这是一个创建于 629 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,我在号称隐私保护强的 CalyxOS ( Android 13 )安装了哔哩哔哩 app ,然后浏览了几个视频,再卸载,再安装回去,结果发现它仍然保留了我卸载前的浏览记录!
视频如下:
这还没完,我在同一部手机开了工作空间,在工作空间里安装哔哩哔哩 app ,结果居然发现,它仍然同步了我在主空间的浏览记录!
这还没完,我在同一部手机开了双用户(类似 MIUI 的手机分身),在新开出来的用户安装哔哩哔哩 app ,结果居然发现,它仍然同步了我在原用户的浏览记录!
视频如下:
Android 10 开始不是就不能获取 IMEI 了吗? Bilibili 这是如何追踪出来我这是同一部手机的呀?好神奇
注:哔哩哔哩 app 在 https://apkcombo.com/zh/bilibili/com.bilibili.app.in/ 下载,签名与 Play 商店的一致。
视频如下:
这还没完,我在同一部手机开了工作空间,在工作空间里安装哔哩哔哩 app ,结果居然发现,它仍然同步了我在主空间的浏览记录!
这还没完,我在同一部手机开了双用户(类似 MIUI 的手机分身),在新开出来的用户安装哔哩哔哩 app ,结果居然发现,它仍然同步了我在原用户的浏览记录!
视频如下:
Android 10 开始不是就不能获取 IMEI 了吗? Bilibili 这是如何追踪出来我这是同一部手机的呀?好神奇
注:哔哩哔哩 app 在 https://apkcombo.com/zh/bilibili/com.bilibili.app.in/ 下载,签名与 Play 商店的一致。
第 1 条附言 2024-01-20 20:55:57 +08:00
每个哔哩哔哩 app 走的梯子节点都不同,所以你们可以看到它要求我登录时默认的电话区号是不同的
第 2 条附言 2024-01-21 09:49:03 +08:00
后续更新 t/1010369
 | 1 FrankAdler 2024-01-20 20:39:30 +08:00  2 imei 不能获取,但是还能获取其他的吧,比如 Android ID 、OAID ,CAID 或者其他的用各种能获取到的信息算出来的 id ,比如拼多多的 PAID 、阿里的 AAID 等。 |
 | 2 jeesk 2024-01-20 20:52:51 +08:00 客户端 content provider 可以通信的. |
 | 3 giveafxxk OP @FrankAdler 可是主空间与工作空间,不同用户之间,这些 ID 不是不同的吗?我刚刚分别在测试的地方安装 Devcheck 查了一下,识别码那一栏 Google 服务架构 ID 和设备 ID 都是不同的。 |
 | 4 mcone 2024-01-20 20:56:22 +08:00 你的视频我看了两分钟,才发现你的 wifi 没变…… 这些 app 会通过热点信息推荐,不是什么新奇的事情吧 |
| 5 giveafxxk OP @jeesk 我每个地方的 v2rayNG 都开了封锁不经过 VPN 的连接,并且 v2rayNG 设置的是全局,局域网也照走代理,影响他们通信吗?还有如何解释哔哩哔哩在我卸载重装后还能保留历史记录?(没有授予任何权限) |
| 7 mcone 2024-01-20 21:05:19 +08:00 @giveafxxk 23 年初工作原因测试过,你拿两个手机 A 和 B ,在同样的环境下连同一个热点,A 的历史记录和兴趣也会推给 B 。 我看到你的附言,虽然你每个 app 都走了不同的梯子,但是你链接的是同一个 wifi (且开放了 wifi 热点权限)啊…… |
| 8 giveafxxk OP @mcone 它是怎么知道这是同一个热点的?获取 WiFi SSID 不是需要位置信息权限吗?我没给。并且我的 VPN 都设置了封锁所有不经过 VPN 的连接,局域网也被封死了。它怎么做到的? |
 | 9 lloovve 2024-01-20 22:00:13 +08:00 via iPhone 开 vpn 后,你还能 ping 通你的路由器吗?一般 vpn 不控制局域网 ip |
| 10 giveafxxk OP @lloovve 你好,用 termux 试了一下,ping 不通的。我开启了封锁所有不经过 VPN 的连接,连 localsend 都用不了了。 |
 | 11 louisxxx 2024-01-20 23:12:22 +08:00 via iPhone 可以获取局域网 mac 地址吧 |
 | 12 tyzandhr 2024-01-20 23:14:58 +08:00 via Android 真想追踪,你的浏览滑动手势都会被追踪 |
 | 13 finab 2024-01-20 23:20:07 +08:00 首先肯定是被唯一标识码跟踪了,比如国内厂商特供的 OAID 或者其他什么的 |
 | 14 0o0O0o0O0o 2024-01-20 23:31:33 +08:00 via iPhone 2 对国产应用如何追踪的细节不感兴趣,但去简单看了下这个 CalyxOS 的介绍和文档,看起来它宣传的 privacy 更多是替用户挑选它认为纯净的应用和上网方式,没有太多的硬核功能,简单理解就是它是让用户尽可能简单地用一堆开源应用替代商业化产品,更简单点说就是“不符合国情” |
 | 15 kneo 2024-01-21 00:26:06 +08:00 你的手机操作系统可能分配了一个匿名用户 ID 给它。针对同一个 app id 分配的是相同的用户。 |
