这是一个创建于 1279 天前的主题,其中的信息可能已经有所发展或是发生改变。
br />手机是 realme 系统。早上用 burp 抓包测试 app 的时候,无意中发现有请求在后台传应用列表。数据自己看图吧。发送的地址是 `https://api.open.oppomobile.com/security/app-summarys/type` 应该是发到 oppo 的服务器了。从 url 判断也许是安全相关功能。包的内容就是手机上装的应用的包名。
中午尝试用 adb 把所有系统自带的安全相关 app 都删掉。下午重启手机又试了一下,还会往外发这个数据包。
所以这个请求不是某个 app 发的,可能是 realme 系统跑了什么程序直接发到 oppo 服务器上的?
P.S. 上面的请求看上去很多,其实只有两个不一样的请求,每个都发了三四遍。。。是怕 http 请求届不到吗?。。。只有签名之类的数据不一样。目前暂时不知道请求是怎么触发的。
 | 1 danbai PRO  1 realme 是 oppo 子牌 |
 | 2 pengtdyd 2022-06-08 16:13:59 +08:00 很奇怪吗?这不是潜规则嘛 |
 | 3 superrichman OP 现在只想把这个上传给关了,不知道有没有什么简单有效的办法 |
 | 4 morty0 2022-06-08 16:51:57 +08:00 换 iPhone |
 | 5 hidemyself 2022-06-08 16:53:51 +08:00 语音助手上传的吧 |
 | 6 k9982874 2022-06-08 16:54:40 +08:00 via Android 3 楼主以为为啥国产手机这么便宜 |
 | 7 processzzp 2022-06-08 16:55:47 +08:00 via iPhone @superrichman 试试用用 hosts 文件或者 VPN 应用,把 api.open.oppomobile.com 这个域名拦截了?就是不知道会不会影响其他功能,比如来电归属地和骚扰电话拦截 |
 | 8 docx 2022-06-08 17:02:09 +08:00 via iPhone 2 发包名到服务器检测?可能没装反诈也能收到电话就是这么来的 试着 host 到 127.0.0.1 ? |
 | 9 miaomiao888 2022-06-08 17:18:49 +08:00 1 @k9982874 事实上也并不便宜 |
 | 11 rb6221 2022-06-08 17:40:24 +08:00 国产系统是这样的,ubuntu 都会上传东西,oppo 算什么 |
 | 12 liuidetmks 2022-06-08 17:42:37 +08:00 苹果也传好像 |
 | 13 goodhellonice 2022-06-08 17:46:38 +08:00 看来安卓机还是得刷机。。。 |
 | 14 AlphaTauriHonda 2022-06-08 17:49:39 +08:00 via iPhone 6 不要用有中国背景的系统,Android 只能换 AOSP 用。如果用中国公司的手机,这类数据和隐私是完全没有办法保障的。 简单的方法就是碰都不要碰,买到只能换成 AOSP 。 |
 | 15 Buges 2022-06-08 17:54:32 +08:00 via Android 1 @AlphaTauriHonda 强调一下基于 AOSP 的 FOSS ROM 也需要包含厂商提供的 vendor blob ,最保险的还是买 pixel 机。 当然,应用列表这种东西 Google 也会上传( play protect ),微信等应用也会上传(不过现在高版本 target API 无法获取全部 app )。 一般来说安装的应用列表不算隐私,Linux 发行版也有 pkgstat 。但要考虑威胁模型,你可能不希望某些特定机构知道你在使用某些可能会导致你 jailed 东西。 |
| 16 AlphaTauriHonda 2022-06-08 18:17:01 +08:00 via iPhone 1 @Buges 是,就算是刷 AOSP 也不会把作为驱动的 Vendor Blobs 删掉,换成开源的驱动。 估计大部分手机的中国版和国际版 ROM 的 Vendor Blobs 没有区别,除非用不同的硬件。 要是有区别那应该是为了让你换成 AOSP 也要想办法搞你的隐私了。 |
| 17 AlphaTauriHonda 2022-06-08 18:20:44 +08:00 via iPhone @Buges 没办法,刷 AOSP 起码安全一点。实在不行换成 AOSP 再重复原来的方法看看还会不会连接 oppo 的服务器,上传隐私。 |
