2020 年,OriginOS 带着对桌面图标、小组件和个性化定制的重新思考,为国内定制系统体验带来了一阵新风;随后更新的 OriginOS Ocean 则更进一步,将 vivo 手机的软件体验推向了国内定制系统体验的「第一梯队」。
来到这个充满探索、学习和追赶的赛道,OriginOS 需要照顾的需求和打磨的细节都变得更多、更复杂了,其中就包括时下最为热门的话题之一:隐私保护与权限管理。
作为各类应用、服务的主要入口,同时也可能是大多数人每天消耗时间最多的电子设备,开源、开放的 Android 系统也是大量用户和用户隐私数据的集散中心。
OriginOS 能帮用户守住这些数据吗?
最近少数派编辑部收到了一台 vivo X80 Pro——大家对它所主打的影像能力和流畅体验应该已经有所了解了,所以今天这篇文章,我们想从权限管理和隐私数据保护的角度出发,和大家聊聊 vivo X80 Pro 的另一面。
▍超越版本的权限管理
定制系统能在功能和体验上抢先原生 Android 虽然容易,方向正确且受到 Google 的认可甚至吸收则很难。OriginOS 这次首先给到我们的正是这种惊喜。
关注原生 Android 更新的朋友应该知道,Android 13 最大的几个变化包括:
将媒体文件权限进一步细分,支持用户根据应用实际需要单独或组合授予音频、视频和图片权限
针对图片和视频调用,提供无需申请任何文件读写权限的新方式——系统级照片选择器
虽然vivo X80系列所搭载的OriginOS 尚未升级至 Android 13,但在文件访问权限这件事情上却已经向最新版 Android 13 看齐了。
首先,在 OriginOS 中,存储权限默认仅向大部分应用提供仅允许访问媒体文件和禁止两个选项。
虽然还没有做到 Android 13 进一步对音频、视频和图片进行细分那么细,但相比以往直接授予所有文件读写权限的做法,OriginOS 目前的处理方式已经是一个相当大的进步:在此前版本的 Android 系统中,文件读写权限是一个非常粗放的权限,如果我们想通过微信发送图片,就不得不授予微信完整的存储空间读写权限,这也就使得只需要读取照片的授权变成了可以读写所有用户文件的危险操作。也正是因为这个不完善的设计,早年才会出现某金融 app 未经许可悄悄读取用户照片的报道。
而在 vivo X80系列中,我们使用微博、微信等日常应用时,授予文件访问权限的目的其实也只是需要发送照片、视频等媒体文件。将文件访问范围限制在媒体文件中,既满足了媒体文件分享需求,也杜绝了应用借此读写内置存储中其他文件的可能。
至于 Android 13 的系统级照片选择器,用过 iOS 的朋友应该很熟悉,它主要解决的是媒体文件选择体验参差不齐的问题,并且在 Android 这边不需要任何权限即可调用的通用接口。
照片选择器在原生 Android 这边尚未看到任何第三方应用进行适配(毕竟 Android 13 刚推出不久),OriginOS 却通过一些巧妙的设计提前实现了。在上面提到的媒体文件访问权限外,OriginOS 还进一步为获得了这些权限的应用提供了照片访问范围设定,允许我们进一步选择应用能够读取到哪些照片和视频,应用使用过程中,系统也会通过通知弹窗提醒用户根据需要及时修改访问范围。
总结一下:在媒体文件访问这一块,OriginOS 提前整合了一个「基础版」Android 13 媒体文件访问权限,同时又超越原生向 iOS 对齐,为之配套实现了 Android 端尚不具备的照片选择器和照片访问范围选择功能。至于偶尔确实需要发送文件、但文件位于非媒体文件访问目录的场景,OriginOS 则将原生 Android 中面向文件管理器应用开放的「存储空间管理」权限沿用了过来。
