V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
honeycomb
V2EX  ›  Android

微信也开始学支付宝,迫使用户提供 IMEI

  •  
  •   honeycomb · 2015-12-09 09:33:44 +08:00 · 20005 次点击
    这是一个创建于 3271 天前的主题,其中的信息可能已经有所发展或是发生改变。

    似乎是 Play Store 于 12 月 7 日更新的版本开始做这个恶行了。

    100 条回复    2016-09-18 17:23:57 +08:00
    evilangel
        1
    evilangel  
       2015-12-09 09:45:05 +08:00
    这样就可以有针对性的 强奸用户了。。。 比如:根据 IMEI 判断三星老机型用户向用户发送新机广告,高端手机机型用户会收到汽车类等高消费品广告。
    lshero
        2
    lshero  
       2015-12-09 09:50:29 +08:00 via iPhone   ❤️ 3
    @evilangel 直接获取机型就行了有必要弄这么麻烦?
    jiezhi
        3
    jiezhi  
       2015-12-09 09:56:12 +08:00   ❤️ 1
    据我所知微信和 QQ 聊天数据库加密和设备 IMEI 有关的。

    现在基本没有 APP 或者第三方插件不拿 IMEI 的吧。

    迫使用户提供么?应该直接就拿了吧,还是说不给它,它就不工作了?
    honeycomb
        4
    honeycomb  
    OP
       2015-12-09 09:57:02 +08:00   ❤️ 2
    @lshero
    @evilangel

    有 IMEI 的作用是,这个串号是永久不会变的,有了 IMEI 就能永久追踪你的设备,不管你有没有刷过机(排除改动 EFS 分区的这种几乎不会有人操作的危险情形)
    yrom
        5
    yrom  
       2015-12-09 09:58:15 +08:00
    @jiezhi 可是有些个 Android 设备并不一定有 IMEI...比如不能插 sim 卡的平板
    honeycomb
        6
    honeycomb  
    OP
       2015-12-09 10:02:04 +08:00
    @jiezhi

    据我所知微信和 QQ 聊天数据库加密和设备 IMEI 有关的。
    ----没有 IMEI 它照常运行
    ----iOS 设备什么串号都拿不到,为何两个应用还能运行

    现在基本没有 APP 或者第三方插件不拿 IMEI 的吧。
    ----拿 IMEI 又不是正确的做法

    迫使用户提供么?应该直接就拿了吧,还是说不给它,它就不工作了?
    ----不给它,它就不工作了
    ----这是 Android Marshmallow 开始使用的新权限机制(可以理解成类似 iOS 的那种),应用是能知道用户有没有授权,而微信(和支付宝)滥用了这个特性,检测到用户没有授权,它就把自己关了

    ----支付宝在被吐槽后,更新了 7.3.1 ,似乎只强迫要求访问外部储存了
    dslwind
        7
    dslwind  
       2015-12-09 10:03:38 +08:00 via Android
    楼主你知不知道现在别人邀请你加入群聊都要先绑定银行卡,不绑就不给你加。
    lshero
        8
    lshero  
       2015-12-09 10:03:43 +08:00
    @honeycomb 投放广告一般有自己专门的追踪 ID ,模拟器和 MTK 一堆改 IMEI 的办法羊毛党可以疯狂的写脚本刷

    现在很多软件的加密的策略基本都是依靠 IMEI 或者 MAC 就因为这两个一般情况下不会变
    honeycomb
        9
    honeycomb  
    OP
       2015-12-09 10:15:49 +08:00
    @lshero
    iOS 呢?它早就拿不到 UDID/MAC/IMEI 了
    连软件重装一下 appID?(VendorID)也会变
    AdId 用户想重置就可以重置
    唯一可能能用的办法是把 openUDID 存放到 keyChain

    Android 现在也已经不让用 MAC 和 IMEI 了
    honeycomb
        10
    honeycomb  
    OP
       2015-12-09 10:17:00 +08:00   ❤️ 1
    @dslwind
    这是实名验证

    如果我遇到这样的群,我不会加入的
    另一方面,我不在微信上绑定银行卡
    feiandxs
        11
    feiandxs  
       2015-12-09 10:18:42 +08:00
    @honeycomb 现在 Android 是不让用,然而这特殊的国情。。。唉
    honeycomb
        12
    honeycomb  
    OP
       2015-12-09 10:22:49 +08:00
    @feiandxs
    那就要让它不是国情

