极光推送正在滥用媒体储存来跨应用追踪用户

0 0 0

水王 2021-5-12 举报

2046 0

本文共计449个字，预计阅读时长1.8分钟。

发现极光推送正在滥用媒体储存来跨应用追踪用户

今天更新了 Bilibili，OneDrive 突然询问我是否要自动备份 jpush 的文件夹。我当时就困惑起来了，因为用了存储空间隔离，只给了几个应用写入 Pictures 文件夹的权限。

看 /Pictures/jpush 里面是什么东西，好家伙，明明白白写在文件名上，jpush_uid.png。虽然是 png，但不能用相册打开，因为它是一个文本文档。打开后是一串字符，似乎不是 base64 编码。

经排查发现，这是 Bilibili 产生的。通过 LibCheck 比对，发现它更新了极光推送的原生库，版本为 libjcore273.so。

几乎可以肯定这个是极光在高版本安卓系统收紧存储权限的情况下，为了跨应用追踪用户 UID 的手段。建议彻底关闭 Bilibili 的存储权限。

https://www.v2ex.com/t/776559

https://t.me/CE_Observe/17722

咕咕咕

著作权归文章作者所有。

UID: 3 七级用户组

咕咕咕

主题数
149

帖子数
60

0
精华数