| 18 AlphaTauriHonda 2022-06-08 18:25:44 +08:00 via iPhone 看了一下 api.open.oppomobile.com 的 DNS 解析。 全世界都是上传到北京的 oppo 服务器,除了印度。先换成基于 AOSP 的系统再看况有没有改善吧。 |
 | 19 shyrock 2022-06-08 18:33:02 +08:00 @goodhellonice #13 刷成啥 rom ?除了原生 android ,其他各种三方 rom 刷上去都是驱虎吞狼而已。。。 |
 | 20 learningman 2022-06-08 18:39:54 +08:00 手机有 root 的话,netstat 看看是哪个 pid 发的试试 |
 | 21 felixcode 2022-06-08 18:40:22 +08:00 29 楼上那些说 iPhone 的,都不知道 iPhone 连周围路由器和其它手机的 mac 地址连同 GPS 坐标一起传回苹果服务器吗? 连同着周围的 Android 手机一起祸害,而且还关不掉。 https://www.reddit.com/r/privacy/comments/v624di/apple_tracks_you_even_if_you_dont_have_apple/ https://www.scss.tcd.ie/doug.leith/apple_google.pdf |
 | 22 ronman 2022-06-08 18:46:38 +08:00 via Android 3 @AlphaTauriHonda 所有的品牌都会,只是说数据交给谁的区别,当然交给外人应该要好点 |
| 23 Buges 2022-06-08 18:50:00 +08:00 via Android @AlphaTauriHonda “国际版”根本不代表任何东西。一般这种统计类的功能都是 system 做,但是 vendor 中的间谍行为只要有那绝对是 non-trivial 的。 |
 | 25 yanyumihuang 2022-06-08 18:57:41 +08:00 via Android 1 @felixcode 真就没一个好货 |
| 26 goodhellonice 2022-06-08 19:01:02 +08:00 @shyrock canogenmod LineageOS 或者 国内厂商出品的国外版本的 ROM ? 一直在用 iPhone 。。。对安卓不是很了解,不知道上面说的还更新么 |
 | 28 wipbssl 2022-06-08 19:29:22 +08:00 5 这两天推上讨论的人挺多的,相对于谷歌,苹果上传的数据量比较少,但是上传的种类更多,只能说不要相信巨头对于隐私的承诺 |
| 29 Buges 2022-06-08 19:47:56 +08:00 via Android 28 @ZegWe 不是交给什么人好,而是什么实体取得了你的什么信息会对你个人人身安全造成威胁。 比如外国人想发表种族歧视或反人类言论来可以国内平台,能充分保障他的言论自由和言论后的自由。 |
 | 30 cat9life 2022-06-08 21:52:15 +08:00 潜规则? |
 | 32 AlphaTauriHonda 2022-06-08 22:01:08 +08:00 @Buges 说到点子上了。用给北京服务器上报隐私的系统实在不太明智。 |
 | 33 fonlan 2022-06-08 22:11:42 +08:00 via Android 其实都一样,苹果也有你的应用列表,否则没法给你提供应用更新,安卓同理,否则 Play 商店没法给你提供应用更新 |
 | 34 hefish 2022-06-08 22:14:22 +08:00 7 苹果有列表也许是正常的,realme/oppo 有列表就是不正常的,我滴设备我要做主滴,这个是隐私数据。。。咳咳。。。[doge] |
 | 36 taobibi 2022-06-08 22:30:39 +08:00 realme 这行为有点跟不上时代吧,记得 4 年前就有新闻爆料国内的 ota 升级公司有这个行为了 |
| 37 AlphaTauriHonda 2022-06-08 23:07:51 +08:00 @hello2090 哈哈哈哈,好直白的说法。 |
 | 38 chotow 2022-06-09 01:00:54 +08:00 via iPhone 3 苹果上传应用列表,没人找我事 国产安卓上传应用列表,我可能会接到某中心的亲切问候 综上,我选择上传给苹果,至于楼上大神们提到的隐私,罢了,众人裸奔的互联网时代 |
 | 39 wsseo 2022-06-09 01:03:32 +08:00 5 @hello2090 就像如果你弄丢了重要文件,最好丢在小区或者公司门口而不是丢在国外。 你果照久在国内丢了,别人也不敢随便传播,分分钟请喝茶。在国外丢了,别人可能勒索你,威胁你,你却不能怎么样。 |