    Google Play , 12321 至少有个举报途径,有没有用是另说
    dslwind
        13
    dslwind  
       2015-12-09 10:26:27 +08:00
    @honeycomb
    我自己也没绑卡,昨天我爸要加个群,结果发现要绑卡。。。之前是不要的,企鹅真是越来越那啥了
    pathletboy
        14
    pathletboy  
       2015-12-09 10:30:57 +08:00
    @dslwind 要不要绑卡和群中人数有关,达到一定人数后,新加入的都要求有实名认证。
    ljbha007
        15
    ljbha007  
       2015-12-09 10:39:11 +08:00
    @dslwind 要绑定银行卡主要是为了风控 防止机器人和防骗子
    Khlieb
        16
    Khlieb  
       2015-12-09 10:44:52 +08:00 via Android
    @evilangel 这就是店大欺客
    dslwind
        17
    dslwind  
       2015-12-09 11:03:44 +08:00
    @pathletboy
    @ljbha007
    受教了
    lshero
        18
    lshero  
       2015-12-09 11:04:14 +08:00
    @honeycomb IMEI 和 MAC 又不是唯一因素只是一个参考因素。

    国内应用间的换量合作这么流行,都是实打实的商业利益,这种商业合作的地方你觉得用原生获得的 IMEI 和 WIFI 的 MAC 撕逼有说服力还是这种生成的 ID 有说服力

    行业风气就这个样子也没有办法吧。
    jonechenug
        19
    jonechenug  
       2015-12-09 11:05:31 +08:00 via Android
    我已经开启型号伪装的全局伪装了,连手机号码都伪装了,这些国产 app 真烦
    paradoxs
        20
    paradoxs  
       2015-12-09 11:17:19 +08:00
    其实人家也不是非要 IMEI....
    IOS 上面你看一下百度贴吧,安装完就自动给你登陆了。 黑科技。。
    helloyang
        21
    helloyang  
       2015-12-09 11:19:58 +08:00   ❤️ 1
    刚卖了一个肾的人好奇你们在讨论什么
    feiandxs
        22
    feiandxs  
       2015-12-09 12:28:51 +08:00
    @honeycomb 我意思是。国内根本就一直停在老版本的 Android 上,也没有 PlayStore 。

    举报这事不是没用,但更多的程度上就是小圈子的自娱自乐,厂商甚至可以在不同的市场发不同的版本。

    所以举报其实对改变现状没什么用,还是得靠资本的力量。但即便这样我也觉得不应该让这个成为国情,我不支持但也绝不反对别人的举报之类的行为,一点点的推动,哪怕推不动,别人至少推了,我绝不拦着。国内环境这么差,我们不能纵容厂商这种无耻的行为。

    所以我用 iOS 去了,用实际行动说话。
    wbsdty331
        23
    wbsdty331  
       2015-12-09 12:42:32 +08:00
    我当时专门用 DFS CDMA Tools 重写 IMEI 骗过美团 大众点评的新用户优惠
    lshero
        24
    lshero  
       2015-12-09 12:47:59 +08:00   ❤️ 1
    @wbsdty331 薅羊毛何必这么麻烦,每天查日志都是逍遥安卓和海马模拟器的请求日志,各种改,随便改。
    不接入新的资源(如语音验证码上行短信)服务端一点防范方法都没有。
    hackevin
        25
    hackevin  
       2015-12-09 12:58:40 +08:00
    直接删掉不用就好了嘛
    MountainRain
        26
    MountainRain  
       2015-12-09 13:01:18 +08:00
    其实这些都是可以修改的啊。。。我原来就刷过友盟的。。 AppStore 的下载量理论上也是可以用一台手机来刷的。。。 https://ios7ios8.taobao.com/shop/view_shop.htm?spm=a1z09.2.0.0.JNsXq1&user_number_id=1119488426 这些软件在 iOS6 上面已经非常成熟了。。所以 iOS6 的版本是不能支持了。。。
    TingHaiJamiE
        27
    TingHaiJamiE  
       2015-12-09 13:06:00 +08:00
    友盟为什么能统计到那么多数据呢?所以友盟也应该坚决抵制啊。否则治标不治本。
    hantsy
        28
    hantsy  
       2015-12-09 13:09:39 +08:00
    @dslwind 这也太夸张了
    iyaozhen
        29
    iyaozhen  
       2015-12-09 13:11:45 +08:00
    等一下,难道还有不获取 IMEI 的吗?
    honeycomb
        30
    honeycomb  
    OP
       2015-12-09 13:37:19 +08:00
    @feiandxs
    有多少力气做多少事情
    如果微信不退一步
    那么把它从 play store 赶下去或许不是最坏的选择


