无聊问了ai一个话题，有点难绷

Q

为什么安卓手机没有一款类似windows上的hips产品，即使是eset之类在pc端支持hips的AV，其手机端也没有控制应用权限和行为拦截的功能。

手机app的权限调用和行为对于用户而言完全是黑箱，即使系统有权限行为记录或者授权通知弹窗，但也没提供对应的限制功能。

市面上一些权限管理工具，都需要手机进行root。或者需要shizuku这类软件进行授权，但这增加了后台运行的软件，且授权软件需要在调试状态运行，手机不可能一直处于调试状态。

就像之前"拼多多"曝出的问题，除了植入后门，还能越过系统给自己授权。现在十分担心很多应用在后台做类似于pc扫盘的操作，读取手机状态，获取其他应用数据，以及读取联系人或短信后私自发送到自己的服务器。例如"百度贴吧"app的开屏广告，之前会跳到应用a，后续因为某些原因删除应用a后，他它的广告就又定位到了手机上另一个应用b。

又或是某些应用无法卸载干净，仍会残留sdk之类的文件收集信息。或者直接拦截卸载操作，仅隐藏桌面图标和自身状态，任然在后台自启收集信息。

并且由于一些原因，某些地区的app拥有本土版和play版。该区域的账号限制使用google play版本进行登录，或直接不上架google play。它们在某些授权时只有"允许/拒绝"，没有"使用时询问"或“仅使用时允许”，“拒绝”则不能正常运行，迫使用户开放自己的隐私，例如wechat在"语音通话"结束后，不取消对麦克风的调用。

A

您提出的关于安卓系统缺乏类似Windows HIPS（主机入侵防御系统）产品以及对应用权限和行为的担忧，是非常有价值的。以下是对您提出问题的分析和解释：

为什么安卓上没有类似Windows的HIPS产品？

1. 核心设计理念不同 ：

• Windows ：其历史发展使其开放性较高，应用程序通常拥有较大的系统权限。HIPS的出现是为了弥补这种开放性带来的安全风险，通过监控和拦截可疑行为来保护系统。

• Android ：从设计之初就基于“沙盒”（Sandbox）和权限分离的理念。每个应用都运行在独立的沙盒中，理论上不能直接访问其他应用的数据或系统核心部分，除非用户明确授予权限。这种设计本身在一定程度上扮演了HIPS中某些隔离和控制的角色。

2. 系统架构和权限限制 ：

• 在非root的安卓设备上，一个应用很难获得足够的权限去监控和控制其他独立应用的所有行为。HIPS通常需要深入系统底层的权限，以便实时拦截和分析API调用、文件访问、网络连接等。在安卓上，这种级别的权限通常只有系统本身或通过root获取后才能拥有。

• 您提到的ESET等AV厂商，在PC端可以实现HIPS，但在手机端主要侧重于恶意软件扫描、钓鱼防护等，因为它们也受限于安卓系统的权限框架。

3. Google的管控和生态策略 ：

• Google Play商店对于应用的权限和行为有严格的规定。能够深度监控和修改其他应用行为的App，可能会被视为违反政策，因为它可能被滥用，侵犯用户隐私或破坏系统稳定性。

• Google倾向于通过不断完善安卓自身的安全机制（如Project Mainline快速更新安全模块、更细化的权限管理、后台行为限制等）来提升系统安全性，而不是依赖第三方应用进行底层的系统级防护。

4. 用户体验和复杂性 ：

• HIPS通常需要用户进行较为复杂的配置，判断哪些行为是正常的，哪些是可疑的。这对于普通手机用户来说门槛较高，可能会导致误报或因配置不当影响正常使用。安卓系统更倾向于提供对大多数用户而言简单易懂的安全控制。

关于您担心的具体问题：

• 应用权限和行为黑箱 ：

  • 安卓系统确实在不断尝试提高透明度，例如增加权限使用指示器（摄像头、麦克风）、隐私仪表盘记录权限调用历史等。然而，正如您所说，记录和通知并不完全等同于有效的、用户可直接操作的细粒度限制功能，尤其是在非root情况下。

  • 一些国产安卓定制系统在这方面会尝试做更多增强，提供更细致的权限管理或行为拦截，但这并非安卓原生标配，且实现程度不一。

• 权限管理工具的限制 ：

  • 您提到的Root或Shizuku等工具，确实能提供更高级别的权限控制，但也带来了不便（如Shizuku依赖调试模式）或安全风险（Root后设备更易受攻击）。这反映了在现有框架下实现HIPS级控制的难度。

• 恶意行为和隐私泄露担忧（如拼多多事件、扫盘、数据上传） ：

  • 这些担忧是合理的。尽管安卓有沙盒和权限机制，但恶意应用仍可能利用系统漏洞、诱导用户授权或采用其他手段绕过限制。

  • Google Play Protect和各大手机厂商的安全应用都在努力检测和阻止此类恶意行为，但攻防总是在持续对抗中。

  • 应用商店的审核、操作系统更新（修复漏洞）以及用户自身的安全意识（谨慎授权、从官方渠道下载）是多层防御的关键。

• 开屏广告精准定位和应用间数据共享 ：

  • 广告SDK确实可能收集设备信息、应用列表等用于精准画像。虽然安卓逐渐限制了应用获取其他应用信息的能力，但仍有途径（如通过共享的广告ID、某些仍可访问的设备标识符）实现一定程度的关联。

