我这几天刷到了 /t/1060528 里面明确说明没有授予 弹窗权限/通知权限
我在下方回复
我在你上一个帖子 /t/1060321 里回复 《 xiaomi Android 14 没复现,能说一下具体的复现步骤吗?》 但是你没有回复,能在此具体回复一下吗?或者看到这条评论的老哥也能回复教教我怎么复现吗?
但是 op 并没有回复我两条消息中的任意一条,呃看来是懒得回复我了
本着实事求是的原则,看来我只能自己去控制变量去调查
设备型号:Xiaomi HyperOS Android 14 - Redmi K50 Ultra
应用宝: 8.7.5 从官网 https://sj.qq.com/ 下载
MD5:7BADF82404F0D4C456FBE338EDF60912
安装后,先将 通知权限,后台弹出界面,显示悬浮窗 这三样权限关闭,之后依次打开,然后卸载其他应用,看看是否有弹窗
先给出一个截图,证明我已经关闭了这三样权限
接下来我们打开 应用宝,然后直接回到桌面
注意此处并没有划掉应用宝的任务卡片,应用宝还在运行,只不过变成了不可见状态,接下来在桌面卸载应用,然后看看有没有所谓的弹窗
结果是并没有复现
接下来仅打开 后台弹出界面
权限
为避免权限缓存不一致,我们重启应用宝后,重复刚才的检查流程
也是没有复现,接下来仅打开 显示悬浮窗
权限
重启应用宝后,重复刚才的检查流程
呃,还是没有复现,接下来仅打开 通知权限
权限,其他两项权限已关闭
重启应用宝后,重复刚才的检查流程
呃呃,都不用我卸载其他应用了,我返回桌面后里面就弹了
卸载应用也是一样弹
注意到通知管理里有一个 悬浮通知
,我们保留通知权限,但是关闭这个子功能权限看看
重启应用宝后,这次返回到桌面并没有出现弹窗,然后重复刚才的检查流程
也是没有出现弹窗
权限 | 通知权限(开启悬浮通知) | 通知权限(关闭悬浮通知) | 后台弹出界面 | 显示悬浮窗 |
---|---|---|---|---|
是否弹窗 | √ |
这个行为由通知权限里的 悬浮通知
控制,关闭此项权限即可
我之所以在上面展示我没复现的评论,是因为我有安装应用后都会关闭所有非必要权限的习惯
通知权限只有 微信/飞书 才会开启,其他应用的通知权限全是关闭的
当然如果你对上面的流程有任何疑问,也欢迎给出你的依据去质疑
1
icloudguizhou 108 天前
我的三星 s23u 美版也会弹窗
|
2
gentrydeng 108 天前 via Android
当初我记得有传闻说应用宝利用了跟拼多多一样的漏洞。
然后 Google Play 商店是将应用宝列为恶意应用阻止安装的。 我个人确实遇到过弹窗现象,但是没有仔细对照是否默认赋予了权限。 最后我选择卸载应用宝,安装酷安,因为酷安就是应用宝渠道。 |
3
vitar 108 天前 via Android
@gentrydeng 以前酷安也是有几个版本,被 Google 认定为恶意应用的,现在也主要做成了一个”小绿书”,应用商店的功能估计什么时候就要直接放弃了
|
4
shinession 108 天前
1 加 8T, 安卓 13, 应用宝不记得版本了, 悬浮通知权限关闭也是会弹窗的, 研究了好久只能卸载了事
|
5
estk 108 天前 via iPhone
我确定关闭了应用宝所有权限,依然可以弹窗
我的解决办法不是卸载应用宝,而是换苹果手机 |
6
zhongjun96 108 天前
@gentrydeng #2 Play 商店本身就不允许上架应用商城类应用吧?