    @MountainRain
    这样的软件是好事情
    它们是对付无良厂商的最后一道防线

    @lshero
    ----行业风气就这个样子也没有办法吧
    有办法呀, Xposed+Xprivacy ,只是这么做比较麻烦

    @iyaozhen
    Play Store 上的大多数应用不曾试图获取 IMEI

    @TingHaiJamiE
    我个人落实了抵制友盟的措施
    但是随着 HTTPDNS 的流行,现有改 hosts 的方法会渐渐失效

    @helloyang
    苹果税终究没有白交

    说到底,一般用户需要参与制定大数据的游戏规则:
    在做不到它以前,先要使用最后方案保护自己的活动记录
    比如过滤广告,阻止追踪
    由比如投毒:
    http://www.solidot.org/story?sid=46269
    superbear
        31
    superbear  
       2015-12-09 14:05:37 +08:00
    换设备了,会有通知,这个是拿的设备 mac 还是 imei 啊?
    lshero
        32
    lshero  
       2015-12-09 14:07:27 +08:00
    @honeycomb

    与其那么动手折腾还不如主动拒绝这一类型的应用。

    Xposed+Xprivacy 这种仅限于 ROOT 后可以用的情况,是否需要考虑一下 各种猴机 ROOT 后相机的算法会不会失效,手机会不会丢失保修之类各种情况。

    流氓公司出于营销防弊之类的目的,同样也可以拒绝给不提供设备信息的用户服务,这种事情本身就是双向选择的。
    honeycomb
        33
    honeycomb  
    OP
       2015-12-09 14:24:31 +08:00   ❤️ 1
    @lshero

    ------Xposed+Xprivacy 这种仅限于 ROOT 后可以用的情况,是否需要考虑一下 各种猴机 ROOT 后相机的算法会不会失效,手机会不会丢失保修之类各种情况。

    所以说 Xposed 等是最后手段,一来麻烦,二来有别的代价
    但是你的描述里有一些细节不准确:

    1 ,运行 Xposed 本身不需要(调用 superSU 意义上的)root 权限,因为 Xposed 自身就是 Android Runtime/Dalvik 的一部分
    2 ,把 Xposed 安装到系统里也不依赖于 superSU 或别的 SU 管理器,因为这个安装的原理过程和 OTA 更新相同,只是 Xposed 的安装包没有签名,无法通过手机预载的 recovery(一个独立于 Android 的 linux 系统,连同内核都在 /recovery 分区)安装
    3 ,猴机关闭高级相机算法的触发器,失去保修,再也无法使用 KNOX(三星)等与用户解开了 /曾经解开过 bootloader 锁定有关,和是否安装 SU 管理器无关。这部分是签名所说的“别的代价”
    4 ,在默认不提供解锁 bootloader 接口的手机进行此类修改,通常需要利用手机上软硬件现有的漏洞(常见于索尼,摩托罗拉, HTC 等的非 developer edition 手机)。


    ------同样也可以拒绝给不提供设备信息的用户服务,这种事情本身就是双向选择的。

    用户同样可以通过 Xposed 等途径,让应用发现不了“不提供设备信息”

    和广告过滤类似:

    用户过滤广告,叫 adblock
    网站阻止用户过滤广告,叫 anti-adblock
    可是,用户还是可以简单地把“网站阻止用户过滤广告”的代码无效化

    试图在用户的手机上执行的逻辑,一旦被视为威胁,都可能被和谐掉。
    paulagent
        34
    paulagent  
       2015-12-09 14:28:08 +08:00
    要求绑卡的我一律不加。 如果不给授权就不让用,那我就不用了。 离开了微信还活不下去了是怎么了。 这帮 sb 到底想什么呢。还没天下第一就不知道天高地厚了
    skylancer
        35
    skylancer  
       2015-12-09 14:32:15 +08:00   ❤️ 1
    @honeycomb 微信数据库加密我记得算法是有 IMEI 组成的,没 IMEI 会用 0 填充,有则算入。至于 iOS , App ID 在未刷机的情况下是不变的,无论有没有重新安装 App ,另外每个厂商的 App 获取的 Vendor ID 也是不一样的,但在同厂商间的 App 是统一的,所以也可视为一个相对来说可以识别设备的方法。 iOS 目前也只能用这个方法或者广告 ID 来获取设备标识, MAC 地址在 8 开始没法获取, UDID 在 7 之后无法获取


    Android 现在还是能读 MAC ,映射在 /proc 上,这个限制我记得 Google 说在 6.1 才会解决
    lxrabbit
        36
    lxrabbit  
       2015-12-09 14:34:35 +08:00
    别用就好了呀
    honeycomb
        37
    honeycomb  
    OP
       2015-12-09 15:22:24 +08:00
    @skylancer
    正是
    关于 /proc 的说法是在 developer preview 的 bug 汇报页面上提到的

