問題は解決されました。エクスプロイトはクローズされました。
Androidのプレビューバージョンにログインしているため、このバグをクローズします。問題が最新の公開リリース(Android Q)で依然として関連性があり再現可能な場合は、バグレポートをキャプチャして、https: //source.android.com/setup/contribute/report-bugsにバグを記録してください。14日以内に返信がない場合、この問題は解決されます。ご理解のほどよろしくお願いいたします。
最新の更新:
これはバグであり、Googleは次のアップデートで対処する予定です。
この問題は、将来のリリースでの検討のために延期しました。Androidを改善する時間をいただきありがとうございます
この回答はアイデアの集まりになり、コメントにディスカッションの情報が含まれるように編集されました。
androidmarket
APIは、カスタマイズされただろうAPI開発者によって書かれました。一般には公開されていません。
コメントであなたの懸念に対処するため。開発者は、Android開発者とGoogleを通じて利用可能な現在のAPIを利用して、これらすべてを管理するプロジェクトを作成しました。
アクセスについては Full Account Access
、これらの開発者がどのようにしてこれを達成したのか正確にはわかりません。
android.accountsの一部であるAccountManagerを使用して、資格情報とgetUserDataメソッドにアクセスできるようにすることをお勧めします。アカウントマネージャーはパスワードにアクセスでき、アカウントを作成および削除できます。これは、コンテンツプロバイダーで使用される可能性があります
Udinic / SyncAdapter Authenticationを参照してください。
コメントに返信するには:
このブログは、始めるのに役立つはずです。 独自のAndroid認証システムを作成します。
これらのアプリが実際にどのように機能するか、私には言えません。また、実装が異なる場合もあります(舞台裏での共同作業でない限り、間違いなく異なります)。
1つの推測。まず、com.google.android.gms.auth.api.signinでGoogleSignInAccountを 使用します。
アプリに付与される権限の範囲を決定するためのスコープの定義があります。
requestScopes()を使用する と、
public static final String PROFILE
... / Webアプリから無線のAndroidアプリインストールにアクセスできます。
以下の場合の例:
GoogleSignInOptions gso =
new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN)
.requestEmail().
.requestScopes(new Scope("https://www.googleapis.com/auth/contacts.readonly"))
.build();
フルアクセスを取得できる場合は、アカウント所有者が使用するすべてのアプリのリストを見つけて、デバイス上のものと比較できます。
パッケージマネージャーは、デバイスに現在インストールされているすべてのアプリのリストを取得します。
PackageInfoはアプリに関する詳細を提供します。
INSTALL_REASON_USERは、ユーザーがアクティブにインストールしたアプリも除外します。
com.google.firebase.appindexingおよびLog User Actionsを確認することをお勧めします。さまざまなアクションを追跡できます。
ユーザーアカウントの履歴はhttps://myactivity.google.com/myactivityにあります。
役立つリンクはOAuth 2.0 Playgroundです。
nodeを使用するこのgithub repo node-google-playは最新であり、Google Play APIを呼び出します。「非公式な」API android-market-apiとして使用されたアーカイブをマーケットプレイスにクエリしたように。
アプリ1
アプリは主張し、次のアクセス許可を使用します:
バージョン2.1.8は以下にアクセスできます:
$アプリ内購入
その他の
- インターネットからデータを受信する
- ネットワーク接続を表示する
- 完全なネットワークアクセス
- デバイスでアカウントを使用する
- デバイスがスリープしないようにする
- Googleサービスの設定を読む
注目に値するのは、基本的なインストールがあったときに、アプリが権限を設定しないことです。有料アプリがないため、どの機能も使用できませんでした。つまり、最初の検索では、必要な権限はありませんでした。これは、アプリが私のアカウントにアクセスできないことを示しています。
権限を確認したところ、何も設定されていませんでした。したがって、必要なのは、質問に表示されているポップアップを受け入れることだけでした。
アプリ2
同じことをするあなたが参照する他のアプリは、アクセスされているものについてより前向きです。
有料アプリ
セキュリティ/プライバシーに関する通知
このアプリを初めて実行すると、Googleアカウントへの完全な許可が求められます。残念ながら、これが必要な情報にアクセスする唯一の方法です。個人情報が保存されたり、アプリに関する情報がこのアプリの開発者と共有されたり、第三者と共有されたりすることはありません。すべてが携帯電話にのみ保存されます。
このブログ投稿では、これらのアプリについて詳しく説明しました。これは、大学の頂点プロジェクト(金銭的利益なし)のためのものでした。開発者自身のアプリ以外のアプリの購入を取得するAPI呼び出しがないため、これはAPIの悪用であり、Googleの設計によるステータスではないと思います。私はそれがゼロデイの悪用であると仮定します。その場合、この情報にアクセスする正当な方法はありません。