3月18日晚上11点半，有个姑娘正刷着美团。 手机屏幕突然弹出一条系统通知——检测到美团正在删除照片和视频。她愣了一下，赶紧点进相册。这一看，整个人都懵了。相册空空荡荡，几千张照片没了，连录音文件也消失了。手机拦截日志清清楚楚写着，干这事儿的，就是美团。 同一天晚上，另一名用户也在用美团。系统突然提示“检测到‘美团’删除了多媒体文件”，她眼睁睁看着手机相册里的照片一张张消失，就跟有人在远程操作她的手机一样，根本停不下来。有用户试图从“最近删除”里找回照片，结果刚恢复没多久，又被删了。反复删，删到你没脾气。 还有一个用户更惨。六年来攒的504G照片和视频全没了，找回来也是损坏状态，时间戳乱了，文件名没了，内容全是乱码。 到3月24日，这件事冲上热搜第一。 美团客服的回应是这样的：“该问题主要是安卓系统在极少数情况下，App自动缓存清理时遇到第三方SDK冲突导致异常。问题发生后至今，累计有180多位用户进线客服咨询，预计潜在波及用户范围约在数百人。我们在发现该问题后已第一时间进行紧急修复。”客服还强调，此次问题仅发生在用户本地手机系统层面，美团App不会读取、存储或转移任何用户个人数据。 美团在发现问题后迅速成立了专项技术支持小组，联合专业安全技术团队协助受影响用户找回数据，并向每一位受影响用户致歉，承担全部费用和赔偿相应损失。 有人直接问了句大实话：一个外卖软件，你凭什么能碰我的本地相册？ 这话问到点子上了。用户给相册权限，是为了上传评价图片、拍个照识别一下。结果呢？App拿到权限后，不光能看，还能删。而且是在用户完全不知情的情况下，自动执行的。 技术上到底是怎么回事？ 安卓12以前的系统，有个要命的设计——读取存储权限实际上连带着写入权限一起给了。App不仅能看你照片，还能改、能删。更关键的是，App的缓存文件和用户照片放在不同文件夹。缓存文件存在私有目录，用户照片存在DCIM或Pictures目录，两个路径完全不一样。正常的缓存清理代码，根本碰不到用户相册。但这次偏偏碰到了，还一碰就是几千张。 有技术博主分析说，能出现这种情况，要么是代码写崩了，把用户照片目录误判成缓存目录；要么是直接调用了系统删除接口批量操作媒体文件。无论哪一种，都是严重的代码质量事故。 美团把原因归结为“第三方SDK冲突”。但这个解释有个空白——没说是哪个SDK，也没说为什么一个SDK的冲突会导致App去删除用户相册里的文件。这个空白，恰恰是公众最想知道的部分。 有个细节值得琢磨。有用户发现，在她手机上，美团的权限记录里频繁申请照片和视频权限，可她根本没发评价、没传图。还有更让人后背发凉的。有用户说，她卸载了美团之后，相册还在自动删除图片。这说明删除指令可能已经被执行过了，只是当时没发现，卸载后才发现文件已经没了。 这件事也暴露了安卓和iOS在权限模型上的根本差异。iOS用户这次没中招，因为苹果的权限模型从一开始就不一样——App要删除照片必须触发系统级弹窗，用户必须手动确认。安卓这边，一旦给了存储权限，App基本就能在本地文件系统里为所欲为。这也是为什么同样的App，在两个系统上表现完全不同。 美团的处理态度倒是挺痛快。承认问题、成立专项小组、协助找回数据、承担费用、赔偿损失。这比很多出事就甩锅的App强。 但问题是，有些东西赔不了。那504G的照片里，可能有无法重来的瞬间。即便找回来了，也是受损状态，时间戳没了，文件名没了，分类散了。数据已经不是原来的数据了。有用户说，被删的不只是照片和视频，连加密空间里的身份证、户口本、项目合同都被删了。而且所有被删除文件属于受损状态，无法恢复。 美团说这次问题不涉及个人信息的读取、存储或泄漏。但你想想，一个能批量删你本地文件的App，你说它不能读取你的个人信息，这话说出去，谁信？毕竟读取和删除在权限层面是绑定在一起的，能删就能读，这是安卓权限机制的基本逻辑。 安卓系统其实提供了一种更安全的方案——系统相册选择器。当App需要用户上传一张照片时，由手机系统弹出相册界面，用户选中哪张，App就只能读取那一张照片的数据，根本碰不到原始文件，更谈不上删除。 但很多大厂App不愿意用这种安全机制。有人分析说，或许是因为代码重构太麻烦，或许是因为全量获取存储权限后，可以分析用户手机里装了哪些竞品App，以便推送更精准的广告。不管是哪种原因，最后买单的都是用户。 这次事件的核心争议点，不在于美团是不是故意的，而在于：一个生活服务类App，为什么能权限大到可以批量删除用户本地文件？为什么用户给了权限，就等于把相册的“生杀大权”也交出去了？ 你觉得这是技术问题，还是权限机制的结构性问题？ 信息来源：澎湃新闻、界面新闻、凤凰网科技、极目新闻、太平洋科技