    @lxrabbit
    大部分人没有这么强大到可以轻松地“别用就好了”
    所以它有错就得改

    @paulagent
    绑银行卡的逻辑是在服务端,所以这件事在技术上一点办法都没有
    skylancer
        38
    skylancer  
       2015-12-09 15:38:45 +08:00   ❤️ 1
    @honeycomb 其实一直都能从 proc 读取映射上来的信息 而且很多所谓主防工具都没拦从 proc 抓东西,我记得就算是 LBE 很早以前也没拦
    lxrabbit
        39
    lxrabbit  
       2015-12-09 15:41:14 +08:00
    @honeycomb 我认为这样做有利于安全,毕竟是钱在里面,如果有更好的办法,为什么他不用呢?再说了手机本来就是实名制的吧,支付宝有必要不实名制吗?
    honeycomb
        40
    honeycomb  
    OP
       2015-12-09 16:01:05 +08:00   ❤️ 1
    @lxrabbit

    这样的目的从来不是为了安全,而是为了广告+用户追踪
    这个意义上,抓永久性的识别码确实是好办法,因为这个值不太可能改动

    退一步说,微信账号得要先有钱,再有“毕竟是钱在里面”的问题,是有因果顺序的,那么这个版本微信做的又是什么呢?
    也就是说,即便微信摇通过采取 IMEI 的方式来“有利安全”,也得是有“当前登陆的账号已经有钱 /绑定银行卡”这一前提。
    再说了, iOS 没有永久识别码,因此 IMEI 不是理由?

    ------再说了手机本来就是实名制的吧
    1 ,手机从来都不是实名的
    比方说,你用非实名的深水淘 /支付宝账号购买了手机,这个手机是实名制的吗?
    比方说,你去实体店用现金购买一台手机,商家不知道你是谁,这个手机是实名的吗?
    比方说,你用 apple pay 购买了一台手机,因为 apple pay 不知道你花了多少钱,不知道你买了什么,商家也不知道你是谁,那么这个手机是实名的吗?

    2 ,实名的是手机号。

    这两个的区别在于, 2 的情况中,只需要直接找运营商的接口就能通过手机号查人,再因为手机自身的跟踪特性,也可以通过它物理地找到人。而在 1 的情形中找人,则需要通过实实在在的由公安机关发起的“侦察”才能做到。

    但即便是实名的手机号,也有缓解营销目的的用户追踪的方法:频繁地更换小号,而小号池本身就很脏,抓到的小号价值就低。

    ------支付宝有必要不实名制吗?
    支付宝有非实名的账户
    这种账户有这样的好处,支付宝难以向这种账户推广任何恼人的新特性,因为其恼人的特性通常都和追踪用户有关,另一方面,使用非实名的支付宝账户也有利于用户对自己银行账户的控制力,且能减少支付宝对用户的侧写能力。

    侧写这东西从前只是用来抓罪犯,或是用于军事 /间谍目的,是一种辅助用的跟踪技术。现在已被广泛用于用户追踪。
    zwy
        41
    zwy  
       2015-12-09 16:01:23 +08:00
    别拿加密说事了, 国内这些个服务哪个没有额外一套内部查阅的明文数据库?
    honeycomb
        42
    honeycomb  
    OP
       2015-12-09 16:08:19 +08:00
    @zwy 我确实没有提过加密的事项呀,看看 41 楼以前的加密是谁说到的
    lxrabbit
        43
    lxrabbit  
       2015-12-09 16:15:13 +08:00
    @honeycomb 说到底还是自己心里有鬼,可是你怕被追踪为什么还要来 V2 呢?V2 也是服务器在国内的呀
    honeycomb
        44
    honeycomb  
    OP
       2015-12-09 16:28:24 +08:00
    @lxrabbit
    1 ,你为何转移话题?
    2 ,这个想法就不对了,变成了类似“受害者谴责”的情形。
    每个人拥有自己的数据不至泄露 /被滥用,是天经地义的权利。

