干货 | 某团APP未经用户同意删除图片事件分析(结合Android存储权限)

核心存储权限申请：同时申请了READ_EXTERNAL_STORAGE（读取外部存储权限）、WRITE_EXTERNAL_STORAGE（写入外部存储权限），以及READ_MEDIA_IMAGES（Android 13及以上媒体类型权限）；

过渡属性配置：同时设置preserveLegacyExternalStorage=”true”和request

LegacyExternalStorage=”true”，两项属性均为Android系统为适配Scoped Storage（分区存储/作用域存储）推出的临时过渡属性，某团长期启用该类属性，未遵循系统的权限精细化管控要求。

结合Android各版本存储权限的变更规则，某团APP保留的过渡性权限配置，以及为兼容低版本系统开放的全量存储访问权限，是其能够自行删除用户图片的关键原因，具体分析如下：

第二种退出方式：目标SDK版本等于Q，并声明requestLegacyExternalStorage：如果应用的targetSdkVersion设置为Android 10（API 29），开发者可通过在AndroidManifest.xml文件的<application>标签中添加android:

requestLegacyExternalStorage=”true”属性，明确请求使用旧版存储模型。这是Android 10中为帮助应用平滑过渡引入的临时性标志，该属性在Android 11（API 30）及以上系统中本应完全失效。Google明确该属性仅作为临时迁移工具，长期使用会增加用户文件的安全风险，属于高风险的权限配置方式。某团APP长期启用该属性，未遵循分区存储的管控规则。

第三种退出方式：目标SDK版本高于Q，从已退出的应用升级并设置preserveLegacyExternalStorage：这是针对Android 11（API 30）及更高版本的兼容性策略。如果一个应用在升级前（旧版本）已通过上述两种方式（目标SDK < Q或在Q上设置了requestLegacyExternalStorage）退出了分区存储，那么当其升级到targetSdkVersion高于Android 10的新版本时，可通过在清单中设置android:preserveLegacyExternalStorage=”true”，请求在覆盖安装后暂时保留旧版存储访问权限。重要限制：此标志仅对覆盖安装有效；若用户卸载应用后重新安装，或应用为首次安装，该标志则无效，系统将强制启用分区存储。某团APP长期启用该属性，在高版本Android系统中，仍能通过覆盖安装的兼容性路径，保留旧版存储访问权限。

某团APP兼容的Android系统版本最低为5.0，不同低版本Android系统的存储权限管控存在差异，核心区别在于是否需要用户授权：Android 5.0系统本身无运行时权限机制，APP只要在清单文件中声明READ_EXTERNAL_STORAGE、WRITE_EXTERNAL_STORAGE权限，即可直接获得全量存储读写权限，无需用户授权；Android 6.0（API 23）至Android 9.0（API 28）引入了运行时权限机制，READ_EXTERNAL_STORAGE、WRITE_EXTERNAL_STORAGE被划为危险权限，需App运行时弹窗申请，用户同意后才可获得存储访问权限。需要注意的是，Android 5.0虽无需用户授权，但国内部分定制Android系统已针对存储权限添加了基础管控机制，并非完全无限制。

某团APP为适配Android 5.0及以上低版本系统，在清单文件中申请了READ_EXTERNAL_STORAGE、WRITE_EXTERNAL_STORAGE低版本存储权限，这一操作本身符合多版本兼容的开发需求，但相关权限风险未得到有效管控：在Android 5.0设备上，某团可直接获取全量存储读写权限，无需用户任何授权（部分国产定制Android 5.0系统有基础存储管控），可直接访问、修改、删除用户本地文件；在Android 6.0至Android 9.0设备上，虽需用户运行时授权才能获得存储权限，但用户同意授权后，某团可访问所有公共存储空间的文件，而非仅能访问业务必需的文件；而在Android 10及以上版本中，某团又通过启用过渡属性未遵循分区存储管控要求，最终形成了全版本覆盖的存储权限使用风险。