与之类似的,Android 13 中姗姗来迟的通知运行时权限,在 OriginOS 中也得到了提前部署。安装在设备上的应用不再像以往那样默认拥有通知推送的许可,首次运行应用时,系统会通过权限授予弹窗来向用户询问许可。
这也并非一件小事。
在 Android 系统中,通知除了向用户发出提醒,也能用于应用的后台保活,默认拒绝通知权限、将选择权提前交给用户,不仅掐断了广告推送的源头,也从根本上杜绝了原本不需要通知的应用通过常驻通知的方式进行后台保活、侵占设备资源的问题。
关于这部分新特性的技术解读,感兴趣的朋友可以前往阅读少数派的 Android 13 具透。
最后,我们之所以将 OriginOS 这些超越系统版本的功能放在前面、花这么多篇幅掰开揉碎了讲,除了确实有惊喜之外,另一个原因其实是 OriginOS 在基础的权限功能方面已经做得相当到位了。
小到分应用、按权限管理,按照不同时间维度查看应用调用系统权限的历史记录,大到通过隐匿模式直接全局关闭摄像头、麦克风和定位服务的访问权限,OriginOS 给人的感觉基本就是人无我有、人无我先、人先我精。
▍更像系统的「分身」系统
除了权限管理上「抢跑」原生 Android 13,vivo X80系列这次配备的「原子隐私系统」也让人印象深刻:分身系统更像是一个完整的、独立的系统,我们也找到了一些不太一样的小细节。
分身、多用户、安全空间……同样的功能,在不同厂商、不同定制系统中有着不同的命名与形态。但无论是隐私还是安全,这类功能此前所面临的最大悖论在于,想要找到你手机中各种小秘密的人,第一时间会想到的其实正是这些分身、多用户和安全空间功能。
首先,vivo X80 系列很会隐藏隐私系统的入口。如果你想彻底将它的痕迹从主系统的日常使用中抹除,不妨在原子隐私系统的入口设置中关闭主系统设置一级菜单的入口,仅保留你喜欢的隐私系统进入方式(比如桌面 Dock 栏左滑);此外,开启基于面部识别的机主认证、选择锁屏时自动退出隐私系统,都是增强隐私系统隐蔽性的有效手段。
原子隐私系统的主屏布局和设计思路也很有意思:主屏顶部直接提供了关闭和最小化的快捷操作按钮,方便我们随时根据使用情况灵活切换;隐私系统内主打文件隔离与隐私权限控制,主屏小组件直接展示隐私系统中存储的各类文件入口以及空间使用情况,还支持通过预置小组件一键控制 Wi-Fi、定位、麦克风、摄像头等敏感权限的开关状态。
因为与主系统是相互独立的存在,很多人也许会在第一时间混淆原子隐私系统和各类应用双开功能。二者最大的区别在于,原子隐私系统更像是那种只有你能随时打开和关闭的系统级保险箱,借助原子隐私系统中的应用迁移开关,我们可以将某些对安全性和隐蔽性有着较高要求的应用,从主系统中一键快速迁移到隐私系统当中。
因为系统间文件系统的绝对隔离,隐私系统中隐私权限也更加可控,这些应用在进入隐私系统的同时也进入了一个安全、封闭的「小沙盒」,它们所存储的文件也将完全离线存储在隐私系统当中,无法通过主系统进行访问。
整个流程中我们最喜欢的一点也在应用迁移上——处理完手中的事务,我们也可以随时关闭应用迁移开关来将应用移回主系统,无论是哪个切换方向,应用数据、登录状态都不会受到影响,变化的仅仅是应用的运行环境。
这种在开放、不可控和封闭、完全可控的系统间随时自如切换的体验,就是原子隐私系统的精髓了。
▍将安全设计得面面俱到
如果说权限管理、原子隐私系统是为「隐私控」所设计的,最后要介绍这些 vivo X80系列所搭载的其他安全功能,在我们看来则可以说是将安全设计做到了「人人可用」。
以密码管理工具为例。无论是手机、电脑还是各种密码管理应用,涉及到加密这件事基本都离不开原理、强度各不相同的加密算法,主要依靠计算的原理加上「不要将鸡蛋放在一个篮子里」的基本安全常识,最终促使高通在骁龙芯片中内置了独立的安全处理单元 SPU(Secure Processing Unit)来进行数据加密。