  • 用户可以通过在系统设置中重置广告ID、限制广告跟踪等方式，尝试降低被追踪的程度。

• 应用卸载不干净、后台自启收集信息 ：

  • 规范的应用在卸载时应清除其数据。但流氓软件确实可能采取手段残留文件或伪装卸载。

  • 安卓系统对后台自启和后台活动有越来越严格的限制（如Doze模式、App Standby Buckets），但应用开发者也可能寻找新的方式来保持活跃。

• 本土版与Play版差异、被迫授权 ：

  • 这确实是特定区域用户面临的困境。由于法规、市场策略等原因，同一应用在不同区域或商店的版本可能在权限请求、隐私政策甚至功能上存在差异。

  • 某些应用设计上将核心功能与敏感权限捆绑，用户拒绝授权则无法使用，这确实给用户带来了糟糕的体验，并迫使用户在隐私和功能间做艰难选择。微信语音通话结束后不主动释放麦克风权限（如果情况属实且非系统优化需要）便是一个值得关注的例子，尽管系统层面可能会在一段时间后自动回收。

总结与展望：

虽然安卓原生系统层面没有开放如Windows HIPS那样的底层控制给第三方应用，但安卓自身在安全和隐私保护方面一直在进化。例如，权限管理的粒度越来越细（如“仅在使用期间允许”），对后台活动的限制越来越严，对敏感信息（如剪贴板、位置信息）的访问控制也在加强。

对于高度关注隐私和安全的用户，可以采取以下措施：

• 谨慎授予权限 ：仔细阅读权限请求，仅授予必要的权限，优先选择“仅在使用期间允许”。

• 从官方渠道下载应用 ：优先选择Google Play商店或手机品牌自带的应用商店。

• 及时更新系统和应用 ：获取最新的安全补丁。

• 使用隐私增强工具 ：例如，一些防火墙应用（可能需要root或VPN模式）可以控制应用联网，一些隐私仪表盘的增强版可以提供更详细的监控。

• 关注设备厂商的安全特性 ：部分手机厂商会在其定制系统中内置更强的隐私保护和权限控制功能。

总而言之，安卓的安全模型与Windows不同，这是其没有出现传统HIPS产品的主要原因。系统设计者试图在易用性、开放性和安全性之间取得平衡，并通过不断迭代原生安全机制来应对新的威胁。

Q

针对上述的某些情况，当前的权限和依赖与google play的机制无法完全满足需求。

google完全可以开发内置一个hips工具供非root用户使用，虽然安卓的安全架构不同，但系统内部安全工具拥有最高权限是能接收的。其中内置一些通用规则，类似eset的hips。用户可以自己选择是否开启hips，是否开启默认规则，以及针对权限或应用增加新规则，这对不在意或不乐意进行复杂权限控制的用户也没有影响。

主要是给予用户“即时控制”的能力，而不仅仅是是记录或提示(例如剪贴板访问，陀螺仪传感器只提示，但不能拒绝)，或者只能在应用管理中去设置权限，例如hips中可以每次弹窗让用户选择操作是否允许，当然用户也能在弹窗后选择记住操作且不再提醒。又或者是用户可以设置默认规则和自定义规则被触发后是否需要提示，规则外的行为才强制弹窗让用户选择一个行为以及下次是否仍需提醒，抑或默认放行。这中间有很多种可设计的操作逻辑，且有大量pc端的产品可以参考。

即使现在没有，将来是否会有这方面的考量。

A

您提出的关于在安卓系统中内置一个供非root用户使用的HIPS类工具，以提供更精细化和即时的权限控制能力的想法，确实切中了当前一些高级用户对于隐私和安全管理的痛点。这涉及到用户“知情权”之后的“即时控制权”。

分析您提出的内置HIPS工具的可行性和Google可能的考量：

优势和用户需求满足点：

1. 增强用户控制力 ：如您所述，最大的优势在于给予用户“即时控制”的能力，而不仅仅是事后查看记录或在设置中进行粗略管理。对于敏感操作（如剪贴板访问、传感器调用、特定网络连接等），用户可以实时决定允许或拒绝，甚至设置“本次允许”、“本次拒绝”、“始终允许”、“始终拒绝”等。

