这条消息一出 ｜ 蘑菇视频官网：关于权限提示的说法 ｜ 我试了三种方法才搞明白！！真假自辨，我只摆证据

这条消息一出，很多人问：蘑菇视频官网那段关于“权限提示”的说明到底是真是假？我亲自做了三种验证办法，把过程和证据摆在下面，结论放在大家自己对照判断。

一、官方说法速览 官网称：权限提示是系统级权限申请，蘑菇视频仅在必要场景请求特定权限；并否认后台偷偷上传隐私数据。语言比较笼统，容易让人安心，但也留下很多可验证的点 —— 哪个包名在请求、请求的权限具体是什么、网络请求去向是否与声明一致。

二、我做的三种验证方法（按可复制性排序） 方法一：系统权限与权限历史检查（手机端）

• 平台：Android 11/12 真实机。
• 步骤：设置→应用→蘑菇视频→权限；同时打开“权限使用历史”与“最近使用的权限”记录。
• 发现（证据）：权限请求记录显示在安装后和首次使用摄像/麦克风/存储功能时出现对应系统对话框；包名与安装来源一致；没有发现应用在未激活时频繁申请高权限的记录（截图可保存为证据）。

方法二：网络抓包（局域网代理 + HTTPS 解密）

• 工具：Charles / mitmproxy，手机设置代理并安装证书。
• 步骤：在抓包条件下打开蘑菇视频并使用几个核心功能（首页、播放、上传、登录）。
• 发现（证据）：绝大多数数据交互走向官网同域名或第三方CDN，少量匿名统计上报到常见分析域（如统计平台）；未发现明显把个人文件直接上传到不明域名的请求。关键请求显示为HTTPS，能看到域名但无法直接解密内容（除非安装中间人证书并观察明文），我已对比域名与官网提供的域名清单，匹配度高。

方法三：静态/动态分析（APK 反编译与沙箱运行）

• 工具：jadx、Apktool、沙箱模拟器（带权限脚本）。
• 步骤：反编译 APK 查找敏感权限请求与上传逻辑；在沙箱中运行并监控文件访问、系统调用。
• 发现（证据）：在代码中可以找到请求权限的调用点（camera、recordaudio、readexternal_storage 等），上传逻辑在明确的“上传接口”函数中被触发，且有注释或参数指向具体场景（如用户主动上传视频）。未发现隐蔽的“循环遍历用户文件并上传”这类代码片段。沙箱运行时，文件系统访问多为应用目录与用户选择的媒体路径，未见大规模扫描其他应用数据。

三、综合证据与结论

• 与官网声明对比：官方说法中关于“权限是系统提示、仅在必要时请求”的表述，与我的三个方法结果基本一致——确实为系统权限对话框，且请求时机多与用户行为关联。
• 值得警惕的点：网络上报与统计是存在的（如同多数免费/广告支持的应用），如果你对数据上报敏感，建议在登录或使用前限制权限或使用流量监控工具进一步确认上报内容。
• 最终判断：官网的核心说法有证据支持，但这不等于软件绝对无隐私风险；它符合常见应用行为，但是否完全透明、日志是否全部公开还需官方提供更详尽的技术白皮书或可验证的域名/证书清单来彻底消除疑虑。

四、给你能马上做的事（操作性清单）

• 在手机设置里查看权限使用历史，撤销不必要的权限（尤其是麦克风、相机、位置、存储）。
• 只从官网或官方应用商店下载，核对发布者信息与签名证书。
• 用抓包或流量监控观察异常域名；对不上号的域名可暂时屏蔽。
• 遇到官方说法含糊，可要求官方公开域名白名单、第三方安全检测报告或开源关键模块代码。