 | 16 zeroaone2099 2024-01-21 00:47:43 +08:00 国内移动安全的一个重点不就是用户和设备指纹识别 |
 | 17 hingle 2024-01-21 00:59:26 +08:00 有没有可能,历史记录会在手机硬盘里存一份,或者仅限未登录用户历史记录存硬盘。而这个区域不受工作空间和多用户的影响? |
 | 18 zpxshl 2024-01-21 01:45:34 +08:00 via Android androidid 不需要权限,且能标记用户唯一。 你这操作系统的双开模式, 有专门处理 androidid 的逻辑吗 |
| 19 zpxshl 2024-01-21 01:49:02 +08:00 via Android mac 地址,在同一次 wifi 连接中,似乎也是固定的。 有兴趣可以研究下 |
 | 21 huahsiung 2024-01-21 02:21:59 +08:00 某一些程序会扫描区域网里面的子网设备( mac 等等),还有还有你附近的 wifi ssd ,另外 sim 卡收到的基站的什么参数也可以作为参考(虽然不是很准,重复率较高) 另外,Android 虽然不能获取 imei ,Android ,但是能获取手机型号,基带,mac 地址,其他应用程序名称,cpu 信息啊。比如设备型号为 xiaomi XXX12 这个还是能确定的,mac 为 be:0a:xx:xx:xx:xx ,以及安装了什么其他的软件 另外你在 termux 输入`cat /proc/cpuinfo` 可以看到 cpu 参数,是不需要权限的。 结合以上的信息,大概就可以确定了 |
 | 22 busier 2024-01-21 09:16:55 +08:00 5 要不然国产应用拼命劣化浏览器访问,使劲推 APP 是为啥!!! |
 | 24 LisaSue 2024-01-21 09:44:27 +08:00 via iPhone bilibili 在 document/picture 文件夹下面会存东西,不需要权限的 |
 | 25 snugness 2024-01-21 09:46:27 +08:00 via Android Mac WebRTC DNS 别以为用个机场就能万事大吉,DNS 泄漏才最容易出事。 |
|
 | 28 dazuijuren004 2024-01-21 10:22:29 +08:00 懂车帝好像这样,一年前的搜索记录都还有 |
 | 29 y1y1 2024-01-21 13:53:59 +08:00 推荐的视频怎么一个比一个难绷 |
 | 30 mmdsun 2024-01-21 18:55:35 +08:00 via iPhone canvas 、浏览器指纹? |
 | 31 9H93q6EKnTVFQDRq 2024-01-21 20:55:37 +08:00 你只关注 bilibili 我更在意他怎么给你推荐的全是涉政视频 |
 | 33 yehon 2024-01-22 02:05:47 +08:00 via Android 简单说,app 在无需特殊权限情况下已经可以获取足够的信息来判断“唯一身份”了。 前面有几楼说得挺好的。比如 #21 |
 | 34 Zer0in 2024-01-22 07:33:35 +08:00 via Android 我启用了存储空间隔离和使用 Thanox 的隐匿功能后,给我推荐的基本都是网络位置相关和一些普通视频了。 |
 | 35 Achophiark 2024-01-22 08:10:55 +08:00 via Android 看完觉得慎得慌,我就问问谷歌 pixel 手机有这顾虑吗,还是下个手机换苹果? |
 | 36 TenProX 2024-01-22 08:44:44 +08:00 via iPhone app 仍然可以获取到你的设备信息的。除非你 root 加魔改。不然一切都是徒劳。 |
 | 37 vcn8yjOogEL 2024-01-22 11:47:00 +08:00 via Android @Achophiark #35 Pixel 刷 Graphene 用 Play 版 App 再搭配多用户应该能好一些, AOSP 本身是无法阻止滥用权限的 换 iPhone 没用, 光有一个钥匙串就能识别了 |
 | 38 maxssy 2024-01-22 11:51:30 +08:00 APP 开发方面我了解不多, 但 WEB 开发领域有个概念叫浏览器指纹, 原理是不同浏览器(注意这里的意思是这个浏览器卸载了再安装也不是同一个了, 就算同种也不行)使用 canvas 画的同一张图的二进制数据是有细微区别的, 不影响使用但哈希值是会不一样的, 这个哈希值就是这个浏览器的指纹. 所以 chrome 的隐私浏览对资深前端来说是无用的, 只要在页面上画一个透明 canvas 再算出哈希值就能唯一确定用户的浏览器. 现在很多 APP 的页面其实是调用了手机内置浏览器进行解析的, 本质上还是网页, 所以是不是有可能会用到这种技术来追踪? |
| 39 giveafxxk OP @Achophiark iPhone 和 Pixel 都不行。请移步 t/1010369 |
| 40 giveafxxk OP @vcn8yjOogEL 请移步 t/1010369 |
 | 42 hxys 2024-09-30 18:52:51 +08:00 埋点吧? |
 | 43 j3dream 357 天前 双开应用 Android ID 不同,但 OAID 一致。 |
| 44 j3dream 357 天前 可以借助这个项目的 demo 查看: https://github.com/gzu-liyujiang/Android_CN_OAID |
Select Language