oaid_sdk_1.0.25.aar
lib.5plus.base-release.aar
uniapp-v8-release.aar
这三个包,都有一些乱七八糟的权限和操作,在安全扫描时,好像在执行广告、写文件、收集个人信息和应用列表,太可怕了。请问有没有干净的离线sdk。
- 发布:2023-11-24 11:50
- 更新:2023-12-15 11:55
- 阅读:358
别用好像这种词。
oaid不是我们的sdk,是政府的。
其他2个都是api库,plus和uni的api,当你要调用广告api、写文件api,自然就要执行相关代码。
那都是你自主的行为。DCloud的sdk不收集隐私信息。
你看下SDK的版本 隐私合规问题一定要用最新版本,老版本的SDK里涉及的三方SDK都是老版本,可能没适配最新隐私合规问题。
-
回复 aak12345: 找检测方要下java的调用堆栈 ,看回复说“基本上一秒一次” 这个需要看下java堆栈 排查到底怎么回事
2023-12-15 16:21
-
aak12345 (作者)
回复 DCloud_Android_ST: android.telephony.TelephonyManager.getSimOperatorNumericForPhone(TelephonyManager.java:3379)
android.telephony.TelephonyManager.getSimOperatorNumeric(TelephonyManager.java:3365)
android.telephony.TelephonyManager.getSimOperatorNumeric(TelephonyManager.java:3348)
android.telephony.TelephonyManager.getSimOperator(TelephonyManager.java:3305)
io.dcloud.common.adapter.util.DeviceInfo.initGsmCdmaCell(Unknown Source:10)
io.dcloud.g.b.a(Unknown Source:24)
io.dcloud.g.b.a(Unknown Source:2)
io.dcloud.g.b.processEvent(Unknown Source:34)
io.dcloud.e.c.c.dispatchEvent(Unknown Source:7)
io.dcloud.common.core.ui.l.processEvent(Unknown Source:2)
io.dcloud.common.core.ui.b.obtainPrePlusreadyJs(Unknown Source:2)
io.dcloud.common.adapter.ui.webview.WebLoadEvent.reset(Unknown Source:1)
io.dcloud.common.adapter.ui.webview.WebLoadEvent.<init>(Unknown Source:26)
io.dcloud.common.adapter.ui.webview.SysWebView.init(Unknown Source:62)
io.dcloud.common.adapter.ui.AdaWebview.init(Unknown Source:2)
io.dcloud.common.core.ui.l.a(Unknown Source:307)
io.dcloud.common.core.ui.l.processEvent(Unknown Source:78)
io.dcloud.common.core.ui.l.a(Unknown Source:92)
io.dcloud.common.core.ui.l.processEvent(Unknown Source:56)
io.dcloud.e.c.c.dispatchEvent(Unknown Source:5)
io.dcloud.e.b.a.processEvent(Unknown Source:2)
io.dcloud.e.b.e.a(Unknown Source:416)
io.dcloud.e.b.e.f(Unknown Source:14)
io.dcloud.e.b.a.a(Unknown Source:51)
io.dcloud.e.b.a.a(Unknown Source:3)
io.dcloud.e.b.a$h.onCallBack(Unknown Source:3)
io.dcloud.e.b.e.a(Unknown Source:383)
io.dcloud.e.b.a.a(Unknown Source:46)
io.dcloud.e.b.a.processEvent(Unknown Source:186)
io.dcloud.e.c.c.dispatchEvent(Unknown Source:11)
io.dcloud.e.c.c.a(Unknown Source:80)
io.dcloud.e.c.c.a(Unknown Source:63)
io.dcloud.e.c.c$b.onExecuteEnd(Unknown Source:1)
io.dcloud.common.adapter.util.AsyncTaskHandler$1$1.run(Unknown Source:1)
android.os.Handler.handleCallback(Handler.java:883)
android.os.Handler.dispatchMessage(Handler.java:100)
