aak12345
aak12345
  • 发布:2023-11-24 11:50
  • 更新:2023-12-15 11:55
  • 阅读:365

离线sdk中有依赖包在底层挖矿?

分类:uni-app

oaid_sdk_1.0.25.aar
lib.5plus.base-release.aar
uniapp-v8-release.aar
这三个包,都有一些乱七八糟的权限和操作,在安全扫描时,好像在执行广告、写文件、收集个人信息和应用列表,太可怕了。请问有没有干净的离线sdk。

2023-11-24 11:50 负责人:无 分享
已邀请:
DCloud_heavensoft

DCloud_heavensoft

别用好像这种词。
oaid不是我们的sdk,是政府的。
其他2个都是api库,plus和uni的api,当你要调用广告api、写文件api,自然就要执行相关代码。
那都是你自主的行为。DCloud的sdk不收集隐私信息。

  • aak12345 (作者)

    请问,如果没有调用plus,能不能不添加lib.5plus.base-release.aar?

    2023-11-24 20:08

  • DCloud_heavensoft

    不能,因为uni框架使用了plus.webview。你遇到啥问题了?可以试下uni安全加固和隐私检测来解决

    2023-11-24 22:48

  • aak12345 (作者)

    回复 DCloud_heavensoft: 我这边的商家安全扫描,扫描到了app在后台有获取android id等敏感操作,还频繁,基本上一秒一次

    2023-12-14 10:22

  • DCloud_heavensoft

    回复 aak12345: 那肯定不是DCloud的sdk,是不是推送之类的sdk?

    2023-12-15 06:55

  • aak12345 (作者)

    回复 DCloud_heavensoft: 不是,我的lib里面就只有lib.5plus.base-release.aar、uniapp-v8-release.aar,相关的权限是去掉了,但是他里面的操作,我去不掉,还是有一些敏感的操作。

    2023-12-15 12:00

  • DCloud_heavensoft

    回复 aak12345: 什么安全扫描?有没有详细的报告让我们分析下

    2023-12-16 18:38

  • aak12345 (作者)

    回复 DCloud_heavensoft: 这个报告是公司的,不方便呢

    2023-12-21 15:22

DCloud_Android_ST

DCloud_Android_ST

你看下SDK的版本 隐私合规问题一定要用最新版本,老版本的SDK里涉及的三方SDK都是老版本,可能没适配最新隐私合规问题。

  • aak12345 (作者)

    Android-SDK@3.95.81954_20231030

    2023-12-15 12:01

  • DCloud_Android_ST

    回复 aak12345: 找检测方要下java的调用堆栈 ,看回复说“基本上一秒一次” 这个需要看下java堆栈 排查到底怎么回事

    2023-12-15 16:21

  • aak12345 (作者)

    回复 DCloud_Android_ST: android.telephony.TelephonyManager.getSimOperatorNumericForPhone(TelephonyManager.java:3379)

    android.telephony.TelephonyManager.getSimOperatorNumeric(TelephonyManager.java:3365)

    android.telephony.TelephonyManager.getSimOperatorNumeric(TelephonyManager.java:3348)

    android.telephony.TelephonyManager.getSimOperator(TelephonyManager.java:3305)

    io.dcloud.common.adapter.util.DeviceInfo.initGsmCdmaCell(Unknown Source:10)

    io.dcloud.g.b.a(Unknown Source:24)

    io.dcloud.g.b.a(Unknown Source:2)

    io.dcloud.g.b.processEvent(Unknown Source:34)

    io.dcloud.e.c.c.dispatchEvent(Unknown Source:7)

    io.dcloud.common.core.ui.l.processEvent(Unknown Source:2)

    io.dcloud.common.core.ui.b.obtainPrePlusreadyJs(Unknown Source:2)

    io.dcloud.common.adapter.ui.webview.WebLoadEvent.reset(Unknown Source:1)

    io.dcloud.common.adapter.ui.webview.WebLoadEvent.<init>(Unknown Source:26)

    io.dcloud.common.adapter.ui.webview.SysWebView.init(Unknown Source:62)

    io.dcloud.common.adapter.ui.AdaWebview.init(Unknown Source:2)

    io.dcloud.common.core.ui.l.a(Unknown Source:307)

    io.dcloud.common.core.ui.l.processEvent(Unknown Source:78)

    io.dcloud.common.core.ui.l.a(Unknown Source:92)

    io.dcloud.common.core.ui.l.processEvent(Unknown Source:56)

    io.dcloud.e.c.c.dispatchEvent(Unknown Source:5)

    io.dcloud.e.b.a.processEvent(Unknown Source:2)

    io.dcloud.e.b.e.a(Unknown Source:416)

    io.dcloud.e.b.e.f(Unknown Source:14)

    io.dcloud.e.b.a.a(Unknown Source:51)

    io.dcloud.e.b.a.a(Unknown Source:3)

    io.dcloud.e.b.a$h.onCallBack(Unknown Source:3)

    io.dcloud.e.b.e.a(Unknown Source:383)

    io.dcloud.e.b.a.a(Unknown Source:46)

    io.dcloud.e.b.a.processEvent(Unknown Source:186)

    io.dcloud.e.c.c.dispatchEvent(Unknown Source:11)

