5
10月19日晚首先由国外媒体报道的一起安全事件——研究机构SourceDNA发现众多使用有米SDK的App在收集用户个人数据,因而遭苹果下架。今天这一事件也得到国内媒体的广泛报道,许多用户不明觉厉。
苹果在声明中是这样说的,“App使用私有API收集用户个人信息,包括邮件地址、设备认证信息以及路由数据,这些App都使用了有米开发的第三方广告SDK,收集的信息被传到公司的服务器。”
而在此次事件中,有米官方也发表了回应(见下图)。回应中表示有米“从未在经营过程中采集任何直接的个人身份识别信息,或泄露、兜售任何个人用户信息”,而且有米的SDK插件只是用于“帮助广告主、开发者防作弊,而在实现过程中不符苹果官方的规定”,而不是“安全漏洞”。
与Xcode事件中App被安装后门不同,此次苹果声明的重要信息是App使用私有API收集用户个人信息。实际上,这种事件并不是第一次发生,比如360 App被苹果下架的事件中,就有关于调用私有API的争议。
2012年2月9日,有网友爆料,奇虎360旗下的iOS应用调用私有API,并且涉及读取用户数据,并怀疑360应用是因此而遭苹果商店下架。时隔一天,又有网友针锋相对的提出一些对比,表示360 浏览器调用的API主要用于浏览器加速,也就是上网时使网页在浏览器里显示得更快,而且通过反编译发现,多个国内外iPad浏览器应用都在调用这个接口。
谁说的是真的我们很难判定,但可以知道的是,使用私有API未必就会收集用户数据,也未必会用在不良用途。
私有API是指放在PrivateFrameworks框架中的API,苹果通常不允许App使用这类API,因为调用私有API而在审核中遭到拒绝的现象并不少见。但苹果的审核机制并不透明,许多使用了私有API的App也被审核通过,包括Google Voice这样的应用,一样调用了私有API,也获得了通过上架。甚至是苹果的预装App iBooks也被揭露使用了大量私有 API,致使第三方应用无法实现亮度控制和调用字典等类似的功能。
对很多App来说,私有API不是不能用的问题,而是不得不用的问题,以Google语音搜索感应识别为例,在原始的SDK使用规范中,使用这些技术的App将无法通过Apple Store的审核。而事实上,如果严格遵守SDK规则的话,开发者是无法开发出Google Voice的。
所以,我们更应该关注的,是开发者调用私有API做了什么。
本次事件中,有米官方表示自家的SDK主要是帮助广告主、开发者防作弊,简单来说就是为了杜绝一个广告在一个设备上被反复下载,从而保护广告主的白白流失的广告成本。
国内的移动互联网广告市场一直相当混乱,移动应用推广中的点击欺诈、虚假激活等问题大量存在,损害广告主和媒体的利益。而为了过滤作弊流量,许多广告平台利用硬件序列号等信息分析每一台设备是否为真实用户的设备,保证广告主的应用都安装到真实用户的设备之中。另外方面,作弊流量被过滤后能使得广告主的预算更多地分配到正常媒体之中,保证正常媒体的收益。
苹果在声明中还指出有米采集了设备应用安装列表信息,对此有米也解释了他们这么做的初衷:
有米大部分广告客户是移动应用厂商,在移动应用推广的过程中,我们主要帮助广告客户寻找新增用户,有米会根据用户手机应用安装列表信息对已经安装过厂商APP的用户进行过滤,避免无效推广,节省广告主预算,提升推广效果,这是有米的初衷。
这些做法并不特别,实际上国内许多广告平台以及众多的App都在这么做,这也是为什么许多Android App要求很多跟功能完全不相关的权限,而在权限管理更加严格的iOS上面,触犯苹果的规则就变得很容易发生。
我们应该感谢苹果有这么严格的隐私政策,但也要理解事件背后的真相是什么,而不是一味恐慌焦虑。说实话,Android系统下的个人信息安全或许更值得关注。
有关此事件完整报道:
《App使用有米SDK遭下架事件分析:使用私有API就代表隐私侵犯?》
雷峰网原创文章,未经授权禁止转载。详情见转载须知。