我翻了下记录:关于爱游戏APP的信息收割套路,我把关键证据整理出来了

我翻了下记录:关于爱游戏APP的信息收割套路,我把关键证据整理出来了

前言 最近我抽空把自己安装并使用过的爱游戏APP的安装包、网络流量与权限记录翻了一遍,发现了一些值得用户关注的隐私与数据安全问题。下面把我能复现、能打包成证据的关键点整理出来,既有技术细节,也有普通用户能快速核查的步骤,方便大家自己验证并做出判断。

结论速览(要点)

  • 应用请求并使用了超出功能需要的敏感权限(通讯录、短信、存储、通话状态等)。
  • 隐私政策/权限说明与实际行为存在明显不一致或模糊表述。
  • 网络通信中有若干第三方域名接收大量用户标识信息,部分请求未加密或参数暴露(我在抓包中能看到)。
  • APK 静态分析发现嵌入了多家第三方统计/广告 SDK,且在代码中存在将设备唯一标识与用户行为绑定的逻辑。
  • 我给出可复现步骤与建议,便于普通用户自行排查或向有关平台投诉。

我如何取证(方法说明)

  • 环境:Android 手机(版本、机型见日志),通过 ADB 导出 APK 并使用 jadx 反编译查看代码和清单(AndroidManifest.xml)。
  • 动态分析:在受控网络环境下用 mitmproxy/Charles 抓包(手机安装自签证书的情况下)观察 HTTP/HTTPS 请求;记录了请求的路径、参数与响应。
  • 权限记录:通过 Settings 与第三方权限管理工具导出应用权限列表与运行时权限授予时间线。
  • 第三方库检测:通过工具识别 APK 中的 jar/so 包名与常见广告/统计 SDK 签名。

关键证据与说明(可复现的点) 1) 过度权限

  • 在 AndroidManifest 中能看到申请的敏感权限包括:READCONTACTS、READSMS、WRITEEXTERNALSTORAGE、READPHONESTATE、ACCESSFINELOCATION 等。
  • 在未明确需要通讯录或短信功能的模块中,代码却有读取/上传通讯录、短信的调用(可以在反编译代码里搜索相关 API 调用如 getContentResolver().query(ContactsContract…) 等复现)。

2) 隐私政策与实际不符

  • 隐私页或安装页面对“收集信息”的说明较为笼统,未明确列出会收集哪些直接标识符(如设备ID、IMSI、电话号码)以及数据用途。
  • 与抓包结果对比,隐私政策没有明确说明将数据发送至境外/第三方广告域名,也未提供明确的选择拒绝路径(opt-out)。

3) 抓包发现的敏感数据传输(示例)

  • 抓包记录显示在若干 POST 请求的 body 或 URL 参数中出现了可识别设备信息与用户行为标识符,例如 deviceid、imei、mobile、userid(下面域名为部分遮掩示例,原始抓包有完整域名)
  • tracker.***.com/api/collect
  • adsdk.***.net/collect
  • analytics.***.io/track
  • 部分请求为明文(HTTP)或在encrypted payload中仍能看到未充分脱敏的字段名,意味着在中间人或日志泄露场景下数据可被获取。

4) 第三方 SDK 与行为关联

  • 在反编译的 class 列表中能找到多个广告/统计 SDK 的包名(例如常见的 xxx.sdk、yyy.ads 等),并且主代码中有“绑定设备标识→上报→投放个性化推荐/广告”的流程。
  • 部分 SDK 启动时即初始化并上传设备信息,说明用户即便不主动登录也会产生侧写档案。

怎样自己核查(普通用户也能做)

  • 查看权限:设置 → 应用 → 爱游戏 → 权限,查看是否存在通讯录/短信/位置等敏感权限。对不必要权限选择“拒绝”或“仅在使用时允许”。
  • 网络抓包(进阶用户):在可控网络下用抓包工具观察该应用与哪些域名建立连接。注意:抓包需在自有设备/自有账号下进行,遵守法律与平台规则。
  • 查看流量:在设置中查看该应用的移动数据与流量使用情况,异常高流量可能与频繁上报有关。
  • 查看隐私政策:在应用内或应用商店页打开隐私与数据使用说明,确认是否列出了明确的数据收集项与数据去向。

每条证据的风险评级(我的判断,仅供参考)

  • 过度权限:高风险(可直接访问敏感联系人/短信)
  • 第三方域名接收未明确说明的数据:中-高风险(取决于数据是否可反向识别个人)
  • 多家广告/统计 SDK:中风险(常见但会扩大数据分发面)
  • 隐私政策模糊:中风险(合规性存疑)

对普通用户的建议(可执行的操作)

  • 若不使用某些功能,直接在系统权限管理中关闭相关权限(尤其通讯录、短信、通话记录)。
  • 考虑卸载不信任的应用,并优先从大型应用商店下载且查看评论与权限历史。
  • 在手机上开启应用流量限制或只有 Wi‑Fi 允许联网,减少移动数据上传。
  • 在注册/登录时尽量少填写真实可识别信息,使用与主要账号分离的联系方式。
  • 如果愿意并具备证据,可以向应用商店(Google Play)提交隐私/行为投诉,或向当地数据保护主管部门举报。

如果你想提交投诉,准备好这些材料会更有力

  • 抓包的请求/响应截图或文本(显示时间戳、目标域名、请求体中的可识别字段)。
  • 应用版本、安装来源、设备型号与系统版本。
  • 反编译或权限清单的截图(如 AndroidManifest 中的权限声明)。
  • 隐私政策截图与具体对比说明(列出政策中未提及却被上报的项)。

结语 我整理的这些证据并非“空穴来风”,而是有可复现的方法和具体记录。我的目的不是断言某个机构的法律责任,而是让更多人能看清应用实际在做什么,自己判断风险并采取保护措施。如果你愿意,我可以把我抓包/反编译时的复现步骤写成一个更详细的操作手册,或者帮你把要提交给平台或监管机构的投诉文本整理成模板。

如果你也用过这个 APP,欢迎把你看到的现象(比如弹窗、权限弹出、流量异常等)发给我,我们可以一起把线索整理得更完整。