android.os.Looper.loop(Looper.java:214)
android.app.ActivityThread.main(ActivityThread.java:7707)
java.lang.reflect.Method.invoke(Native Method)
com.android.internal.os.RuntimeInit$MethodAndArgsCaller.run(RuntimeInit.java:492)
com.android.internal.os.ZygoteInit.main(ZygoteInit.java:930)2023-12-21 15:21
-
aak12345 (作者)
回复 DCloud_Android_ST: 从逻辑来看,用户创建一个页面,和当前的网络状态没什么关联,那sdk在这里执行这个操作,就给人一种奇怪的感觉,太敏感了。这sdk可怕的地方,就是会在一些好基本的操作上面,去执行一些莫名其妙的操作。
2023-12-21 15:49
-
回复 DCloud_Android_ST: 网络状态其实是为了plus.networkinfo服务,获取网络状态wifi、5G、4G,不过按目前隐私合规确实是不应该默认执行这个我们会进行优化下
2023-12-21 16:44
-
aak12345 (作者)
回复 DCloud_Android_ST: sdk里面应该还有好多类似的操作,就像刚才说的,用户本意是打开页面,结果sdk底层还自己执行了一些其他无关的操作。其实,我觉得如果能把【所有这些无关操作】从sdk里面去掉,uni会是一个好用的框架。加上sdk的包里面还声明了一些权限,就sdk来说,不应该把权限声明到sdk里面。因为用户集成sdk时,可能没用到某个权限的功能,但是还是被sdk莫名其妙加上去了。如果sdk功能需要使用到的权限,可以搞个声明文档说明,不过正常应该是可以在app的模块里面声明。
2023-12-21 16:55
-
回复 aak12345: 看出来你挺抵触获取信息,不过我们获取信息都是给开发者服务API提供的。我们不会有任何上传存储操作,也不屑这样去做。 隐私合规 uni-app(5+、web2app)会获取网络信息这个明确说明了 https://ask.dcloud.net.cn/article/39484
2023-12-21 17:08
-
回复 DCloud_Android_ST: 你发的堆栈应该应用启动只会触发一次,你说一秒一次这事还是没有确认,最好把一秒一次这种堆栈日志都发出来我们确认下怎么个事
2023-12-21 17:12
-
aak12345 (作者)
回复 DCloud_Android_ST: 也不是抵制,只是集成了uni sdk应用安全扫描过不了。换框架也麻烦。其实我也知道你们没有上传,只不过安全扫描出来了,说有采集,这就变得有点敏感了。所以我的要求比较简单的,就是我调用了api,你们才去采集。没调api,就不要采集,这样子能过安全扫描就行了。
2023-12-21 17:13
-
回复 aak12345: 访问文件权限这事都是检测平台说了算,具体什么行为不清楚。你提供下java堆栈 是我们的就会立即调整,不是就没办法了
2023-12-21 17:19
-
aak12345 (作者)
回复 DCloud_Android_ST: 只要是,我看了sdk,确实是有访问文件的权限。并且,相关的app的页面等文件,也是解压到了sd卡里面的android目录下面,这个目录应该是不用权限的。为什么sdk里面声明了访问文件权限。
2023-12-22 09:10
-
回复 aak12345: SDK内置非常多功能,参考plus的API,所以也会配置相应的权限,权限是可以配置去掉 参考文档https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html#removepermissions
2023-12-23 12:11
-
aak12345 (作者)
回复 DCloud_Android_ST: 嗯。权限是可以去掉的,最好就是把sdk里面内置的一些操作去掉,还是回到之前说的,打开页面就是打开页面,不要做其他不相关的操作。
2023-12-25 10:29
aak12345 (作者)
请问,如果没有调用plus,能不能不添加lib.5plus.base-release.aar?
2023-11-24 20:08
DCloud_heavensoft
不能,因为uni框架使用了plus.webview。你遇到啥问题了?可以试下uni安全加固和隐私检测来解决
2023-11-24 22:48
aak12345 (作者)
回复 DCloud_heavensoft: 我这边的商家安全扫描,扫描到了app在后台有获取android id等敏感操作,还频繁,基本上一秒一次
2023-12-14 10:22
DCloud_heavensoft
回复 aak12345: 那肯定不是DCloud的sdk,是不是推送之类的sdk?
2023-12-15 06:55
aak12345 (作者)
回复 DCloud_heavensoft: 不是,我的lib里面就只有lib.5plus.base-release.aar、uniapp-v8-release.aar,相关的权限是去掉了,但是他里面的操作,我去不掉,还是有一些敏感的操作。
2023-12-15 12:00
DCloud_heavensoft
回复 aak12345: 什么安全扫描?有没有详细的报告让我们分析下
2023-12-16 18:38
aak12345 (作者)
回复 DCloud_heavensoft: 这个报告是公司的,不方便呢
2023-12-21 15:22