    ------可是你怕被追踪为什么还要来 V2 呢
    1 ,因为我想来
    2 ,因为我来得了 V2
    3 ,因为 V2 没有说我不能来

    然后我可以再加上理由 4 :
    4 :今天我很高兴
    理由 4 也可以换成:
    4 :今天我不高心

    你看, 4 其实毫无意义


    这就像你的财产一样

    你处置你的财产,因为:
    1 ,你的财产是你的
    2 ,别人要动你的财产,需要你的许可
    3 ,法律规定了一些下限,你不能越过这些下限,(使用你的财产)侵害它人利益
    我们尊重你的财产,是因为我们尊重法律,尊重社会的基本规则 /道德而不在于你心里有没有鬼
    lxrabbit
        45
    lxrabbit  
       2015-12-09 17:02:02 +08:00
    @honeycomb 你刚才说了一堆重点就是最后一句:"侧写这东西从前只是用来抓罪犯,或是用于军事 /间谍目的,是一种辅助用的跟踪技术。现在已被广泛用于用户追踪。"
    我这么理解没冤枉你吧,所以我才问你"你怕被追踪为什么还要来 V2",还特地补充告诉你"V2 也是服务器在国内",所以我认为我是顺着你的话说,没有转移话题.
    另外我觉得取硬件信息这种事情,要么谷歌自己有规定,要么国家法规有规定,否则就只能"谴责,强烈谴责,最强烈谴责",我个人觉得没用,就跟 360QQ 大战一样,谴责哪一方,有什么效果吗?帮你顶顶帖子已经算对你这种行为的认可了,虽然顶贴的方式是跟你耍嘴皮子
    whatufo
        46
    whatufo  
       2015-12-09 17:09:14 +08:00
    我很愿意也很赞同楼主的说法,但是我一个人的力量起不到什么作用呀。
    1.首先国内没有一个良好的像 google play 的安卓系统市场,去举报也没有什么用(各种市场争抢用户还来不及呢,一个微信多大的用户量,还有各种市场的运营商劫持... 心累)。
    2.微信用户量大,店大欺客。
    3.我也一直想用也再推广周遭的朋友使用, line whatapp Telegram 但是都没有什么用,转化率太低 Telegram 只有 30%,那么其他的 70%还是要用微信 QQ 这类。他们用你没办法不用的呀,一些消息在上面发布,不可能不去看。
    4.也没有什么简单易行小白都知道的方法一键设定,解决这种问题呀。
    Actrace
        47
    Actrace  
       2015-12-09 17:11:09 +08:00
    @honeycomb IMEI 是可以刷的.
    honeycomb
        48
    honeycomb  
    OP
       2015-12-09 17:20:55 +08:00
    @Actrace

    终究改 IMEI 不是很方便
    联发科的芯片可能相对简单
    高通的芯片就要去动 EFS 分区


    @lxrabbit
    手里有大棒时,比较可能迫使微信退(本就不该走的)一步
    istark
        49
    istark  
       2015-12-09 17:38:43 +08:00
    方便监控,大家都老实了,我们要爱共产党。
    honeycomb
        51
    honeycomb  
    OP
       2015-12-09 18:51:55 +08:00
    @mxalbert1996

    然后?

    1 ,没有 IMEI 它可以往这个输入里造一个字符串
    何况上一个版本没有 IMEI 不也好好地运行着么
    2 ,何况还是不能拿 IMEI
    3 ,再退一步,想要这个功能的人才刻意地许可这个权限,不想要的还是不给
    feicien
        52
    feicien  
       2015-12-09 18:55:00 +08:00
    微信获取 IMEI 号,主要是为了安全的考虑
    换一台新设备登录时,微信才能够判断出来,这是新设备,与之前登录的设备不同,然后采取短信验证码进一步验证。
    mxalbert1996
        53
    mxalbert1996  
       2015-12-09 19:07:33 +08:00
    @honeycomb 我只是告诉你微信聊天数据库加密确实和 IMEI 有关,而你一开始显然是不这么认为。别的我什么也没说,也请你不要脑补太多
    mxalbert1996
        54
    mxalbert1996  
       2015-12-09 19:10:18 +08:00
    @feicien 那个是根据 Android ID 而不是 IMEI ,你可以试试重刷一次系统然后用钛备份还原微信,这时候再开是需要重新登录的,但是如果用钛备份还原了 Android ID 就不用
    feicien
        55
    feicien  
       2015-12-09 19:17:46 +08:00
    @mxalbert1996 模拟器的 Android ID 都是一样的,光靠一个 Android ID 是无法确定设备的
    honeycomb
        56
    honeycomb  
    OP
       2015-12-09 19:18:47 +08:00
    @feicien
    但是在获取不到 IMEI 的场合下除了额外使用一次短信验证码以外,没有区别
    而这个额外短信验证正是用户希望的,因为他不希望微信持久跟踪自己的手机


    @mxalbert1996
    IMEI 并不一定是该加密的 key 的一部分,因为在没有 IMEI ,或 IMEI 为 0 或者不允许使用 IMEI(表现为 IMEI 读出为空字符串或全 0)的设备上,微信有备用措施生成随机数作替代,因此微信聊天数据库加密和 IMEI 有关,但 IMEI 不一定是生成微信聊天数据库密码

    然而,这不是微信可以强迫要 IMEI 的理由
    因为
    iOS....
    因为
    没有 IMEI 的时候见 @feicien 的说法
    honeycomb
        57
    honeycomb  
    OP
       2015-12-09 19:19:41 +08:00
    @feicien 能做到“跨安装便不能识别设备”是最好的
    mringg
        58
    mringg  
       2015-12-09 19:19:48 +08:00 via Android
    苹果推送广告一般都用 idfa 的
    honeycomb
        59
    honeycomb  
    OP
       2015-12-09 19:23:03 +08:00
    @mringg

    https://support.google.com/adxbuyer/answer/3221407

    IDFA 具有两个关键特征:

