,你的 APP 首次安装 /更新时间,你的 ifconfig 输出的任何信息,你的同局域网主机( ARP ) 你的 WIFI 名称 bssid ip ,你的号卡运营商 IME/SI, 开机时间, 你的陀螺仪 /磁场传感器(你想想我能不能推测出你在用什么姿势玩手机?) 太多了我实在列不玩,就这连 1%都不到。 隐私?不会存在的事,某砍一刀尤甚。 |
 |
78
guxin0123 2022-06-09 10:53:28 +08:00 1
有没有可能是 应用商店 检测本地应用更新升级
|
 |
80
Huelse 2022-06-09 11:03:32 +08:00 3
什么奇葩啊?居然说把数据给外人更好?给数据这件事本身就不对吧?
|
 |
81
muyiluop 2022-06-09 11:17:02 +08:00 1
上面不少人说非法应用列表的事情。难道这些人就是在东南亚搞电信诈骗的?不然为啥这么怕非法应用列表?
如果说翻墙软件、电报这下被禁的 App ,那我安装这么久了,为啥没被抓起来? 不说注重隐私的问题,为啥有些人总有被害妄想症?你有什么值得被关注的,请认清现实,你就是个普通人而已,走在大街上都没人关注你的。当然除非你裸奔。 |
 |
82
imsoso 2022-06-09 11:21:59 +08:00 1
被害 w 想过度了吧。
手机系统连你手机上装了什么都不知道,还正常吗? 苹果不也一样,只是方式不同而已。 |
 |
83
silypie 2022-06-09 11:22:22 +08:00
是不是开了桌面云同步之类的
|
 |
84
Zel 2022-06-09 11:29:15 +08:00
举个印度的例子,对于在印度境内获取到的数据是禁止保存在印度区域以外的
|
 |
85
e3c78a97e0f8 2022-06-09 11:32:06 +08:00 1
|
|
86
bsfmig 2022-06-09 12:05:31 +08:00 via iPhone 3
@shabbyin
1.国外我也不希望它拿,但由于国外的法律目前还不能做到禁止拿,那么鉴于国外拿了之后后果不大,可以忍受一下。 2.所谓训诫(这本身就是法外行为)等行为,从来都是在指向公民试图行使国际公认的政治权利、发表言论、结社组党的行为。这些行为在国外是合法合理,受到保护的。 3.从而,违的所谓的“法”,也就不必然正当。抱歉,别国的法是议会提出、公开辩论、表决通过、有合法性审查与诉讼,某些国则完全是定于数名乃至特定一名支配者的意志。 |
 |
87
Chingim 2022-06-09 12:40:52 +08:00 via iPhone 1
如果隐私一定要给,我是赞成把隐私给国境外的机构的,而且最好是敌对国家。
美国的用户,可以把隐私给大陆,那样看盗版不会被 fbi 抓。 大陆得用户,可以把隐私给美国,这样手机装翻墙软件不会被请喝茶 |
 |
88
beixiao 2022-06-09 12:55:32 +08:00 via iPhone
是你用的某个系统 APP 上传的,但是也经过你同意了,隐私协议一般都有声明,你同意了才会上传,清除数据或者卸载之后不打开,应该就不会上传了,现在都要合规的,这个算不得偷偷传
|
|
89
shabbyin 2022-06-09 13:08:27 +08:00 1
|
|
91
SunsetShimmer 2022-06-09 14:04:07 +08:00
用基于本机 VPN 的抓包软件可以确定是哪个 App 吗?可能需要 root 添加自签名证书。
|
 |
92
Torpedo 2022-06-09 14:04:11 +08:00
apple 的不就是云上贵州么?为啥就变成国外了?
|
|
93
SunsetShimmer 2022-06-09 14:06:07 +08:00
@Torpedo 非国区账号可能不是云上贵州
|
|
94
shabbyin 2022-06-09 14:08:39 +08:00
|
 |
95
aloxaf 2022-06-09 14:10:08 +08:00
@shabbyin #65 这怎么双标了,我们的标准非常明确——以拿到隐私信息的一方是否会威胁到自己为标准。
美帝显然不会跨太平洋请我喝茶,所以即使拿到我的应用列表我也不在意。但兔子显然会,所以我不希望被它拿到。趋利避害不是很正常吗? |
 |
96
imn1 2022-06-09 14:33:53 +08:00 1
真无聊,这么点小事居然吵了这么久,大家停一停吧
一起吃口坦克雪糕凉快一下,咦,怎么掉线了? [系统通知] 数据库已更新,关键词 +1 ,⭕⭕⭕⭕,归入食品类 |
|
97
bsfmig 2022-06-09 14:35:03 +08:00
@shabbyin “更不会在某一方并未做出实际行动前"——特定一方的实际行动已经做了接近 73 年,至少至少也是接近 10 年(自 2012 年 11 月起算)了,这么长的时间完全可以得出确定无误的结论。
|
 |
98
zxCoder 2022-06-09 15:25:10 +08:00
应用列表都不让看?
狗头狗头 |
Select Language