|
7
mtdhllf 108 天前
你陷入了一个误区,那弹的不是悬浮窗,那个功能叫画中画(我们俗称小窗)
|
8
cleanery 108 天前
猜测可能是卸载的时候通过 mipush 发送了通知
|
9
lisongeee OP @mtdhllf 我实际并不关心这个是不是悬浮窗,我只关心这个行为受哪个权限管控,起码在我的设备上明显是收到<悬浮通知> 管控
至于楼上说的那些可以弹窗的评论,尽管他们可能确信自己已经关闭了权限 但是在没有给出复现帖子向大伙证明之前,我更倾向于是他们自己不会操作 当然要验证这条评论也很简单,仿照我的流程复现一遍就行了 |
10
qianxu2001 108 天前
|
12
lisongeee OP @gentrydeng
《然后 Google Play 商店是将应用宝列为恶意应用阻止安装的。》 Google Play 还将开源的 gkd 误报为有害应用,https://github.com/orgs/gkd-kit/discussions/614 |
13
lisongeee OP @qianxu2001
> 建议下拉通知栏查看该通知是什么样的 文章里面已经说过了,这我的设备上,这个就是单纯的通知权限就可以完全管控 --- @stoluoyu > 没准它利用了多个渠道,哪个能弹出就用哪个 文章里面已经展示多个权限的弹窗情况并且给出了不同情况的结果 |
14
lisongeee OP 大伙能先好好看看文章再讨论吗,感觉做开源的时候也会遇到相似的 issue ,上来不细看文档直接开问的
|
15
Nile20 108 天前
请教一个问题,OP 你的图片是怎么上传到 github 的呀?我看都是 https://github.com/user-attachments/assets/ 开头的地址
|
16
lisongeee OP |
17
rlds 108 天前
通知权限我一个没给,他都能弹出“浮窗广告”, 系统 ColorOS 从安卓 11 用到安卓 14 都遇到过
|
20
1rv013c6aiWPGt24 108 天前 via Android
说个题外话,OP 这个是多屏协同?还是 wsa ?
|
22
lisongeee OP @GotKiCry
> 监听卸载 后台保活 "绕开权限管理" 没人关心, 很难相信这是技术社区 你这属于转牛角尖了,前面一大篇文章和结论不看就抓住这句,你也是个神人了 这篇文章的意思很明显是要证明应用宝这个行为在我的设备上是可以收到权限管控的,而不是利用漏洞的行为 |
25
mtdhllf 108 天前
@lisongeee #9 安卓机制如此,小窗功能(画中画)默认是打开的。原生安卓系统点击小窗会有个设置图标,点击后可以跳到设置单独关闭,只是国产系统把设置入口去掉了
|
26
huangqihong 108 天前
@estk 现在苹果手机的灵动岛也被玩坏了
|
27
TArysiyehua 107 天前 2
@lisongeee 你的测试已经说明了很多问题,只不过很多人不愿意相信罢了。就好比原贴 op ,其实就有很多人质疑他,光凭这个就认定它利用漏洞了? op 避重就轻不回复,后面就说让人搞一下它的代码分析一下。
讲真,什么都不知道,也没有任何分析,就在那里下定论。跟:“人家女孩子会拿自己的清白来污蔑你吗?”有异曲同工之效。 |
29
fdrag0n 107 天前
我这面是小米 14+Android14 ,复现的结果和楼主一样,在全关闭权限的办法下无法复现。
感谢楼主的对照实验,省去了我这面去挨个排查的麻烦,一开始看了原帖还以为有什么 0day 可以水一贴或者蹭个热点,后来发现只是夸大其词 不过这个思路有点骚,利用定制化的悬浮通知当弹窗用 |
30
cruii 107 天前
承认自己犯错是很难的啦
|
31
psklf 107 天前
楼主是认真的人,其他人感觉是在信口开河。
|
32
dabai091220 97 天前
应用宝没用过,但拼多多我确实遇到过。我也有安装完就关闭所有权限的习惯,所以我手机的通知一直挺干净。直到那天拼多多弹了个类似的悬浮窗出来,是真把我吓到了,感觉很恐怖......排查所有权限后还能复现,就赶紧卸载了。
|