    用户可以随时重置 IDFA 。
    用户可以停用所有再营销,方法是启用“限制广告跟踪”(LAT),此设置会限制广告客户使用 IDFA 进行行为广告投放。*

    Google Play Service 上的 AdID 也有类似的特征
    feicien
        60
    feicien  
       2015-12-09 19:30:13 +08:00
    @honeycomb
    无法确定设备,那每次使用微信都会认为这是一个新设备,每次都要验证,这样的体验会很差的
    就是因为可以确定设备,现在手机上的 App 才不会像电脑网站那样,需要经常输入密码进行登录。

    在电脑上使用网银,还要安装一些控件,如果手机也这样搞,用户会疯掉的
    honeycomb
        61
    honeycomb  
    OP
       2015-12-09 19:46:39 +08:00
    @feicien

    你担忧的并没有发生
    可以尝试使用 Xprivacy ,把所有可能的串号都设置成随机的伪造值
    微信并不会因此而每次启动都要求验证的

    所以,体验不会降低,而是提高了
    BOYPT
        62
    BOYPT  
       2015-12-09 20:10:52 +08:00
    拿 IMEI 还要“逼”?
    feicien
        63
    feicien  
       2015-12-09 20:17:00 +08:00
    @honeycomb
    你换手机,也不会要求验证吗?
    或者绑定银行卡,或者转几毛钱,也不会验证吗?

    Xprivacy 这个应用我不了解,它能把真实的 IMEI 修改掉,那还能还原回来吗。如果能还原回来,说明并没有真实的修改,只是对接口做了欺骗,这应该是要求手机是 root 状态的。既然手机 root 了,那微信也可以通过 root 继续获取真实的信息
    feicien
        64
    feicien  
       2015-12-09 20:22:09 +08:00
    @honeycomb
    你可以到 Google Play 上看一下,国外的通讯、社交应用,都会要求这个权限的
    nvidiaAMD980X
        65
    nvidiaAMD980X  
       2015-12-09 20:36:59 +08:00 via Android
    快点去向 Google 举报!我就不信,没有了微信,生活就不能继续了。没了微信,还有 Whatsapp 、 BBM …………非得跪舔渣腾?支付宝就是它的前车之鉴。
    honeycomb
        66
    honeycomb  
    OP
       2015-12-09 20:43:00 +08:00
    @feicien

    ------它能把真实的 IMEI 修改掉
    当然不可能,它又没能力改 EFS 分区

    ------只是对接口做了欺骗
    是的

    ------这应该是要求手机是 root 状态的
    不是,运行 Xposed 本身不需要 root

    ------既然手机 root 了
    虽然多数运行 Xposed 的手机同时也 root 了
    但是目前提供解锁 bootloader 接口的手机上, Xposed 并不需要 root 就可以安装使用

    ------那微信也可以通过 root 继续获取真实的信息
    微信从未试图调用过 superuser
    xposed 劫持的是 API 本身,因此是否通过 root 账户调用这个 API 并不会对劫持结果产生影响
    所以,只要用户不想让微信获得真实信息,用户就可以做到(当然装 xposed/Xprivacy 不是非常简单)


    ------你换手机,也不会要求验证吗?
    换手机当然会,不给 IMEI 的情况下,卸载微信,并清空它生成的文件后,重装,也会要求验证

    ------或者绑定银行卡,或者转几毛钱,也不会验证吗?
    这件事情我倒是没法验证,因为从未在微信上绑定过银行卡,但相比也是类似的的

    ------你可以到 Google Play 上看一下,国外的通讯、社交应用,都会要求这个权限的
    大部分的此类应用:
    1 ,主动地没有要求这个权限
    2 ,凡是要求这个权限的,都是可以不许可,且不影响应用运行的
    我只知道一个反例,是 Amaze(一个文件管理应用),它明确要求 IMEI 来防止重复试用增值功能
    当然, Amaze 这样的做法自然还是错误的
    honeycomb
        67
    honeycomb  
    OP
       2015-12-09 20:48:09 +08:00
    @nvidiaAMD980X
    Whatsapp 最近被吐槽限制所有带 telegram 字样的链接

    一般在 Whatsapp 里给对方发一个 URL 后
    对方可以直接点击这个 URL 打开浏览器进入页面(或调用事前指定的应用)
    但这个 URL 出现"telegram"字样后,就会被当文本对待

