有米你出来!你把256个APP从苹果弄下架图什么?
1.事件回溯
据国外媒体报道,苹果19日紧急下架了超过250款移动应用,这些APP的共同特点是使用有米公司提供的SDK插件,据移动网络安全机构SourceDNA发布的调查报告,有米提供的SDK存在严重的安全漏洞,可以绕过苹果审核机制搜集用户的隐私。
根据SourceDNA的发现,被下架的256款App均接入了第三方广告平台有米广告开发的SDK,这些应用则使用了以下4个私有API:
1,安装的其他app的清单或者使用最多的app的名字;
2,获取平台序列号;
3,枚举设备和外设的序列号;
4,获取用户的苹果ID(Email)。
2.苹果的回应
接到SourceDNA的报告后,苹果方面也回应称:“我们发现一批App涉嫌使用私人API收集用户个人信息,包括邮件地址、设备认证信息以及路由数 据,而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则,凡使用有米SDK的App均将做下架处理,新App如果使用了 该SDK也将遭到拒绝。”
苹果在声明中称,“App使用私有API收集用户个人信息,包括邮件地址、设备认证信息以及路由数据,这些App都使用了有米开发的第三方广告SDK,收集的信息被传到公司的服务器。”
注:API是应用程序编程接口,例如某公司开发软件要用到苹果的TouchID(指纹识别),就需要苹果开放相应的API接口;SDK是指软件开发工具包。
3.软件开发者是无辜的
被下架的软件开发者只是使用了有米提供的SDK,对有米具体怎么调用API并不知情。收集到的用户信息也是上传到有米的服务器,因此比较无辜。至于软件开 发者为什么要用有米的SDK,则是利益相关。免费软件为了生存,大部都会提供广告获益。软件开发者在开发软件的时候使用有米提供的SDK,开发出的软件就 会带有广告,然后软件开发者就能通过广告获得收益。
4.对于被下架的软件如何处理
苹果官方表示,今后只要使用到该SDK的应用都将遭到封杀。而苹果官方目前也开始积极帮助应用开发者修改代码来获得重新上架的机会。
5.有米的回应
事件发生后有米立即在官网发布了一条简短的公告称:对于本次因有米SDK被苹果下架的开发者,有米在此表示诚挚的歉意,针对此次事件,我们正紧急的进行补救措施:
1.有米正在积极的与苹果官方进行联系沟通,希望第一时间能妥善解决此事;
2.被下架的产品,请先去掉有米sdk,迅速向苹果申请再次上线;
3.对于被短暂下架的产品,待事情妥善解决后,将会给出合理的赔偿方案。
随后有米在官网又登出了一则详细的公告称:
从未在经营过程中采集任何直接的个人身份识别信息(如手机号码,邮箱等),或泄露、兜售任何个人用户信息。
有米SDK在实现过程中不符苹果官方的相关规定,而非部分媒体片面报道的“安全漏洞”等问题。
整个事件就是:苹果iOS平台上的软件开发者,使用了有米提供的SDK,该SDK调用了私有API获取了用户手机序列号、邮箱等隐私信息,违反了苹果规定,使用有米SDK开发的软件被苹果下架。
事件深挖:
在今年升级的IO9系统中,Safari浏览器提供了广告拦截功能,苹果的解释是为了保护用户隐私,我们知道平常使用的浏览器,都会存有用户的搜索记录,位置信息等,苹果这次的更新正为了防止此类信息被恶意追踪。
可见苹果更加重视对用户隐私保护,此次下架带有有米SDK的应用逻辑同样基于用户隐私保护,不允许应用程序使用私有API。此次有米使用的4个私有API 能够获取的用户信息包括:用户的手机都装了那些APP,或者用户最常用的APP是什么;用户的设备序列号;用户的平台序列号;用户的苹果ID,即用户登录 Appstore的账号。
有米为什么要获取这些信息呢,有米官方表示自家的SDK主要是帮助广告主、开发者防作弊,简单来说就是为了杜绝一个广告在一个设备上被反复下载,从而保护广告主的白白流失的广告成本。
国内的移动互联网广告市场一直相当混乱,移动应用推广中的点击欺诈、虚假激活等问题大量存在,损害广告主和媒体的利益。而为了过滤作弊流量,许多广告平台 利用硬件序列号等信息分析每一台设备是否为真实用户的设备,保证广告主的应用都安装到真实用户的设备之中。另外方面,作弊流量被过滤后能使得广告主的预算 更多地分配到正常媒体之中,保证正常媒体的收益。
这也解释了有米在公告中称:没有“直接”采集个人信息
苹果在声明中还指出有米采集了设备应用安装列表信息,对此有米也解释了他们这么做的初衷:
有米大部分广告客户是移动应用厂商,在移动应用推广的过程中,我们主要帮助广告客户寻找新增用户,有米会根据用户手机应用安装列表信息对已经安装过厂商APP的用户进行过滤,避免无效推广,节省广告主预算,提升推广效果,这是有米的初衷。
以上解释了有米为什 么会调用私有API获取用户信息。但获取的用户信息则被上传到有米的服务器,有米只是保证了信息没有被泄露,但具体怎样使用,别人不得而知。广告为了精确 投放,不可避免的会对收集到的信息进行大数据分析:例如某用户搜索了:吉他,则他可能会看到吉他购买、吉他课程等相关的广告。
这个从有米的隐私政策中也可以看出。
而现在苹果的政策则直接阻断了这种可能。
(部分信息来源与网络)