 | 40 woyaojizhu8 2022-06-09 01:10:05 +08:00 @janus77 ubuntu 会传什么?能具体说说吗 |
 | 42 FightPig 2022-06-09 02:30:42 +08:00 怎么有人觉得 ip 不上传?国外的不上传?以前刷机我都是自己做 rom ,现在实在折腾不动了,爱怎么怎么的吧 |
 | 43 AkideLiu 2022-06-09 05:32:59 +08:00 via iPhone 座机应该不至于上传数据了吧 |
 | 44 TAsdd 2022-06-09 06:06:22 +08:00 有能力的还是尽量刷类原生,xda 上很多,我现在用的就是印度老哥魔改的 lineage |
 | 45 hello2090 2022-06-09 06:08:47 +08:00 via iPhone 1 @wsseo 不是很懂,听说小到丢了自行车大到存银行的几百万不翼而飞都没人管,你确定所谓你的重要文件丢了会有人请喝茶?喝茶一般不都是请翻墙的人吗? |
 | 46 Lightbright 2022-06-09 07:00:16 +08:00 via Android @wsseo 哈哈,你别逗我笑 |
 | 47 dingwen07 2022-06-09 07:56:22 +08:00 via iPhone @liuidetmks #12 苹果需要传吗。。。每次下载应用都要服务器根据你的账户和你的设备签名。。。 |
 | 48 Zy143L 2022-06-09 08:08:43 +08:00 via Android 其实不止系统 广告 SDK 也是这样子的 参考某光推送 某盟 之前抓包的时候发现了 就挺恶心的 所以说 哪里需要反诈 APP 上传 APP 名单啊 各大 SDK 早把你扒拉干净了 |
 | 49 nicevar 2022-06-09 08:22:29 +08:00 2 没有哪个系统不干这事的,这样说起来 chrome 更恐怖,几乎记录了你的所有浏览操作,包括时间地点及浏览页面,全部存储在服务器上,拿到一个人的 gg 账号能看到它几乎所有操作。 |
 | 50 bsfmig 2022-06-09 08:38:29 +08:00 1 @ZegWe 因为美国的司法系统不大可能跨境找你(一般来说是普通中国公民)的麻烦,除非国际形势发生更重大的颠覆性变化。为了个人的信息安全,适当利用敌国的信息技术基础设施是自我保护的一个有意义的办法。 |
 | 51 luckyc 2022-06-09 08:45:52 +08:00 解决方法就是换 iPhone. |
 | 52 cpstar 2022-06-09 08:48:24 +08:00 1 天下乌鸦一般黑,国外的就比国内的白? GDPR 一样该罚的罚,但同时遇到 ZZZQ 也是选择性处理,至于人类毒瘤的社交软件更不用说了。自由?不存在没有条条框框的自由。 |
| 54 bsfmig 2022-06-09 08:50:27 +08:00 5 不存在没有条条框框的自由,但是东亚大陆的问题是接近于没有自由(特别是政治自由)。 这都不是五十步笑百步了,这是五步笑五十万步。 |
 | 55 soraginko 2022-06-09 08:55:01 +08:00 via Android 见怪不怪了 |
 | 56 wangkun025 2022-06-09 08:57:56 +08:00 @soraginko 见惯不怪 |
 | 57 wallbreakerno4 2022-06-09 09:05:25 +08:00 @goodhellonice LOS 还是在更新的 |
 | 58 nguoidiqua 2022-06-09 09:16:13 +08:00 6 一群人讨论哪里乌鸦更黑,我也是笑了。 这不是哪里乌鸦黑的问题,是哪里乌鸦可以搞你的问题。 你在内,那外面乌鸦不太可能进来搞你。你在外,那内里的乌鸦不太可能飞出去搞你。 |
| 59 nguoidiqua 2022-06-09 09:30:56 +08:00 2 还有人开口就 iPhone ,iCloud 都给你备份应用及应用数据了,你说它上传不上传应用列表。 这种事情是这个年代无法避免的,除非你用 PinePhone Librem 什么之类的,但说实话这些手机能不能保证不上传我也不是很有信心。 不要在这上面纠结,重点从源头控制。如果手机不放自拍照就不用担心手机泄露自拍了,不装应用就不用担心上传应用列表了,重点就是不要依赖手机。你其实不需要在手机上搞那么多东西,真的。 |
 | 60 zxxufo008 2022-06-09 09:36:11 +08:00 一边在说换 ip ,一边在说赶紧润。也不知道是不是一拨人 |
 | 61 wangtian2020 2022-06-09 09:40:59 +08:00 1 楼里有些果子用户也太双标了,我也没见 jc 来找我安卓用户啊 上传就上传呗,被迫害妄想症 |