    有人反编译后,发现 Whatsapp 把 telegram 打上了"BadHost"的字样
    具体见:
    http://www.androidpolice.com/2015/12/01/whatsapp-is-blocking-telegram-links-in-the-android-app/

    也是作恶
    不知道是谁的主意(是来自 facebook 的还是来自 whatsapp 原有人马的?)
    youdu
        68
    youdu  
       2015-12-09 20:53:58 +08:00
    嗯,对。
    nvidiaAMD980X
        69
    nvidiaAMD980X  
       2015-12-09 20:55:18 +08:00 via Android
    @honeycomb 看来都是要逼人换 BBM 的节奏啊!有哪位大神知道在 Android 系统上安装虚拟机的可行性?现在双 Google 账户也没辙了……………
    la0wei
        70
    la0wei  
       2015-12-09 20:58:20 +08:00
    今天入了红米 note3 的坑,安装完软件,还特意一个一个的修改权限。装了几个以后发现,咦,没看到有 imei 相关的权限,装了个 lbe 一看,全特么放行了
    Lucups
        71
    Lucups  
       2015-12-09 21:36:37 +08:00
    你在别人的地盘玩,又不想遵守人家的游戏规则,你可以不玩嘛。
    honeycomb
        72
    honeycomb  
    OP
       2015-12-09 23:46:44 +08:00 via Android   ❤️ 1
    @Lucups 是微信在用户的地盘玩,当然要遵守用户的规矩,最不济用户能迫使它做不到不守规矩。另一方面它应该遵守大多数人认可的规矩。

    因为要 imei 这件事情从一开始连想都不可以想,哦不,我们不能监控思想,总之是不能做的。

    结果呢:现在支付宝已经被逼回去了一步
    honeycomb
        73
    honeycomb  
    OP
       2015-12-09 23:47:13 +08:00 via Android   ❤️ 1
    @nvidiaAMD980X xprivacy ?
    nvidiaAMD980X
        74
    nvidiaAMD980X  
       2015-12-10 00:00:07 +08:00 via Android
    @honeycomb 谢谢大神,我回去研究研究
    mxalbert1996
        75
    mxalbert1996  
       2015-12-10 00:00:39 +08:00
    @feicien 你也知道是模拟器对吧,不信你可以做做我上面说的那个实验
    mxalbert1996
        76
    mxalbert1996  
       2015-12-10 00:02:32 +08:00
    @honeycomb 我能理解你愤怒的心情,但你回的好像跟我说的没什么关系
    nvidiaAMD980X
        77
    nvidiaAMD980X  
       2015-12-10 00:41:34 +08:00 via Android
    @Lucups 以安全为名,实则设置贸易壁垒,各种垄断平衡,违反 WTO 规则,不知道是哪国的作风啊……………
    yangff
        78
    yangff  
       2015-12-10 00:56:37 +08:00
    @feicien 别闹,微信用各种手段防止自己在虚拟机里运行
    loveminds
        79
    loveminds  
       2015-12-10 02:51:30 +08:00
    @honeycomb 6595 可以改, 67xx 以后的就没法改了
    loveminds
        80
    loveminds  
       2015-12-10 02:57:40 +08:00
    @yrom 没有 IMEI/MEID 的安卓设备多了去了,例如所有的电视 /电视盒子,投影机以及大半的安卓平板
    hqs123
        81
    hqs123  
       2015-12-10 08:00:59 +08:00
    微信和支付宝都是互抄的...
    aivier
        82
    aivier  
       2015-12-10 08:58:06 +08:00
    I Don't Care.

    收集 IMEI 又怎样呢?我更希望他们根据我的喜好给我推送广告
    Lucups
        83
    Lucups  
       2015-12-10 09:04:09 +08:00
    @honeycomb 你这个观点不错,我 服输。
    Lucups
        84
    Lucups  
       2015-12-10 09:04:39 +08:00
    @honeycomb 感谢已发送
    honeycomb
        85
    honeycomb  
    OP
       2015-12-10 09:16:00 +08:00
    @aivier

    每个人有自己的想法,但是微信需要在整体上尊重用户数据安全,其中的一个标准
    少拿数据,拿额外的数据要经过用户许可,不拿不可以拿的数据。

    用 IMEI 跟踪用户的代价比较大。


    @Lucups

    关于店大欺客,不是有一个 HDMI 接口的么
    使用 HDMI 接口的,必须在这套系统里内置 HDMI 标准的加密逻辑,以防止盗版
    这样的做法便在一定程度上控制用户的设备,让非授权拷贝变得更困难

    Chrome 里面有一个 DRM 插件,也起到类似的作用(有关国际标准里有这样的加密组件,是 HTTP/2 还是别的不清楚)

    Mozilla 不情愿地也加入了 DRM 插件,然后发布了一个 EME-free Firefox ,这个版本没有上述 DRM 插件,可能无法在 Netflix 看视频

