说是探讨,其实是我来说些突然想到的,不成熟,不一定正确的想法,今天在微博上看了一篇披露京东金融获取用户截图的文章,后面引出了各种APP在Android,IOS上对用户信息的窃取问题,有博主提到
“因为发送照片有系统 API 可以调用,就是你打开 Safari 在网站上选择文件弹出的那个框,不需要申请相册权限。Android 中也有一样的东西,应用完全不需要相册权限就可以获得用户选择的照片。但仅限于用户选择的照片,它不能访问用户没有选的照片,所以这些应用就需要用“分享”为借口去访问用户别的照片。”
我琢磨了好一会才确定,我们要做系统相册图片分享必然是要获取READ_EXTERNAL_STORAGE权限的,而这个权限不仅仅是给予APP访问相册的权限,还有媒体内容和文件,从名字上也可以看出,APP获取了这个权限就能访问外部存储的内容,所以当你有分享照片的需求时,APP肯定是能通过这个权限拿到你相册中其他图片的,这确实是个大问题,具体做不做得看厂商的良心,毕竟它也没违规,是你给他的这个权限
由此我想到,Android的权限划分是否应该更细化,隐式地查询读取照片,文件应该归属一个专用的权限,甚至说照片和文件这些内容是否也要分割开来,这些都是我不成熟的想法,或许现在是有办法限制这些问题的但我却不知道,希望大家一起讨论指正。