 | 62 Kasumi20 2022-06-09 09:51:26 +08:00 Big 胆!居然敢装电报! |
 | 63 mond30081989 2022-06-09 09:53:36 +08:00 5 1.厂商侵犯用户隐私肯定不对,大厂小厂其实都有; 2.都 2022 了,部分果粉怎么依然信奉苹果的 shi 都是香的,刘海屏那么丑的设计都沿用 N 年不改,太垃了; 3.那些想 run 的赶紧圆润地离开吧,整天搞得要亡 guo 似的,负能量满满的卢瑟。 |
 | 65 shabbyin 2022-06-09 09:57:00 +08:00 7 这贴里的部分评论是人能写出来的吗? 国外侵犯隐私,可以 国内侵犯隐私,不行 太双标了啊朋友们 |
 | 66 zxcslove 2022-06-09 09:57:36 +08:00 1 就说一种可能啊,云服务备份应用也是需要应用列表的。 |
 | 67 loryyang 2022-06-09 10:05:06 +08:00 这个是个挺普遍的行为,好多 app 都会捞用户的 app list |
 | 68 yinzhili 2022-06-09 10:14:17 +08:00 @mond30081989 没办法他们虽然没有美股账号但已经是 APPL 精神股东 |
 | 70 Shorekeeper 2022-06-09 10:21:46 +08:00 1 对于这类行为,我个人的标准是分级处理 安全根本没有涉及隐私的联网行为(例如 Debian Server 版) 行为不端可能危害信息安全但没有实际证据(例如深信服 EasyConnect 给自己签发了个全用途的证书) 一般违规未经用户许可获取隐私信息并上传(例如阿里的一堆 App ) 严重违规获取隐私信息并非常明确地用于对用户不利的用途(例如反诈获取敏感 App 信息导致用户被有关部门骚扰) 它最多也就到一般违规,能避免尽量避免。 Apple 获取应用列表的行为**可以**另当别论,因为 Apple 设备在没有越狱的情况下,可安装的 App 是由 Apple 决定的,但也应当考虑其数据可能传输给国内数据中心(虽然可能不一定那么容易拿到)。 信息安全对个人的影响一定是需要考虑的,不是“国内侵犯不行国外就可以”,是“人在国内,国外就相对宽松;人在国外,国内就相对宽松”,因为我们大部分人没有精力和能力完全保证自己不用任何在线服务 /有泄露风险的设备 /系统。让自己的信息尽可能被更不容易影响自己的组织拿到是能做到的“折中”的办法,确实不“公平”但没有能力范围内的更好方案。 |
| 71 Shorekeeper 2022-06-09 10:26:09 +08:00 这个功能本身也有点“牺牲隐私安全换取便利性”的意味,也是一种比较偷懒的解决方案。 |
| 72 bsfmig 2022-06-09 10:26:18 +08:00 @SunsetShimmer 实际上近期 AAPL 把 PRC 区账号的 iCloud 迁移到 icloud.com.cn ,我认为是一个好的 Move 。因为这消除了用户到底是归属于哪个司法管辖区的疑虑,对 PRC as a nation 不信任的用户从此可以更放心地使用外国区 Apple 账号和 iCloud 服务,尤其是当他们的 Apple 账号是早年从 PRC 区转出的情况下。 |
| 73 Shorekeeper 2022-06-09 10:30:27 +08:00 @bsfmig 我还以为早就挪了(“云上贵州”?),如果是域名加 cn 强调的话确实是好的。像微软就不做区分,也不知道具体保存位置(即使换区)。 |
 | 74 jiyan5 2022-06-09 10:32:36 +08:00 via Android 很多应用都有 读取应用列表的权限,和 上传应用列表 是两码事吧? |
| 75 bsfmig 2022-06-09 10:33:21 +08:00 @SunsetShimmer 个人版 OneDrive (和整个微软个人账号服务)没有在 PRC 设置服务器,可预见的未来也不会有。 世纪互联运营的 sharepoint.cn 是 Microsoft 365 for Enterprise 的专有版本,面向各类企业,与个人用户无关。 |
| 76 Shorekeeper 2022-06-09 10:43:37 +08:00 via Android @bsfmig 有个例外是 Skype ,似乎是和国内合作的。 |
 | 77 rev1si0n 2022-06-09 10:49:33 +08:00 不要惊慌,据我所知你用的大部分电商等 APP 都会收集这种东西,这还算隐私?可笑(狗头) 注意:我所说的收集,是直接上传到他们的服务器 既然说了,那我不妨说的明白清楚一些,为了识别你它们可不在乎你的隐私 不仅有这些,你的 APP 首次安装 /更新时间,你的 ifconfig 输出的任何信息,你的同局域网主机( ARP ) 你的 WIFI 名称 bssid ip ,你的号卡运营商 IME/SI, 开机时间, 你的陀螺仪 /磁场传感器(你想想我能不能推测出你在用什么姿势玩手机?) 太多了我实在列不玩,就这连 1%都不到。 隐私?不会存在的事,某砍一刀尤甚。 |