2. 提升透明度和信任 ：让用户更清楚地了解应用在何时、为何要执行特定操作，减少黑箱感。

3. 应对未知威胁和流氓行为 ：即使应用通过了商店审核，也可能存在一些用户不希望发生的行为。HIPS的自定义规则和拦截能力可以提供一层额外的防护。

4. 满足高级用户需求 ：对于关注隐私、有一定技术基础的用户，这是一个非常有吸引力的功能，让他们能够像在PC上一样深度管理自己的设备。

5. 系统级权限 ：作为系统内置工具，它可以合法拥有必要的权限来监控和管理其他应用，避免了第三方工具需要root或依赖调试模式的弊端。

Google可能的考量和潜在挑战：

1. 用户体验和复杂性 ：

• 主流用户 ：Google一直致力于让安卓系统对最广泛的用户群体保持易用性。一个功能强大的HIPS系统，如果配置不当或者弹窗过于频繁，可能会让普通用户感到困扰和不知所措，甚至误操作导致应用无法正常运行。您提到的“用户可以选择是否开启”、“默认规则”、“不乐意复杂控制的用户不受影响”是很重要的设计考量，但这需要非常精巧的UI/UX设计。

• “弹窗疲劳” ：频繁的权限询问弹窗可能会导致用户不经思考就点击“允许”，从而削弱其保护效果。PC端HIPS的用户也常遇到这个问题。

2. 性能开销 ：

• 实时监控所有应用或特定敏感行为的API调用、文件访问、网络请求等，必然会带来额外的CPU、内存和电池消耗。在资源相对受限的移动设备上，这是一个比PC端更敏感的问题。Google需要找到性能开销和保护效果之间的平衡。

3. 应用兼容性和生态系统影响 ：

• 过于严格或复杂的权限控制可能会导致一些设计不够规范或依赖特定行为的应用出现兼容性问题，引发开发者和用户的不满。

• Google需要维护一个庞大且多样化的应用生态系统，过于激进的改动需要审慎评估其对开发者的影响。

4. 安全哲学的一致性 ：

• Android的安全模型在很大程度上依赖于预设的权限框架和沙盒机制，并在用户安装或首次使用时进行一次性授权（或“使用时授权”）。引入一种“每次行为都可能需要即时批准”的模式，是对现有哲学的一种重大补充甚至转变。Google可能更倾向于通过不断完善现有的、对用户干扰较少的自动化或后台机制（如后台限制、机器学习检测恶意行为、更精准的权限定义）来提升安全和隐私。

5. 实现难度和维护成本 ：

• 构建一个稳定、高效、不易被绕过且能够适应Android系统快速迭代的HIPS引擎，是一项复杂的技术挑战。维护大量的默认规则和确保其有效性也需要持续投入。

未来是否会有这方面的考量？

直接复制PC端的HIPS模式可能不是Google的首选，但朝着提供更精细、更透明、用户更有掌控权的方向发展，几乎是必然的趋势。 我们可以看到安卓在这方面的持续努力：

• 权限粒度细化 ：从“允许/拒绝”到“仅限使用期间允许”，再到对特定API（如后台位置）的更严格控制。

• 隐私仪表盘（Privacy Dashboard） ：让用户了解哪些应用在何时访问了敏感权限。虽然目前主要是“记录和提示”，但这是实现更强控制的基础。

• 权限使用指示器 ：当摄像头、麦克风被使用时，状态栏会显示图标。

• 剪贴板访问提示 ：Android 12开始，应用访问剪贴板时会有提示。虽然不能直接拒绝，但提高了透明度。

• 传感器权限 ：Android也在逐步收紧对各类传感器的访问控制，未来可能会有更明确的“传感器访问权限”供用户管理，而不是简单的开关所有传感器。

• Project Mainline ：允许Google通过Play Store更新部分核心操作系统组件，这意味着安全和隐私相关的改进可以更快地推送给用户，而无需等待完整的系统OTA。

展望未来，可能会出现以下形式的演进，而非直接照搬PC HIPS：

1. 增强版的隐私仪表盘 ：不仅仅是记录，可能会在记录条目旁增加“撤销本次操作权限”、“限制此应用对此类操作的频率”等更直接的控制选项。

2. 条件化、情境化的权限控制 ：例如，允许用户设置“仅当此应用在前台时才允许访问X”、“仅当连接到特定Wi-Fi时才允许此应用联网”等更智能的规则。

3. 更主动的系统建议 ：基于AI分析应用行为，如果检测到某个应用有异常的权限调用模式或数据传输行为，系统可能会主动向用户发出警告并提供限制选项。

4. 面向高级用户的“开发者选项”式隐私控制模块 ：可能会有一个隐藏较深但功能强大的模块，允许有经验的用户进行细致的配置，而不会干扰普通用户。

结论：

您对内置HIPS工具的设想抓住了安卓在权限管理方面可以进一步提升用户控制能力的关键点。虽然Google可能不会原封不动地将PC端的HIPS概念移植到安卓，但其持续增强隐私透明度和用户控制权的趋势是明确的。未来很可能会看到更多兼顾易用性、性能和控制力的创新方案出现，逐步实现您所期望的更即时、更细致的应用行为管理能力。对于那些希望立即获得更强控制的用户，目前可能仍需依赖特定厂商深度定制的系统功能，或在接受风险的前提下考虑Root等方案。

看不清一个字

竟然被压的惨不忍睹