目录

1 - 软件环境及名词解释

2 - 侧载要求登录欢太账号的 apk 类型

3 - 录屏演示

4 - 问题、解释与我对这种行为的定性

5 - realme 的回复及我的一点猜测

6 - 关于此问题对 realme 用户的建议

7 - 对消费者的建议

1 - 软件环境:

系统版本：RMX2117_11_C.14

安全中心版本名/版本号：3.0.2270/51

手机管家版本名/版本号：8.7.6/8007006

侧载时的具体行为和系统版本有关，也可能和以上应用的版本有关。

1 - 名词解释

apk：apk 文件，用于在 Android 操作系统中安装应用的安装包。

侧载应用：不通过系统应用商店完成安装操作，而是调用“软件包安装程序”来安装应用。

不是侧载：系统软件商店内下载应用并完成安装。

是侧载：

· 用“一个木函”提取系统浏览器 apk，在文件管理中找到 apk 并安装；

· 通过非系统应用商店安装应用，如豌豆荚、应用宝。

2 - 侧载要求登录欢太账号的 apk 类型

32 位 apk。比如 realme 操作系统的一些系统应用；

apk 无启动图标。比如 X 浏览器二维码扫描插件以及一些文件管理器的插件；

apk 的签名在黑名单中。比如很多修改版应用；

其他被检测出“风险”的 apk，比如安装时检测出“广告插件”的酷安 apk。

3 - 录屏演示

在视频中查看：https://www.bilibili.com/video/BV1jq4y1w7QG/

示例选用X浏览器二维码扫描插件及来自系统软件商店的realme浏览器使用自带文件管理器尝试安装。为方便验证，录屏中选用的 apk 放在以下链接：https://reflection.lanzout.com/b00v9q6sb，密码:2m6z

4 - 问题、解释与我对这种行为的定性

Q: 安装前安全扫描和侧载需要登录账号不能在设置里关掉吗？

A: 关不了，没这样的设置项。

Q: iOS 装应用不也要输密码？

A: 未越狱的 iOS 并没有侧载应用的功能，只能通过 AppStore 下载并安装应用，且输密码环节发生在下载之前。如果 realme 设备内置应用商店也像 AppStore 一样，下载任何应用前都必须输密码，我举双手赞成！这样误点到快应用或者系统应用内的广告之后，内置的应用商店就不会直接“帮”我安装好广告应用了。(血压已经高了，真的)

Q: 侧载应用时验证身份不也是为了安全吗？

A: 我不反对侧载应用时验证用户身份来防范恶意侧载，但应基于仅存储于本机安全模块的密码、生物识别信息，比如锁屏密码。

录屏中，部分应用侧载必须登录互联网账号，必须提供手机号，必须接受一份来自设备制造商以外公司的用户协议、隐私政策，是超范围收集用户信息的行为，我不能接受。另外 AppleID 用邮箱就能注册，手机号不是必须的。

至于为什么说 realme 设备上需要登录互联网账号以侧载应用是超范围收集用户信息的行为，原因有二：

1.侧载应用是 Android 操作系统中非常基础的功能，不应当需要互联网账号才能使用；

2.侧载应用这样简单的操作不应该需要注册欢太账号才能使用。原生 Android、很多手机硬件生产商的操作系统、甚至 realme 在海外发布的设备的操作系统中，侧载应用不需要登录任何账号、不需要接受制造商以外的公司的用户协议和隐私政策。

注：

realme 和欢太在收集、处理用户信息方面应该是相对独立的。

2021 年上半年我在欢太官网询问关于欢太和 realme 的一些隐私政策相关问题时，回复中未解释 realme 相关的问题，而是写道“有关 realme 的个人信息保护相关咨询，请您联系 realme 隐私团队”。

而且 realme 和欢太的用户协议、隐私政策的主体也完全不同，是两套协议。

5 - realme 的回复及我的一点猜测

对于我的疑问，realme 第一次的回复为“……您并非必须向我们提供个人信息，但对于提供具体产品或服务所必须的基础个人信息，如您不提供此类信息，您可能无法正常使用我们的产品或服务”。

我引用4.中该行为是超范围收集用户信息行为的观点和解释回复 realme。realme 第二次回复称正在内部调查。

另一方面，realme 设备登录欢太账号后，侧载应用验证身份时可以选择“欢太账号密码”、“人脸”、“指纹”三种方式。

如果 realme 第一次的回复是认真的，那么结合以上两点，我有一个不成熟的猜想……

今天，他们敢强制侧载应用时必须登录互联网账户。

明天，他们就敢在隐私政策中写道“在安装应用时，为了保护您的设备免受恶意应用破坏，需要验证您的身份，我们需要收集您的欢太账户号码及密码、指纹、人脸或其他生物识别信息”，然后“合法”地把你的互联网账户密码、指纹、人脸以及其他生物识别信息或者处理后的信息上传到服务器。

6 - 关于此问题对 realme 用户的建议

如果目前不登录欢太账号即可侧载，或通过文件管理侧载不需要登录欢太账号，则尽量不要更新系统，并且关闭手机管家的更新。(手机管家-设置-手机管家自动更新-关闭)

在录屏的软件环境下，至少有一个绕过的办法，但要等到 realme 做出“取消侧载时需要登录欢太账号”的回复并发布“取消侧载时需要登录欢太账号”的软件更新后，才会公开我的方法。

7 - 对消费者的建议

根据我的了解，侧载时要求登录互联网账号不只是 realme 一家厂商有，也只是国内厂商漠视隐私保护、数据安全的表现之一。

在国内手机厂商真正重视保护用户隐私之前，我建议：

拒绝使用基于 Android 修改、专供国内的手机操作系统，

不要购买国内手机厂商专供国内的型号。

那么，你们的手机侧载应用时要登录互联网账号吗？

欢迎在原视频评论区讨论。(视频链接：https://www.bilibili.com/video/BV1jq4y1w7QG/)