    Apple Music/Play Music/Spotify/netflix 的订阅音乐 /影视都是使用 DRM 的
    单独购买的音乐则是 DRM-free 的

    这也算达成了一种平衡
    毕竟从前 DVD/蓝光(HD-DVD)的加密机制都被解决了,版权方意识到不可能无限使用 DRM
    BROWNURSIDAE
        86
    BROWNURSIDAE  
       2015-12-10 09:49:08 +08:00
    @lshero 机型可以随便改啊。。。
    ybjaychou
        87
    ybjaychou  
       2015-12-10 09:54:00 +08:00
    支付宝真是越来越无耻了,更新之后不给位置和通讯录权限就不能支付,扫码的时候摄像头打不开。。。
    lshero
        88
    lshero  
       2015-12-10 10:12:25 +08:00
    @BROWNURSIDAE 模拟器 IMEI 机型 MAC 本身就可以随便改可是那些人就是侮辱人的智商不改啊
    zhjits
        89
    zhjits  
       2015-12-11 19:53:55 +08:00
    @honeycomb

    “可以尝试使用 Xprivacy ,把所有可能的串号都设置成随机的伪造值
    微信并不会因此而每次启动都要求验证的”

    哈哈哈哈你试过吗?如果让微信获取到随机的串号,它每次重启都会要求输入密码然后过身份验证;而选头像验证一天只有一次机会,也就是说,如果一个人一天重启了两次手机,他就会被强制使用短信验证码进行身份验证。

    可是抱歉,微信的短信验证码我从来没成功接收过。不知道什么原因。
    honeycomb
        90
    honeycomb  
    OP
       2015-12-11 21:36:18 +08:00
    @zhjits 我未曾遇到过这种情况,只有钛备份转移到重装过的同一个手机时才会发生
    zhjits
        91
    zhjits  
       2015-12-11 23:15:26 +08:00
    @honeycomb 你可以作死试试把 Xprivacy 的随机打开,然后重启一下
    honeycomb
        92
    honeycomb  
    OP
       2015-12-13 09:02:46 +08:00
    @zhjits 我升到 6.0 以前一直在这么用
    zhjits
        93
    zhjits  
       2015-12-13 09:13:17 +08:00
    @honeycomb 至少我现在这个 6.3.8 是不行的
    honeycomb
        94
    honeycomb  
    OP
       2015-12-13 09:14:37 +08:00
    还是赞!如果是这样我可能比较愿意输短信吧
    hnmsky
        95
    hnmsky  
       2016-02-09 09:09:49 +08:00 via Android
    @honeycomb 我记得在平板上是用 M A C 地址来加密
    honeycomb
        96
    honeycomb  
    OP
       2016-02-09 20:28:23 +08:00
    @hnmsky 是的。
    从 android6 开始,不允许使用本机的 MAC 了
    woyaojizhu8
        97
    woyaojizhu8  
       2016-09-18 16:31:38 +08:00
    改 efs 分区,可以改 imei ? imei 不是硬件决定的吗?
    woyaojizhu8
        98
    woyaojizhu8  
       2016-09-18 16:32:57 +08:00
    @honeycomb 我也不愿意加入绑银行卡才能加的群,但很多时候工作需要,别无选择
    woyaojizhu8
        99
    woyaojizhu8  
       2016-09-18 17:19:32 +08:00
    @honeycomb 微信强制绑银行卡,实际上是借国家要求实名制的名来强推微信支付。要实名认证有很多手段,不一定要绑银行卡,但微信就是强迫用户绑银行卡。

    @paradoxs 安装完 ios 的贴吧客户端就自动登百度帐号了?这是什么黑科技?
    @skylancer 就算是使用 xprivacy 的那一小部分安卓玩家里,也有很多人不知道 /proc 可以读 mac ,比如说我。所以用户是玩不过开发商的,毕竟技术实力相差太悬殊。
    @nvidiaAMD980X 向 google 举报微信也没有,就算下架了微信,那也是从 google play 下架,对绝大多数中国人无影响,这样还是会因为很多人用微信而被迫用微信。
    虚拟机不太可能,现在安卓上虚拟机软件只有类似 qemu 那样软件模拟的,效率很低的。只能看看多用户功能、 knox 、平行空间、 island 等。
    woyaojizhu8
        100
    woyaojizhu8  
       2016-09-18 17:23:57 +08:00
    @honeycomb “从 android6 开始,不允许使用本机的 MAC 了”是什么意思?是指应用无法读取 mac 吗?可是根据上面 @skylancer 的说法,读取 /proc 就可以读 mac 啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1131 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:47 · PVG 02:47 · LAX 10:47 · JFK 13:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.