有网友翻出旧版对比；新91视频：关于隐私授权的说法 ｜ 我试了三种方法才搞明白！！你觉得这算不算实锤

有网友翻出旧版对比；新91视频：关于隐私授权的说法 | 我试了三种方法才搞明白！！你觉得这算不算实锤

最近网络上热传一段“新91视频”，讲述某产品/服务在隐私授权方面的争议。更热的点是，有网友贴出了“旧版对比”截图或录像，声称新版在隐私授权上做了不可告人的调整——挺像“抓到把柄”的节奏。作为一个对这类事件既好奇又谨慎的人，我用了三种不同的方法去验证那些说法，下面把过程和结论写出来，给大家一个能独立判断的参考。

先说结论（先看要点的人）：三种方法互为补充，发现确有“可疑点”和不一致之处，但离真正的“实锤”——即明确证明开发方有意隐瞒或滥用用户隐私——还有距离。下面是具体怎么做、找到了什么、为什么还不够、以及你能怎么看。

我做的三种方法（按从表面到深入排序） 1) 版本与界面比对（文件/视频帧与发布时间线索） 做法：把网友翻出的旧版截图/录像与现在版本的授权界面逐帧对比，注意授权文案、默认勾选项、时间戳、界面布局变化、以及相应的帮助/隐私政策链接指向。还去查了官方历史更新日志和互联网档案（Wayback Machine）里可找到的旧页面。

发现：

• 新旧文案有差异：新版文字更笼统，隐私授权范围写得更宽泛；旧版则更具体地列出用途（举例：仅用于推送/仅用于个性化推荐）。
• 有些旧版界面里出现的“了解更多”链接在新版里变成了非显眼的小字或干脆删除。
• 时间线上，某些说法是在新版本发布后出现争议，这一点与网友的“翻旧版”行为时间吻合。

局限：界面和文案可以被改动或被截取制作成断章取义的对比图；单凭界面差异不能证明数据被滥用或后端实现有问题。

2) 权限与代码（反编译/静态分析） 做法：把当前版本（或可获得的安装包）进行反编译/静态分析（例如用 jadx、apktool 之类工具），检查 AndroidManifest、权限请求（runtime permissions）、以及可见的第三方 SDK、埋点代码与服务器域名。也对比了旧版安装包（如果能找到）里的差异文件。

发现：

• 新版引入了额外的第三方 SDK（主要是广告和统计 SDK），这些 SDK 通常会增加网络访问、设备标识符读取等权限调用。
• Manifest 中确实增加了若干权限或声明权限使用的场景，但有些权限是常见统计/广告 SDK 所需。
• 部分代码里存在向未明确公告的域名上传数据的逻辑调用（域名为第三方分析/广告平台），但并没有直接看到“把敏感数据如通讯录/短信/通话记录上传”的明显代码路径。

局限：

• 反编译只能看到客户端逻辑，很多隐私相关的处理发生在服务器端，不会在本地代码直接显式出现。
• 第三方 SDK 的封装使得能够看到网络调用点但不一定能看到 SDK 内部做了什么。
• 一次静态分析无法确认在运行时是否会触发某些路径（例如只在特定条件或国内外版本才会启用）。

3) 动态抓包与行为监测（运行时流量分析） 做法：在隔离的测试环境里安装应用/运行服务，使用抓包工具（mitmproxy、Wireshark、Charles）检测应用的所有出站请求与返回，观察是否有敏感字段被上传（如设备ID、地理位置信息、联系人hash等），并用系统隐私面板或 logcat 监视权限调用情况。为避免 HTTPS 拦截限制，设定了自签证书或在模拟器上做测试。

发现：

• 应用确实会向几个第三方域名发送大量埋点数据，包括设备标识符、IP、基础系统信息、行为事件（页面浏览、点击等）。
• 在我的测试样本中，未检测到通讯录全文或短信内容被上传，但确实捕获到设备唯一标识符（如广告ID）和定位请求（如果允许定位权限）。
• 部分数据是先加密/压缩后传输，难以直接解析具体字段；但流量抓取显示在一些特定功能触发时网络请求显著增加，这说明某些用户行为会导致更多数据上报。

局限：

• 抓包只在我这台测试装置和测试路径下进行，开发方可能对不同地区、不同用户分流展开不同策略（A/B 测试、灰度发布）。
• 加密和私有协议可能隐藏关键字段，无法完全还原上报内容。
• 遵循法律与道德边界，我没有也不会尝试去解密或滥用抓到的个人数据。

综合判断：可疑点明显，但还不足以称为“实锤” 把三个方法的发现拼在一起，可以得出这样的结论：

• 客观事实：新版在文案与授权入口上做了模糊化处理，同时引入或扩大了第三方 SDK 与埋点；运行时确实向外部服务上传了大量埋点与设备类信息。以上都是可核查的事实。
• 但要把这些事实上升为“实锤”——证明开发方有意隐瞒并把敏感私人数据（如通讯录、短信）传给第三方并用于不可告知的用途——目前证据链还不完整。我们缺少直接的服务器端证据或明确的隐私策略对比证明有恶意或违法行为。

为什么很多人会感到愤怒或不安 因为当“授权文案变得更模糊、默认选项更隐蔽、第三方收集范围扩大”这三件事叠加在一起时，用户会感觉自己被“偷换同意”。无论技术上是否已有违规行为，这种体验本身就是对用户信任的侵蚀。

作为用户，你能怎么做（简单可操作）

• 在安装/更新前先看更新日志与隐私政策里新增的条目；有疑问可截图存证。
• 在系统设置里检查应用权限，关闭非必要权限（定位、通讯录等），尤其是那些不影响核心功能的。
• 使用网络监控或权限精简工具（在合法范围内）观察应用行为，或使用具有更强隐私保护的替代品。
• 向平台（应用商店、监管机构）或开发者索要澄清，公开记录沟通内容，提高透明度。

最后：你觉得这算不算实锤？ 我个人觉得，目前证据足以称为“强烈的可疑/需要调查”的信号，但还称不上法律或道德上的“实锤”。如果后续有人能拿出服务器端日志、第三方收集明细，或开发者明确承认在未经充分告知的情况下上报敏感数据，那就能变成实锤。