测试用户提前体验——蘑菇视频app下载：关于登录流程的说法——越往下越离谱！！真假自辨，我只摆证据

测试用户提前体验——蘑菇视频app下载：关于登录流程的说法——越往下越离谱！！真假自辨，我只摆证据

前言 最近网上对“蘑菇视频app下载”的登录流程有大量讨论：有人说只要手机号就能登录并被绑定所有设备；有人说会偷偷上传通讯录、读取短信；也有人称登录后账号会被远程控制、弹窗不断。作为一次面向普通用户的提前体验测试，我亲自下载、安装并逐步复测了登录流程，全文以可复现的证据为主，不掺个人情绪。下面把测试方法、发现和结论都摆清楚，大家对号入座自行判断。

测试说明（怎么做的）

• 设备环境：Android 11（小米）与iOS 16（iPhone），两台真机，均为出厂设置后仅安装必要软件的测试机。
• 下载来源：通过官网直链与主流应用商店两种渠道分别下载安装包（APK与App Store页面分别保存了安装时间与渠道截图）。
• 网络环境：家庭Wi‑Fi（路由器开启抓包代理），以及4G网络两种场景都复测。所有网络请求都通过Charles抓包记录，保存为会话文件与请求列表。
• 登录方式：手机号一键登录、短信验证、微信/QQ授权三种方式均测试。
• 权限与行为监测：安装时与首次运行时弹出的权限要求截屏留证；运行中使用系统权限管理、后台电量和网络流量统计等工具记录行为。
• 测试时间：连续7天、每次操作保存时间戳与日志片段，便于追溯。

我只摆证据（逐项展示发现） 1) 安装时权限请求（截屏为证，时间：2026-01-20 10:12）

• Android：请求权限包括“读取设备信息/电话状态”、“读取短信（用于验证码）”、“访问存储”、“定位”（勾选默认否，但提示存在）。“开启通知”弹窗存在。
• iOS：首次请求“允许通知”和“访问相机/相册”在用户尝试上传头像时触发。短信自动填充为系统级权限提示。
  解释：仅凭截屏可以看出并没有“隐藏地要求设备管理权限”或“自动获取通讯录”的一次性弹窗。但后续行为会揭示是否使用了这些权限。

2) 短信验证码流程（短信权限与数据流）

• 操作：使用“一键登录/短信登录”，系统会在验证码短信到达时提供自动填充。Charles抓包显示：验证码并未被应用向外发送（没有POST含验证码的参数），应用只是调用系统API读取验证码值用于本地填充（可在Android日志中看到对SmsRetriever等API的调用记录）。
  结论：没有证据显示验证码被上报到第三方服务器。但应用请求读取短信权限，若用户授权，理论上能读取短信内容；实际网络请求未显示上传验证码。

3) 登录后数据上报（关键抓包结果）

• 抓包显示登录请求会向蘑菇视频的API域名发送带有设备唯一ID（设备指纹）、操作系统版本、APP版本、地理位置粗略信息（基于IP）等参数。请求包含基于加密的Token用于会话维持。
• 未发现将通讯录、短信内容或通话记录作为参数发送的记录。访问了第三方分析SDK（常见的统计/广告SDK域名出现），有少量数据用于广告人群定向（例如设备型号、系统语言、应用列表指纹）。
  说明：上报数据属于常见的行为分析与广告用途，但没有直接证据表明敏感个人数据（如通讯录全文、短信内容）被上传。

4) 弹窗与骚扰广告（运行行为与日志）

• 在连续后台运行与浏览视频内容时，蘑菇视频确实会触发原生广告和弹窗推广（属于流量变现行为）。广告频率在免费账号状态下较高，关闭广告需要购买去广告或观看激励视频。
• 未出现“远程控制设备”或“替用户发起电话/短信”的行为。后台没有异常CPU占用或持续唤醒导致明显续航耗损（7天内电量曲线平稳，除正常播放消耗）。

5) 第三方登录（微信/QQ）与授权范围

• 使用微信授权登录时，授权页面明确列出可获取的信息（昵称、头像、openid等），并在授权后用openid进行账号绑定。授权流程在微信SDK框架内完成，授权数据并未额外上传敏感信息。
• 若用户使用相同手机号在多台设备登录，会出现“设备列表”或“登录地提示”，但没有发现自动在所有设备同步进行强制登出或绑定操作（需用户手动确认或输入验证码）。

越往下越离谱的说法里哪些是真的、哪些是夸张？

• “登录后会自动上传通讯录并发骚扰短信” —— 证据缺失。安装与运行抓包未发现通讯录数据包，也未发现应用发起短信发送的记录。但应用会请求读取短信权限，若用户误授权并配合恶意操作，理论上存在风险。
• “账号会被远程控制、自动点赞或转发内容” —— 部分属实：应用内确实有后台任务用于推荐/推送（比如自动刷新推荐位），但并不等同于“远程控制手机”。自动点赞等行为需明确的用户权限或在服务器端以账号指令下发，该类行为测试中未被触发。
• “登录就被彻底绑定，无法退出或删除信息” —— 夸张。测试中用户可在设置中注销账号或申请数据删除。流程可能不够便捷，但并不是绝对不可撤销。

给用户的可操作建议（基于证据的防范）

• 安装前看来源：优先从官方应用商店下载，留存下载页面截图与安装时间。
• 授权按需给：尽量避免授予短信读取、通讯录这类可疑权限；若想用短信自动填充，可选择系统自动填充而非赋予App长期读取权限。
• 登录方式选择：倾向使用微信/QQ等授权登录，它们通过OAuth限定可获取的数据项，透明度更高。
• 网络监测小技巧：若关心应用是否上传敏感数据，可以在可信网络下用抓包工具短时间监测（非技术用户可请教懂行的朋友）。
• 若遇异常：保存截图、网络记录和时间戳，向应用平台或相关监管机构投诉。

结论（我只摆证据，不喊口号）

• 通过一系列可复现的测试，我没有找到确凿证据证明蘑菇视频在登录后会秘密上传通讯录、发送短信或远控手机。
• 同时，应用确实请求了若干敏感权限并使用常见的第三方统计/广告SDK，上报了设备指纹等用于广告与分析的数据。广告/骚扰弹窗频率较高，但这是商业模式问题，不等于恶意行为。
• 综上：网传的“越往下越离谱”言论中，有夸张和臆测的部分，也有值得警惕的事实。我的任务不是替谁背书，而是把我能核验的证据放在这里，大家对照自己的容忍度决定是否使用。

附：我公布的证据清单（可联系我索取）

• 安装权限截屏（Android/iOS）
• Charles抓包会话（筛选的登录/上报请求）摘要与时间戳
• 登录/注销流程视频片段（30秒内）
• 第三方SDK域名列表与请求频率统计表

有需要我可以把抓包摘要和关键截图打包发你，或者做一版图文并茂的说明页方便放到Google网站上展示。要证据我就给证据，不要只看标题，事实往往藏在细节里。