 | 78 guxin0123 2022-06-09 10:53:28 +08:00 1 有没有可能是 应用商店 检测本地应用更新升级 |
 | 80 Huelse 2022-06-09 11:03:32 +08:00 3 什么奇葩啊?居然说把数据给外人更好?给数据这件事本身就不对吧? |
 | 81 muyiluop 2022-06-09 11:17:02 +08:00 1 上面不少人说非法应用列表的事情。难道这些人就是在东南亚搞电信诈骗的?不然为啥这么怕非法应用列表? 如果说翻墙软件、电报这下被禁的 App ,那我安装这么久了,为啥没被抓起来? 不说注重隐私的问题,为啥有些人总有被害妄想症?你有什么值得被关注的,请认清现实,你就是个普通人而已,走在大街上都没人关注你的。当然除非你裸奔。 |
 | 82 imsoso 2022-06-09 11:21:59 +08:00 1 被害 w 想过度了吧。 手机系统连你手机上装了什么都不知道,还正常吗? 苹果不也一样,只是方式不同而已。 |
 | 83 silypie 2022-06-09 11:22:22 +08:00 是不是开了桌面云同步之类的 |
 | 84 Zel 2022-06-09 11:29:15 +08:00 举个印度的例子,对于在印度境内获取到的数据是禁止保存在印度区域以外的 |
 | 85 e3c78a97e0f8 2022-06-09 11:32:06 +08:00 1 |
| 86 bsfmig 2022-06-09 12:05:31 +08:00 via iPhone 3 @shabbyin 1.国外我也不希望它拿,但由于国外的法律目前还不能做到禁止拿,那么鉴于国外拿了之后后果不大,可以忍受一下。 2.所谓训诫(这本身就是法外行为)等行为,从来都是在指向公民试图行使国际公认的政治权利、发表言论、结社组党的行为。这些行为在国外是合法合理,受到保护的。 3.从而,违的所谓的“法”,也就不必然正当。抱歉,别国的法是议会提出、公开辩论、表决通过、有合法性审查与诉讼,某些国则完全是定于数名乃至特定一名支配者的意志。 |
 | 87 Chingim 2022-06-09 12:40:52 +08:00 via iPhone 1 如果隐私一定要给,我是赞成把隐私给国境外的机构的,而且最好是敌对国家。 美国的用户,可以把隐私给大陆,那样看盗版不会被 fbi 抓。 大陆得用户,可以把隐私给美国,这样手机装翻墙软件不会被请喝茶 |
 | 88 beixiao 2022-06-09 12:55:32 +08:00 via iPhone 是你用的某个系统 APP 上传的,但是也经过你同意了,隐私协议一般都有声明,你同意了才会上传,清除数据或者卸载之后不打开,应该就不会上传了,现在都要合规的,这个算不得偷偷传 |
| 89 shabbyin 2022-06-09 13:08:27 +08:00 1 |
| 91 Shorekeeper 2022-06-09 14:04:07 +08:00 用基于本机 VPN 的抓包软件可以确定是哪个 App 吗?可能需要 root 添加自签名证书。 |
 | 92 Torpedo 2022-06-09 14:04:11 +08:00 apple 的不就是云上贵州么?为啥就变成国外了? |
| 93 Shorekeeper 2022-06-09 14:06:07 +08:00 @Torpedo 非国区账号可能不是云上贵州 |
| 94 shabbyin 2022-06-09 14:08:39 +08:00 |
 | 95 aloxaf 2022-06-09 14:10:08 +08:00 @shabbyin #65 这怎么双标了,我们的标准非常明确以拿到隐私信息的一方是否会威胁到自己为标准。 美帝显然不会跨太平洋请我喝茶,所以即使拿到我的应用列表我也不在意。但兔子显然会,所以我不希望被它拿到。趋利避害不是很正常吗? |
 | 96 imn1 2022-06-09 14:33:53 +08:00 1 真无聊,这么点小事居然吵了这么久,大家停一停吧 一起吃口坦克雪糕凉快一下,咦,怎么掉线了? [系统通知] 数据库已更新,关键词 +1 ,,归入食品类 |
| 97 bsfmig 2022-06-09 14:35:03 +08:00 @shabbyin “更不会在某一方并未做出实际行动前"特定一方的实际行动已经做了接近 73 年,至少至少也是接近 10 年(自 2012 年 11 月起算)了,这么长的时间完全可以得出确定无误的结论。 |
 | 98 zxCoder 2022-06-09 15:25:10 +08:00 应用列表都不让看? 狗头狗头 |
Select Language