    io.dcloud.e.c.c.a(Unknown Source:80)

    io.dcloud.e.c.c.a(Unknown Source:63)

    io.dcloud.e.c.c$b.onExecuteEnd(Unknown Source:1)

    io.dcloud.common.adapter.util.AsyncTaskHandler$1$1.run(Unknown Source:1)

    android.os.Handler.handleCallback(Handler.java:883)

    android.os.Handler.dispatchMessage(Handler.java:100)

    android.os.Looper.loop(Looper.java:214)

    android.app.ActivityThread.main(ActivityThread.java:7707)

    java.lang.reflect.Method.invoke(Native Method)

    com.android.internal.os.RuntimeInit$MethodAndArgsCaller.run(RuntimeInit.java:492)

    com.android.internal.os.ZygoteInit.main(ZygoteInit.java:930)

    2023-12-21 15:21

  • DCloud_Android_ST

    回复 aak12345: 这是获取网络状态 每创建一个页面都会执行一次 但不会持续执行这个获取行为

    2023-12-21 15:33

  • aak12345 (作者)

    回复 DCloud_Android_ST: 为什么每创建一个页面都要执行一次?

    2023-12-21 15:37

  • aak12345 (作者)

    回复 DCloud_Android_ST: 从逻辑来看,用户创建一个页面,和当前的网络状态没什么关联,那sdk在这里执行这个操作,就给人一种奇怪的感觉,太敏感了。这sdk可怕的地方,就是会在一些好基本的操作上面,去执行一些莫名其妙的操作。

    2023-12-21 15:49

  • DCloud_Android_ST

    回复 aak12345: 我的描述有些问题,网络状态缓存 实际上调用系统API获取状态只有一次,并且是隐私条款同意后才会获取

    2023-12-21 16:35

  • DCloud_Android_ST

    回复 DCloud_Android_ST: 网络状态其实是为了plus.networkinfo服务,获取网络状态wifi、5G、4G,不过按目前隐私合规确实是不应该默认执行这个我们会进行优化下

    2023-12-21 16:44

  • aak12345 (作者)

    回复 DCloud_Android_ST: sdk里面应该还有好多类似的操作,就像刚才说的,用户本意是打开页面,结果sdk底层还自己执行了一些其他无关的操作。其实,我觉得如果能把【所有这些无关操作】从sdk里面去掉,uni会是一个好用的框架。加上sdk的包里面还声明了一些权限,就sdk来说,不应该把权限声明到sdk里面。因为用户集成sdk时,可能没用到某个权限的功能,但是还是被sdk莫名其妙加上去了。如果sdk功能需要使用到的权限,可以搞个声明文档说明,不过正常应该是可以在app的模块里面声明。

    2023-12-21 16:55

  • DCloud_Android_ST

    回复 aak12345: 看出来你挺抵触获取信息,不过我们获取信息都是给开发者服务API提供的。我们不会有任何上传存储操作,也不屑这样去做。 隐私合规 uni-app(5+、web2app)会获取网络信息这个明确说明了 https://ask.dcloud.net.cn/article/39484

    2023-12-21 17:08

  • DCloud_Android_ST

    回复 DCloud_Android_ST: 合规问题 会根据现状不停调整的,放心用吧 不会干什么挖矿。

    2023-12-21 17:10

  • DCloud_Android_ST

    回复 DCloud_Android_ST: 你发的堆栈应该应用启动只会触发一次,你说一秒一次这事还是没有确认,最好把一秒一次这种堆栈日志都发出来我们确认下怎么个事

    2023-12-21 17:12

  • aak12345 (作者)

    回复 DCloud_Android_ST: 也不是抵制,只是集成了uni sdk应用安全扫描过不了。换框架也麻烦。其实我也知道你们没有上传,只不过安全扫描出来了,说有采集,这就变得有点敏感了。所以我的要求比较简单的,就是我调用了api,你们才去采集。没调api,就不要采集,这样子能过安全扫描就行了。

    2023-12-21 17:13

  • aak12345 (作者)

    回复 DCloud_Android_ST: 你发的链接,我看了,我的应用没有访问文件的功能,但是扫描出了访问文件权限,现在也是解释不通。

    2023-12-21 17:16

  • DCloud_Android_ST

    回复 aak12345: 访问文件权限这事都是检测平台说了算,具体什么行为不清楚。你提供下java堆栈 是我们的就会立即调整,不是就没办法了

    2023-12-21 17:19

  • aak12345 (作者)

    回复 DCloud_Android_ST: 只要是,我看了sdk,确实是有访问文件的权限。并且,相关的app的页面等文件,也是解压到了sd卡里面的android目录下面,这个目录应该是不用权限的。为什么sdk里面声明了访问文件权限。

    2023-12-22 09:10

  • DCloud_Android_ST

    回复 aak12345: SDK内置非常多功能,参考plus的API,所以也会配置相应的权限,权限是可以配置去掉 参考文档https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html#removepermissions

    2023-12-23 12:11

  • aak12345 (作者)

    回复 DCloud_Android_ST: 嗯。权限是可以去掉的,最好就是把sdk里面内置的一些操作去掉,还是回到之前说的,打开页面就是打开页面,不要做其他不相关的操作。

    2023-12-25 10:29

要回复问题请先登录注册