說是探讨,其實是我來說些突然想到的,不成熟,不一定正确的想法,今天在微網誌上看了一篇披露京東金融擷取使用者截圖的文章,後面引出了各種APP在Android,IOS上對使用者資訊的竊取問題,有部落客提到
“因為發送照片有系統 API 可以調用,就是你打開 Safari 在網站上選擇檔案彈出的那個框,不需要申請相冊權限。Android 中也有一樣的東西,應用完全不需要相冊權限就可以獲得使用者選擇的照片。但僅限于使用者選擇的照片,它不能通路使用者沒有選的照片,是以這些應用就需要用“分享”為借口去通路使用者别的照片。”
我琢磨了好一會才确定,我們要做系統相冊圖檔分享必然是要擷取READ_EXTERNAL_STORAGE權限的,而這個權限不僅僅是給予APP通路相冊的權限,還有媒體内容和檔案,從名字上也可以看出,APP擷取了這個權限就能通路外部存儲的内容,是以當你有分享照片的需求時,APP肯定是能通過這個權限拿到你相冊中其他圖檔的,這确實是個大問題,具體做不做得看廠商的良心,畢竟它也沒違規,是你給他的這個權限
由此我想到,Android的權限劃分是否應該更細化,隐式地查詢讀取照片,檔案應該歸屬一個專用的權限,甚至說照片和檔案這些内容是否也要分割開來,這些都是我不成熟的想法,或許現在是有辦法限制這些問題的但我卻不知道,希望大家一起讨論指正。
![與專家面對面:Android開發入門問與答[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)