以往 SPU 在 Android 智能手机中的应用大同小异且相对有限,这次 vivo X80 Pro 高通版则另辟蹊径,将系统中内置的密码保险箱拉入了伙——和 1Password 这类密码管理工具类似,OriginOS 的密码保险箱可以将帮助我们保存、记忆复杂的登录信息,然后在各类应用、网站中实现自动填写,做到只记一个密码却能为所有应用、服务启用复杂密码的安装保护。
使用 OriginOS 内置密码保险箱的优势在于,密码保险箱基于 SPU 处理单元进行定制,在密码的加密、解密过程中都有独立的处理器和 OS 协助,同时因为芯片上的物理隔绝,操作系统和用户应用层面的第三方也完全无法获取到任何密码信息,加密、解密过程对整机的硬件资源开销更小,和第三方密码管理服务相比,也更符合 vivo 隐私保护三原则中的「隐私端侧处理」理念,做到了密码数据的绝对隔离和完全本地化。
剪贴板功能上 vivo X80系列所搭载的 OriginOS 也有着很多巧思。
大家都已经熟悉的流程是:使用手机验证码登录时,应用可以在收到短信的同时自动填写好短信中的验证码并完成登录;打开电商 app 后,电商平台能够根据我们刚刚复制的各种口令自动识别并弹出商品跳转窗口……
每次启动某个应用我们或许都能看到系统提示说它读取了剪贴板,但在大部分系统中我们都无从拒绝、更无从知晓这些应用读取了哪些内容。vivo X80系列的做法则非常「与时俱进」,与其因噎废食完全拒绝剪贴板读写权限,不如有针对性地放行,隐私安全和便利性都要。
具体的做法是,OriginOS 允许我们自行选择身份证号、银行卡、手机号、验证码乃至个人收入、个人信用、金融交易等敏感信息的剪贴板读取方式,开启对应信息的安全保护后,系统会智能识别剪贴板内容并将过滤后的结果返回给应用。
当然了,这里的文本内容识别也遵循了「端侧处理」的原则,完全运行在本地。
最后,OriginOS 还有不少针对特殊场景所开发的安全功能。
比如我们可以在设置中开启「锁屏状态下关机需要解锁」,避免设备丢失、失窃后设备第一时间被强制下线,为后续定位、寻回争取更多时间;
设备丢失后,vivo X80系列也允许机主通过网页或其他 vivo 手机远程开启或修改 SIM 卡 PIN 码,在几乎所有金融业务都需要 SIM 卡验证码两步认证的当下,直接避免了设备丢失带来的 SIM 卡冒用风险。这种远程设置、修改 SIM 卡PIN 码的能力,目前在各类定制系统体验中也算是非常少见的。
再比如 OriginOS 还提供了「数据网络支付」功能,通过有效的数据网络保证支付行为网络环境的安全性,对支付平台而言同时也是对实人操作的一层额外保障;如果你没有玩机需求,还可以通过开启「系统设置 > 安全 > 更多安全设置」中的系统桌面更换、非官方应用商店应用安装、恶意应用安装等限制,来进一步避免流氓、诈骗应用对手机的侵扰。
各种安全功能的背后,vivo X80系列所搭载的 OriginOS 也充分考虑到了当下比较热门的「反诈」需求,比如拒绝启动器遭到篡改时对短信中的恶意网址和风险链接进行识别并给出提示,由恶意应用发起转账时向用户提供风险警示等。
▍小结
vivo X80系列在权限管理和隐私保护上的所有功能,都得益于 OriginOS 内置的「千镜」可信引擎。它无时无刻都在对 vivo X80系列的芯片、内核、框架和应用各层级的安全性进行计算和打分,并且以敏感数据端侧处理为原则和基础,时刻保障访问设备、访问数据和访问用户都是安全可信的。
这种从下往上、由底层至应用的安全架构,除了为用户带来更加安全、私密的使用体验外,对支付服务、银行客户端这类应用和场景来说,也能提供厂商所需要的额外风险验证和安全保护能力。
虽然系统体验的变革两年前才刚刚起步,但影像能力和流畅的系统体验之外,搭载 OriginOS 的 vivo X80 系列在我们看来已经是一部足够安全、可靠的手机了。下次向那些更看重安全性的亲朋好友推荐手机时,我们的选择也可以更多、更丰富一点。